एक पासवर्ड रहित भविष्य के लिए हमारे फ़ोन को सुरक्षा कुंजी की आवश्यकता हो सकती है
- FIDO एलायंस ने उन कमियों का विश्लेषण करते हुए एक श्वेतपत्र प्रकाशित किया है जो इसके पासवर्ड रहित प्रमाणीकरण मानक को मुख्यधारा बनने से रोकते हैं।
- श्वेतपत्र से पता चलता है कि पासवर्ड रहित प्रमाणीकरण तंत्र पासवर्ड को बदलने में विफल रहे हैं क्योंकि वे असुविधाजनक हैं।
- यह रोमिंग सुरक्षा कुंजी के रूप में स्मार्टफोन के उपयोग का प्रस्ताव करता है।
ऑस्कर वोंग / गेट्टी छवियां
मजबूत पासवर्ड बनाने और प्रबंधित करने के लिए असुविधाजनक हैं, लेकिन अतिरिक्त कदम जोड़ना और प्रमाणीकरण प्रक्रिया के लिए उपकरण एक और भी बड़ा सिरदर्द है।
यह निष्कर्ष है फास्ट आईडी ऑनलाइन एलायंस (FIDO) द्वारा एक श्वेतपत्र, जो पासवर्ड रहित प्रमाणीकरण तंत्र को मुख्यधारा बनने से रोकने के लिए प्रयोज्य मुद्दों को दोषी ठहराता है। हालाँकि, गठबंधन एक बार और सभी के लिए समस्या को हल करने के लिए एक समाधान के साथ आया है और FIDO प्रमाणीकरण मानक को पासवर्ड के रूप में सर्वव्यापी बना दिया है।
"FIDO ने सभी प्रारंभिक अपेक्षाओं को पार कर लिया है," बिल लेडी, उत्पाद के वीपी लॉगिन आईडी, ने लाइफवायर को श्वेतपत्र पढ़ने के बाद ईमेल पर बताया। "[यह] वास्तव में सभी प्रमाणीकरण [मुद्दों] को हल करने के करीब है, लेकिन कुछ और की जरूरत है।"
पासवर्ड रद्द करना
लेड्डी का मानना है कि पासवर्ड ने अपने उपयोग को समाप्त कर दिया है। वह बहुत लंबे समय तक कमजोर विकल्पों को आगे बढ़ाकर लोगों को विफल करने के लिए सुरक्षा उद्योग को दोषी ठहराते हैं।
"पासवर्ड अब 60 वर्ष पुराने हैं, लेकिन अधिकांश खातों के लिए प्राथमिक प्रमाणीकरण विकल्प बने हुए हैं। उपभोक्ताओं के कई अलग-अलग खाते हैं और उनसे प्रत्येक के लिए एक अद्वितीय पासवर्ड याद रखने की अपेक्षा की जाती है। यह एक व्यावहारिक समाधान नहीं है," लेड्डी ने जोर देकर कहा। उन्होंने कहा कि आज के इंटरनेट में, जहां वेबसाइटों को आसानी से क्लोन किया जा सकता है, सुरक्षा उद्योग का काम लोगों को खाता उल्लंघनों को रोकने के लिए सही उपकरणों से लैस करना है।
FIDO एलायंस, एक खुला उद्योग संघ, जिसे पासवर्ड पर निर्भरता को कम करने के लिए बनाया गया है, इस मुद्दे पर लगभग एक दशक से काम कर रहा है। इसने FIDO प्रमाणीकरण मानक बनाया है, जो कर्षण हासिल करने में असमर्थ रहा है। श्वेत पत्र में, गठबंधन को लगता है कि उसने पहेली के लापता टुकड़े की पहचान कर ली है और इसे दूर करने की रणनीति भी तैयार की है।
गठबंधन के अनुसार, FIDO के वर्तमान पासवर्ड रहित प्रमाणीकरण तंत्र में अंतर्निहित प्रयोज्य मुद्दे हैं जिन्होंने इसे व्यापक रूप से अपनाने से रोक दिया है।
"[हमने] भौतिक सुरक्षा कुंजियों की कथित असुविधा (खरीद, पंजीकरण, ले जाना, पुनर्प्राप्त करना), और उपभोक्ताओं को प्लेटफ़ॉर्म प्रमाणकों के सामने आने वाली चुनौतियाँ (उदाहरण के लिए, प्रत्येक नए को फिर से नामांकित करना) युक्ति; दूसरे कारक के रूप में खोए या चोरी हुए उपकरणों से पुनर्प्राप्त करने का कोई आसान तरीका नहीं है।" कागज नोट किया.
