जबकि 4 मई को विश्व पासवर्ड दिवस था, एक दिन पहले एक विभक्ति बिंदु बन गया जो अगले साल की घटना में बदलाव को मजबूर कर सकता है, जिसे “विश्व पासवर्ड रहित दिवस” या “पासवर्ड मेमोरियल डे” कहा जा सकता है। Google, जिसने 2023 RSA सम्मेलन में पासकी के लिए एक कदम का संकेत दिया था – जहां उसने Google प्रमाणक के लिए एक अपडेट लॉन्च किया था – 3 मई को घोषणा के साथ कि वह अपने सभी प्रमुख प्लेटफार्मों में खातों का समर्थन करेगा। मैं पासकी को सक्षम करूंगा।
पहचान और क्रेडेंशियल प्रबंधन ऑपरेटरों ने आरएसए में पासवर्ड के निधन के बारे में भी बात की। जबकि सुरक्षा विशेषज्ञ इस बात से सहमत थे कि परिवर्तन रातों-रात नहीं होगा, कुछ ने कहा कि Google की घोषणा सुरक्षा स्थान में एक बड़े परिवर्तन का प्रतिनिधित्व करती है।
कूदना:
उद्योग सभी उपकरणों पर पासकी की ओर बढ़ रहा है।
टेकज्यूरी के कुछ उल्लेखनीय आंकड़े यहां दिए गए हैं: बावन प्रतिशत अमेरिकी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, और 13% सभी के लिए एक पासवर्ड का उपयोग करते हैं।
Google की घोषणा कंपनी, Microsoft, Apple और अन्य के एक साल बाद आई है, उन्होंने कहा कि यह FastIdentity ऑनलाइन एलायंस और वर्ल्ड वाइड वेब द्वारा बनाए गए साझा पासवर्ड रहित साइन-इन मानक के लिए पासकी के लिए समर्थन का विस्तार करेगा। परिवर्तन शुरू हो जाएगा। वाइड वेब कंसोर्टियम।
देखना: एप्पल टाउट्स पासकी (TechRepublic)
“तब से, Apple और Google ने अपने ऑपरेटिंग सिस्टम को सेवा प्रदाताओं के लिए अनुकूलित किया है ताकि डिवाइस में सिंक करने वाले पासकी के साथ साइन-इन को सक्षम किया जा सके: विंडोज 10 और 11 विंडोज हैलो में लंबे समय तक डिवाइस-बाउंड पासकी – और आईओएस या एंड्रॉइड डिवाइस के लिए पासकी है, लिखा है FIDO एलायंस के कार्यकारी निदेशक और मुख्य विपणन अधिकारी एंड्रयू शिकारी।
FIDO2 यहाँ!
FIDO एलायंस ने मल्टी-फैक्टर ऑथेंटिकेशन प्लेटफॉर्म, Passkey प्रोजेक्ट FIDO2 को विकसित करने के लिए उद्योग के साथ सहयोग किया। यह ऑथेंटिकेटर्स का उपयोग करता है, मूल रूप से एक फ्लैश ड्राइव जैसी चाबियां जो एक यूएसबी पोर्ट में प्लग करती हैं, लेकिन जो स्मार्टफोन भी हो सकती हैं।
असममित कुंजी क्रिप्टोग्राफी, या सार्वजनिक कुंजी-आधारित पास प्रमाणीकरण के लिए तीन उद्योग विनिर्देश हैं, जो FiDO2 परियोजना बनाते हैं:
- एक फ़िशिंग-प्रतिरोधी सार्वजनिक-कुंजी क्रिप्टोग्राफी प्रोटोकॉल जो दो-कारक प्रमाणीकरण के लिए FIDO मानकों को शामिल करता है।
- FIDO का यूनिवर्सल ऑथेंटिकेशन फ्रेमवर्क एक खुला मानक है जो एंड-यूज़र उपकरणों के साथ पासवर्ड रहित प्रमाणीकरण का समर्थन करता है।
- ऑथेंटिकेटर प्रोटोकॉल क्लाइंट W3C के वेब ऑथेंटिकेशन (WebAuthn) विनिर्देशन का पूरक है।
