உங்கள் தொலைபேசியை இழப்பதே, உங்கள் வாழ்க்கையை இழப்பதாகும்
Passkeys கடவுச்சொற்களுக்கு (passwords) மாற்றாக அமையும் நோக்கம் கொண்டவை. பெரும்பாலான நிறுவனங்கள் அவற்றை விரும்புகின்றன. தரவுகளின்படி, 93% நிறுவனங்கள் WebAuthn-அடிப்படையிலான passkeys-களைச் சோதிக்கின்றன. இருப்பினும், 13% மட்டுமே அவற்றை விரிவுபடுத்துகின்றன.
பொறியாளர்கள் ஒரு சிறந்த லாகின் (login) முறையை உருவாக்குவதில் கவனம் செலுத்துகிறார்கள். ஒரு பயோமெட்ரிக் ஸ்கேன் (biometric scan) சில நொடிகளில் செயல்படும் ஒரு அமைப்பை நீங்கள் உருவாக்குகிறீர்கள். இதுவே 'ஹேப்பி பாத்' (happy path - சுமூகமான வழிமுறை).
ஆனால், 'அன்ஹேப்பி பாத்' (unhappy path - சிக்கலான வழிமுறை) வரும்போது இந்தத் துறை ஒரு முட்டுக்கட்டையைச் சந்திக்கிறது. அதுதான் சாதனத்தை மீட்டெடுக்கும் முறை (device recovery).
Passkeys பாதுகாப்பை ஒரு பகிரப்பட்ட கடவுச்சொல்லிலிருந்து (shared password), வன்பொருளுடன் இணைக்கப்பட்ட ஒரு தனிப்பட்ட திறவுகோலுக்கு (hardware-bound private key) மாற்றுகின்றன. உங்கள் தொலைபேசி இந்தத் திறவுகோலைத் திறக்க பயோமெட்ரிக் முறையைப் பயன்படுத்துகிறது. நேரடி ஸ்கேன் மற்றும் ஏற்கனவே பதிவு செய்யப்பட்ட டெம்ப்ளேட் (enrolled template) ஆகியவற்றிற்கு இடையிலான கணிதத் தூரத்தை சென்சார்கள் கணக்கிடுகின்றன. அந்தப் பொருத்தம் ஒரு குறிப்பிட்ட அளவை (threshold) எட்டினால், வன்பொருள் அந்தத் திறவுகோலை வெளியிடுகிறது.
இது ஒரு பெரிய சிக்கலை உருவாக்குகிறது. அந்தத் திறவுகோல் ஒரே ஒரு சாதனத்தில் மட்டுமே இருந்தால், அந்தச் சாதனத்தை இழப்பது என்பது உங்கள் அடையாளத்தையே இழப்பதாகும்.
Apple மற்றும் Google போன்ற நிறுவனங்கள் இதற்கு உதவும் வகையில் கிளவுட் சிங்க் (cloud syncing) முறையைப் பயன்படுத்துகின்றன. இது டெவலப்பர்களுக்குச் சிக்கலைச் சேர்க்கிறது. நீங்கள் அதிக பாதுகாப்பு கொண்ட வன்பொருள் திறவுகோல்களுக்கும் (high-security hardware keys), எளிதாகப் பயன்படுத்தக்கூடிய சிங்க் செய்யப்பட்ட திறவுகோல்களுக்கும் (easy-to-use synced keys) இடையே ஒன்றைத் தேர்ந்தெடுக்க வேண்டும்.
பல டெவலப்பர்கள் பலவீனமான மின்னஞ்சல் மீட்பு (email recovery) முறையைப் பயன்படுத்தி இதைச் சரிசெய்ய முயல்கிறார்கள். இது பாதுகாப்பைச் சிதைத்துவிடும். நீங்கள் ஒரு பாதுகாப்பு பெட்டகத்தின் கதவை உருவாக்கிவிட்டு, அதன் பின்னால் உள்ள ஜன்னலைத் திறந்து வைப்பதைப் போன்றது இது. ஒரு மின்னஞ்சல் இணைப்பு (email link), ஒரு கிரிப்டோகிராஃபிக் பாஸ்கீயைப் (cryptographic passkey) போலப் பாதுகாப்பானது அல்ல.
CaraComp-இல், நாங்கள் ஒப்பீட்டு அளவீடுகளில் (comparison metrics) கவனம் செலுத்துகிறோம். அங்கீகரிப்பு முறைக்கு (authentication) ஒரு தொழில்முறைப் பாதுகாப்பு வலை (professional safety net) தேவை என்று நாங்கள் நம்புகிறோம். சுற்றியுள்ள கட்டமைப்பு (architecture) பலவீனமாக இருந்தால், சிறந்த அல்காரிதம்களும் (algorithms) தோல்வியடையும்.
டெவலப்பர்களின் இலக்கு சிறந்த முக அடையாளப் பொருத்தம் (facial matching) அல்ல. ஏற்கனவே துல்லியமான முக ஸ்கேன்கள் எங்களிடம் உள்ளன. இலக்கு என்பது சிறந்த மீட்பு நெறிமுறைகள் (recovery protocols) ஆகும். ஃபிஷிங் (phishing) அபாயங்களுக்கு மீண்டும் செல்லாமல் கணக்குகளை மீட்டெடுப்பதற்கான வழிகள் நமக்குத் தேவை.
பாதுகாப்புத் துறையில் உங்கள் நற்பெயரைத் தீர்மானிப்பது 'எட்ஜ் கேஸ்கள்' (edge cases - எதிர்பாராத சிக்கலான சூழல்கள்) தான்.
உங்கள் கடவுச்சொல் இல்லாத அமைப்புகளில் (passwordless systems) கணக்கு மீட்பை எவ்வாறு கையாளுகிறீர்கள்? பாதுகாப்பற்ற மின்னஞ்சல் ரீசெட்டுகளைத் (email resets) தவிர்க்கிறீர்களா?
Optional learning community: https://t.me/GyaanSetuAi