मुद्दों को दूर करने के लिए, श्वेतपत्र हमारे स्मार्टफ़ोन को रोमिंग प्रमाणक या पोर्टेबल सुरक्षा कुंजियों के रूप में उपयोग करने के लिए कहता है।
"रोमिंग प्रमाणक के रूप में एक उपयोगकर्ता का उपकरण एक महान उपयोगकर्ता अनुभव है और यदि सही तरीके से किया जाता है तो अर्ध-विश्वसनीय डिवाइस पर पासवर्ड से कहीं अधिक सुरक्षित है। चूंकि नए स्मार्टफोन मूल रूप से एफआईडीओ का समर्थन करते हैं और उपभोक्ता अपने फोन से शायद ही कभी दूर होते हैं, यह एक अच्छा विकल्प है," लेड्डी ने सहमति व्यक्त की।
आगे का रास्ता
हालांकि, श्वेतपत्र बताता है कि स्मार्टफोन को पोर्टेबल सुरक्षा कुंजी के रूप में सफल होने के लिए, FIDO को लोगों के लिए अपने मोबाइल उपकरणों को जोड़ने या स्विच करने के लिए एक सहज प्रक्रिया तैयार करनी चाहिए।
यह तर्क देता है कि यदि आवश्यक कार्यों के लिए प्रक्रिया, जैसे कि एक नया फ़ोन सेट करना या a. पर स्विच करना नया, सीधा नहीं है, तो लोग संभवतः पूरे विचार को खारिज कर देंगे असुविधाजनक। इससे बचने के लिए, पेपर एक नई तकनीक पेश करने का प्रस्ताव करता है जिसे वे मल्टी-डिवाइस FIDO क्रेडेंशियल या "पासकी" कहते हैं।
"मल्टी-डिवाइस 'पासकी' क्रेडेंशियल FIDO के आसपास एक लंबे समय से चले आ रहे प्रश्न को संबोधित करते हैं। सवाल यह है कि अगर मैं अपने पुराने डिवाइस पर 50 डोमेन-विशिष्ट क्रेडेंशियल दर्ज करता हूं और फिर एक नया डिवाइस प्राप्त करता हूं तो नए डिवाइस पर कैसे जाना है। नए FIDO क्रेडेंशियल्स को फिर से जोड़ने के लिए कोई भी 50 अलग-अलग सेवाओं के लिए खाता पुनर्प्राप्ति से गुजरना नहीं चाहता है," लेड्डी ने समझाया।
dem10 / गेट्टी छवियां
FIDO का दावा है कि पासकी इस स्थिति से पूरी तरह बचने में मदद करेंगे, यह सुनिश्चित करके कि जब हम एक डिवाइस से दूसरे डिवाइस पर स्विच करते हैं, तो हमारे FIDO क्रेडेंशियल पहले से ही हमारी प्रतीक्षा कर रहे हैं। बेशक, पेपर वैचारिक है, और लेडी को लगता है कि इस तरह के तंत्र को लागू करने की तुलना में प्रस्तावित करना आसान है।
"यह दुर्भाग्यपूर्ण होगा यदि पासकी समाधान विक्रेता-विशिष्ट थे ताकि कोई उपभोक्ता स्विच न कर सके डिवाइस निर्माताओं या यहां तक कि एक विषम (मैकबुक और एंड्रॉइड फोन) उपकरणों के सेट के बीच," चेतावनी दी लेडी
हालाँकि, उन्हें विश्वास है कि FIDO गठबंधन, जो Apple, Meta, Google, PayPal, Wells Fargo, American जैसे दिग्गजों की गिनती करता है एक्सप्रेस, और बैंक ऑफ अमेरिका, इसके सदस्यों के बीच, ऐसे समाधान लेकर आएंगे जो न केवल सार्वभौमिक हैं, बल्कि इसके खिलाफ पूरी तरह से जांच किए गए हैं। हमले।
FIDO का मानना है कि मल्टी-डिवाइस FIDO क्रेडेंशियल पासवर्ड के ताबूत में अंतिम कील बन जाएंगे। "इन नई क्षमताओं को पेश करके, हम वेबसाइटों और ऐप्स को सशक्त बनाने की उम्मीद करते हैं ताकि वास्तव में पूरी तरह से पासवर्ड रहित विकल्प प्रदान किया जा सके; कोई पासवर्ड या वन-टाइम पासकोड (ओटीपी) की आवश्यकता नहीं है," गठबंधन ने कहा।