पासकी उनके पास मौजूद डिवाइस से निजी कुंजी जारी करने का एक तरीका प्रदान करती है। सर्वर पर पासवर्ड और उपयोगकर्ता के सिर में रहस्य के बजाय, सार्वजनिक कुंजी क्रिप्टोग्राफी किसी के डिवाइस पर एक अद्वितीय कुंजी संग्रहीत करती है। एक सार्वजनिक कुंजी, जैसे फ़िंगरप्रिंट, डेटा को एन्क्रिप्ट करती है। शिखरी ने समझाया कि निजी कुंजी डिवाइस को कभी नहीं छोड़ती।
“पासकी से पहले, मान लीजिए कि मैंने अपने आईफोन पर ‘ecommerceProvider.com’ के साथ पंजीकरण किया है और अपने आईपैड पर उसी साइट पर जाता हूं। मुझे अपना आईपैड, और मेरा पीसी और बाकी सब कुछ पंजीकृत करना होगा,” शिखर ने कहा।
“मुझे वह पासवर्ड याद रखना है और इसे सामने और बीच में रखना है। यह लोगों की सामान्य दिशा के लिए असुविधाजनक और प्रतिकूल है। पासकी निजी कुंजी सिंक्रोनाइज़ेशन की अनुमति देती है, जिसे बाद में आपके डिवाइस में स्थानांतरित कर दिया जाता है। लेकिन यह क्लाउड में भी सिंक हो जाता है। इसका मतलब है अगर मैं अपने फोन या अपने आईपैड से उस वेबसाइट पर जाता हूं, तो यह स्वचालित रूप से मुझे मेरी यूजर आईडी से पहचान लेता है।
FIDO एलायंस के ऑनलाइन ऑथेंटिकेशन बैरोमीटर, जो पिछले अक्टूबर में जारी किया गया था, ने पाया कि पासवर्ड की ऑनलाइन प्रविष्टि में पांच प्रमुख उपयोग मामलों में 5% – 9% की गिरावट आई है। – वित्तीय सेवाओं तक पहुंच, कंप्यूटर और खातों का काम, सोशल मीडिया, स्ट्रीमिंग सहित . सेवाओं, और स्मार्ट घरेलू उपकरणों – 2021 की तुलना में। इसके अलावा, 70% लोगों को दिए गए महीने में कम से कम एक बार पासवर्ड रिकवर करना पड़ा, 59% लोगों ने दिए गए महीने में ऑनलाइन सेवाओं तक पहुंच छोड़ दी और 43% ने खरीदारी करना छोड़ दिया। उन्हें अपना पासवर्ड याद नहीं आ रहा था।
एलायंस ने अपनी नई सर्वेक्षण-आधारित रिपोर्ट में पाया:
- अमेरिकी उपभोक्ताओं के सत्तावन प्रतिशत ने पासवर्ड बदलने के लिए पासकी का उपयोग करने में रुचि व्यक्त की, जबकि 39% ने कहा कि वे केवल पासकी की अवधारणा से परिचित थे।
- 47% से अधिक उत्तरदाताओं ने कहा कि वे कम से कम कुछ हद तक पासकी से परिचित हैं और 57% अपने खातों में साइन इन करने के लिए पासकी का उपयोग करने में रुचि रखते हैं।
- पासवर्ड अभी भी सबसे अधिक इस्तेमाल किया जाने वाला साइन-इन तरीका है—लेकिन उपभोक्ता अब पासवर्ड के बजाय बायोमेट्रिक्स का उपयोग करना पसंद करते हैं (29% बनाम 19%)।
- पासवर्ड भूल जाने के कारण पिछले छह महीनों में लगभग 60% ग्राहकों ने खरीदारी छोड़ दी है।
- नब्बे प्रतिशत उपयोगकर्ताओं ने पासवर्ड रीसेट करने या पुनर्प्राप्त करने की सूचना दी।
- उत्तरदाताओं के तेरह प्रतिशत ने कहा कि उन्हें प्रतिदिन या सप्ताह में कई बार पासवर्ड रीसेट करना पड़ता है, और लगभग 60 प्रतिशत ने प्रत्येक तिमाही में कई पासवर्ड रीसेट करने की सूचना दी।
- उनतीस प्रतिशत ने कहा कि वे बायोमेट्रिक्स के साथ साइन इन करना पसंद करते हैं।
