𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

Translated for your language. Read the original.

AI-assisted draft.

GyaanSetu Editorial२ दिवसांपूर्वी1min read

𝟮𝟬𝟮𝟲 मधील 𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀: एक व्यावहारिक अभियांत्रिकी मार्गदर्शक

पासवर्ड आता असुरक्षित झाले आहेत. ते सामायिक रहस्यांवर (shared secrets) अवलंबून असतात. जर एखाद्या सर्व्हरने पासवर्ड साठवला, तर तुमच्यावर होणाऱ्या हल्ल्याचा धोका (attack surface) दुप्पट होतो.

डेटा दर्शवतो की हा धोका प्रचंड आहे. चोरीला गेलेली क्रेडेंशियल्स (credentials) बहुतांश डेटा ब्रीचसाठी कारणीभूत ठरतात. इन्फोस्टीलर (Infostealer) मालवेअर दरवर्षी लाखो पासवर्ड चोरतात. अगदी 2FA मध्येही त्रुटी आहेत. SMS कोड्सना SIM swapping चा सामना करावा लागतो, तर TOTP टोकन्सना रिअल-टाइम फिशिंगचा सामना करावा लागतो.

Passkeys हे चित्र बदलतात. ते WebAuthn आणि FIDO2 द्वारे पब्लिक-की क्रिप्टोग्राफीचा (public-key cryptography) वापर करतात.

ते कसे कार्य करतात: • तुमचे डिव्हाइस एक पब्लिक-प्रायव्हेट की पेअर (public-private key pair) तयार करते. • प्रायव्हेट की तुमच्या हार्डवेअरमध्येच राहते. • सर्व्हरला फक्त पब्लिक की मिळते. • लॉगिन दरम्यान, तुमचे डिव्हाइस एका रँडम चॅलेंजवर (random challenge) स्वाक्षरी करते. • कोणताही गुप्त डेटा नेटवर्कवरून प्रवास करत नाही.

यामुळे फिशिंग थांबते कारण Passkeys तुमच्या विशिष्ट डोमेनशी जोडलेले असतात. तुमच्या साइटसाठी असलेला Passkey बनावट साइटवर काम करणार नाही.

त्यांची अंमलबजावणी कशी करावी: कच्चा (raw) WebAuthn कोड लिहू नका. तो मोडणे सोपे असते. TypeScript आणि Node.js साठी SimpleWebAuthn वापरा. ते तुमच्यासाठी कठीण गणिती प्रक्रिया हाताळते.

इन्स्टॉलेशन: npm install @simplewebauthn/server @simplewebauthn/browser

टाळल्या पाहिजेत अशा सामान्य चुका: • चॅलेंजेसचा पुनर्वापर करणे. चॅलेंजेस हे एकदाच वापरण्यायोग्य (single-use) आणि सर्व्हरद्वारे तयार केलेले असावेत. • काउंटर्सकडे दुर्लक्ष करणे. क्लोन केलेल्या की शोधण्यासाठी नेहमी क्रेडेंशियल काउंटर अपडेट करा. • रिकव्हरी विसरणे. जर वापरकर्त्याने आपले डिव्हाइस गमावले, तर तो आपले खाते देखील गमावतो. प्रथम रिकव्हरीचा मार्ग तयार करा. • खराब UX. क्रॉस-डिव्हाइस फ्लोमध्ये अनेकदा पूर्ण होण्याचे प्रमाण कमी असते. स्थलांतरणादरम्यान (migration) एक फॉलबॅक (fallback) पर्याय ठेवा.

स्थलांतरण धोरण (Migration strategy):

टप्पा १: पासवर्ड लॉगिननंतर Passkeys चा पर्याय (opt-in) म्हणून द्या.
टप्पा २: एकदा बहुतांश वापरकर्त्यांनी ते स्वीकारले की, Passkeys ला प्राथमिक पद्धत बनवा.
टप्पा ३: सर्व नवीन साइनअपसाठी Passkeys अनिवार्य करा.

उद्योग क्षेत्र आधीच पुढे गेले आहे. Google ने रिपोर्ट केले आहे की Passkeys मुळे खाते हॅक होण्याचे प्रमाण खूप कमी झाले आहे. Amazon आणि TikTok सारखे मोठे प्लॅटफॉर्म त्यांचा वापर करतात. जर तुम्ही त्यांना सपोर्ट करत नसाल, तर तुम्ही मागे पडाल.

Source: https://dev.to/moksh/passkeys-in-2026-a-practical-engineering-guide-to-passwordless-auth-15pj

𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

Continue reading

२०२६ मध्ये फिलीपिन्सच्या SMEs ला सायबर सुरक्षा का आवश्यक आहे?

फ्रंटएंड सुरक्षेसाठी सर्वोत्तम पद्धती

लपवणे म्हणजे सुरक्षित करणे नव्हे

तुमचा फोन गमावला, तर तुमचे आयुष्यही गमावले

तुमचे SaaS पैसे गळवून टाकत आहे