فون کھو دیں، اپنی زندگی کھو دیں

اپنا فون کھو دیں، اپنی زندگی کھو دیں

Passkeys کا مقصد پاس ورڈز کی جگہ لینا ہے۔ زیادہ تر کمپنیاں انہیں اپنانا چاہتی ہیں۔ ڈیٹا ظاہر کرتا ہے کہ 93% تنظیمیں WebAuthn پر مبنی passkeys کا تجربہ کر رہی ہیں۔ تاہم، صرف 13% ہی انہیں بڑے پیمانے پر نافذ کرتی ہیں۔

انجینئرز ایک بہترین لاگ ان پر توجہ مرکوز کرتے ہیں۔ آپ ایک ایسا سسٹم بناتے ہیں جہاں بائیومیٹرک اسکین سیکنڈوں میں کام کرتا ہے۔ یہ "ہیپی پاتھ" (happy path) ہے۔

انڈسٹری "ان ہیپی پاتھ" (unhappy path) پر آ کر رک جاتی ہے۔ یہ ڈیوائس ریکوری (device recovery) کا مسئلہ ہے۔

Passkeys سیکیورٹی کو ایک مشترکہ پاس ورڈ سے ہٹا کر ہارڈ ویئر سے منسلک پرائیویٹ کی (private key) پر منتقل کر دیتی ہیں۔ آپ کا فون اس کی (key) کو ان لاک کرنے کے لیے بائیومیٹرکس کا استعمال کرتا ہے۔ سینسرز لائیو اسکین اور رجسٹرڈ ٹیمپلیٹ کے درمیان ریاضیاتی فاصلے کا حساب لگاتے ہیں۔ اگر میچ مطلوبہ حد (threshold) کو پورا کرتا ہے، تو ہارڈ ویئر کی (key) جاری کر دیتا ہے۔

یہ ایک بڑا مسئلہ پیدا کرتا ہے۔ اگر کی (key) صرف ایک ڈیوائس پر موجود ہو، تو اس ڈیوائس کو کھونے کا مطلب ہے اپنی شناخت کھو دینا۔

Apple اور Google جیسی کمپنیاں مدد کے لیے کلاؤڈ سنکنگ (cloud syncing) کا استعمال کرتی ہیں۔ یہ ڈویلپرز کے لیے پیچیدگیوں میں اضافہ کرتا ہے۔ آپ کو ہائی سیکیورٹی ہارڈ ویئر کیز یا استعمال میں آسان سنک شدہ کیز کے درمیان انتخاب کرنا پڑتا ہے۔

بہت سے ڈویلپرز کمزور ای میل ریکوری کے ذریعے اسے ٹھیک کرنے کی کوشش کرتے ہیں۔ یہ سیکیورٹی کو تباہ کر دیتا ہے۔ آپ ایک تجوری کا دروازہ تو بناتے ہیں لیکن پیچھے کی کھڑکی کھلی چھوڑ دیتے ہیں۔ ای میل لنک ایک کرپٹوگرافک passkey جتنا محفوظ نہیں ہوتا ہے۔

CaraComp میں، ہم موازنہ کے پیمانوں (comparison metrics) پر توجہ دیتے ہیں۔ ہمارا ماننا ہے کہ آتھنٹیکیشن (authentication) کے لیے ایک پیشہ ورانہ حفاظتی جال کی ضرورت ہوتی ہے۔ اگر ارد گرد کا ڈھانچہ (architecture) کمزور ہو تو بہترین الگورتھم بھی ناکام ہو جاتے ہیں۔

ڈویلپرز کا مقصد بہتر فیشل میچنگ نہیں ہے۔ ہمارے پاس پہلے سے ہی درست فیشل اسکینز موجود ہیں۔ مقصد بہتر ریکوری پروٹوکولز (recovery protocols) ہیں۔ ہمیں اکاؤنٹس کو ریکور کرنے کے ایسے طریقے چاہیے جو ہمیں دوبارہ فشنگ (phishing) کے خطرات میں نہ ڈالیں۔

سیکیورٹی میں "ایج کیسز" (edge cases) آپ کی ساکھ کا تعین کرتے ہیں۔

آپ اپنے پاس ورڈ لیس (passwordless) سسٹمز میں اکاؤنٹ ریکوری کو کیسے سنبھالتے ہیں؟ کیا آپ غیر محفوظ ای میل ری سیٹس سے بچتے ہیں؟

Source: https://dev.to/caracomp/lose-your-phone-lose-your-life-the-password-replacement-nobody-trusts-yet-336

Optional learning community: https://t.me/GyaanSetuAi