- सत्तर प्रतिशत ने कहा कि वे एक वर्ष से अधिक पुराने पासवर्ड का उपयोग करते हैं।
पासवर्ड प्रबंधक और IAM विक्रेता शामिल हैं।
Cisco’s Duo, साथ ही Okta और 1Password जैसी आइडेंटिटी एक्सेस मैनेजमेंट फर्म तेजी से बायोमेट्रिक्स और पासवर्ड के भविष्य की ओर बढ़ रही हैं। FIDO ने नोट किया कि PayPal, Yahoo! जापान, NTT DOCOMO, CVS Health, Shopify, Mercari, Kayak और SK Telecom भी ऐसा ही कर रहे हैं।
इस गर्मी की शुरुआत में, 1पासवर्ड, जिसने इस साल की शुरुआत में यूनिवर्सल साइन-इन लॉन्च किया था, उपयोगकर्ताओं को पासकी को स्टोर करने, प्रबंधित करने और एक्सेस करने के लिए ब्राउज़र में 1पासवर्ड के माध्यम से अपने ऑनलाइन खातों का उपयोग करने की अनुमति देगा। कंपनी के लक्ष्यों में से एक PassKeys के लिए मोबाइल 2FA प्रमाणक के साथ कुछ उपकरणों से PassKeys को अनलॉक करना है (यदि आप किसी नए डिवाइस से खाते में लॉग इन करने का प्रयास करते हैं)।
RSA सम्मेलन में, 1Password के सीईओ जेफ शाइनर ने टेकरिपब्लिक को बताया कि समाज का पासकी में बदलाव रातोंरात नहीं होगा क्योंकि पासवर्ड अपनी सभी सीमाओं के बावजूद परिचित हैं।
“नई तकनीकों की सुरक्षा में विश्वास लोगों को कुछ नया करने के लिए मनाने के लिए आवश्यक है,” उन्होंने कहा।
“उदाहरण के लिए, बायोमेट्रिक डेटा के साथ लोगों के लिए यह समझना महत्वपूर्ण है कि उनका फिंगरप्रिंट डेटा, उदाहरण के लिए, डिवाइस पर है। इसे 1 पासवर्ड नहीं भेजा जा रहा है। हमें उन्हें शिक्षित करने की आवश्यकता है। बायोमेट्रिक्स अधिक सुरक्षित हैं,” उन्होंने कहा।
“प्रत्येक कंपनी और उनके उपयोगकर्ताओं के आधार पर, पासवर्ड से पूरी तरह से दूर होने में समय लगेगा। प्रत्येक सर्वेक्षण के लिए आप पासवर्ड के आसपास देखते हैं, वहां 20 प्रतिशत जिद्दी हैं जो उन्हें पसंद करते हैं। और इस वजह से इसे दूर करने में समय लगेगा उनसे पूरी तरह से, ”शिकारी ने सहमति व्यक्त की।
1पासवर्ड की वॉचटावर सुविधा उपयोगकर्ताओं को बताती है कि कब 1पासवर्ड के वॉल्ट में संग्रहीत पासवर्ड से समझौता किया गया है, और जब वेबसाइटें पासकी का समर्थन करना शुरू करती हैं तो उपयोगकर्ताओं को सचेत करती हैं।
कंपनी ने Passkey.directory भी लॉन्च की, जो उन वेबसाइटों को ट्रैक करती है जिनके पास पासकी होती है और उपयोगकर्ताओं को वोट करने की अनुमति देती है कि किस साइट पर पासकी तक पहुंच होनी चाहिए।
देखना: 1पासवर्ड के पासवर्ड-मुक्त भविष्य के बारे में अधिक जानकारी यहाँ
शाइनर के दृष्टिकोण से, सुरक्षा और विपणन लाभों के कारण पासकी का ई-कॉमर्स अंगीकरण आसन्न है।
“होम डिपो, उदाहरण के लिए, लाखों ग्राहक हैं और उन्हें उन सभी पासवर्डों को स्टोर और संरक्षित करना है, जो सीआईएसओ को बहुत अधिक जोखिम में डालते हैं,” उन्होंने कहा।
“सीएमओ की ओर से, यह एक समान चिंता का विषय है क्योंकि कितने लोग चेकआउट के बीच में अपनी गाड़ियां छोड़ देते हैं क्योंकि उनके पासवर्ड के साथ समस्याएं एक घर्षण बिंदु बन जाती हैं? पासकी अधिक सुरक्षित हैं, एक बेहतर अनुभव प्रदान करते हैं। करते हैं और एक से बेहतर हैं सुरक्षा, लागत और जोखिम परिप्रेक्ष्य, और मैं डिवाइस के मालिक होने से सुरक्षित हूं, इसलिए मैं हमले की सतह को कम कर रहा हूं।”
आपका डिवाइस आपका फिंगरप्रिंट है।
“पासवर्ड रहित आदर्श है क्योंकि आपकी डिवाइस आपकी पहचान का विस्तार बन जाती है,” सुरक्षा, नेटवर्किंग और स्टोरेज टेक्नोलॉजी कंपनी बाराकुडा नेटवर्क्स के मुख्य प्रौद्योगिकी अधिकारी फ्लेमिंग शी ने कहा।
“यह एक टीपीएम है: विश्वसनीय प्लेटफॉर्म मॉड्यूल। इसके बारे में अच्छी बात यह है कि आपका डिवाइस आपका विश्वास बिंदु है, टोकन या एमएफए पर भरोसा करने के बजाय, डिवाइस कुंजी है, आप कौन हैं इसका विस्तार। और आम तौर पर, वह भरोसा आपके और डिवाइस के बीच बहुत संरचित है,” उन्होंने कहा।
बाराकुडा पासवर्ड रहित कार्यबल पहचान प्रबंधन फर्म ट्रूयू के साथ काम करता है, जो लॉगिन समय और स्थान जैसे डेटा बिंदुओं के आधार पर उपयोगकर्ता की पहचान निर्धारित करने के लिए अतिरिक्त डेटा और टेलीमेट्री का उपयोग करता है।
“यह खुद को पहचानने का एक बेहतर तरीका बन जाता है,” बाराकुडा ने कहा।
पासवर्ड मैनेजर से लेकर पासकी मैनेजर तक
पासवर्ड – या कुंजी – प्रबंधक पहचान प्रबंधन पारिस्थितिकी तंत्र का एक महत्वपूर्ण हिस्सा बन जाएंगे, हंटर ने कहा।
“कई उपयोगकर्ता पासवर्ड प्रबंधकों का उपयोग करते हैं क्योंकि वे एक बहु-प्लेटफ़ॉर्म दुनिया में रहते हैं। पासवर्ड प्रबंधक आपको स्वतंत्र, क्रॉस-प्लेटफ़ॉर्म कार्यान्वयन प्रदान करते हैं। यदि आपको आज उपयोग किए जा रहे पासवर्ड के लिए पासवर्ड मैनेजर की आवश्यकता है, तो आप अपनी पासकी के साथ भी ऐसा ही करेंगे। हम इस प्रक्रिया को औपचारिक बनाने के तरीकों पर काम कर रहे हैं,” उन्होंने कहा।
पासकी आवश्यक: मनुष्य नया क्षेत्र है।
आरएसए सम्मेलन में, सिस्को ने घोषणा की कि इसका डुओ आइडेंटिटी ऑथेंटिकेशन एप्लिकेशन पासवर्ड रहित लॉगिन सहित पंजीकृत या प्रबंधित उपकरणों वाले सभी उपयोगकर्ताओं के लिए विश्वसनीय एंडपॉइंट तकनीक का विस्तार करेगा।
सिस्को में ज़ीरोट्रस्ट के उत्पाद के उपाध्यक्ष इवा ब्लाज़िना वुकेल्जा ने कहा कि पासकी के साथ समस्या सिर्फ यह नहीं है कि उन्हें उपकरणों में साझा किया जाता है, बल्कि यह कि उन्हें लोगों के बीच साझा किया जाता है। FIDO2 इसे रोमिंग ऑथेंटिकेशन प्रोटोकॉल या क्लाइंट-टू-क्लाइंट ऑथेंटिकेशन प्रोटोकॉल के साथ संबोधित करता है, जो कि YubiKey या स्मार्टफोन जैसे उपकरणों की क्षमताओं के माध्यम से सन्निहित है।
“यह आपको अपने फोन को रोमिंग प्रमाणक के रूप में पासकी के रूप में रखने की अनुमति देता है और आपको अलग-अलग लोगों के साथ साझा किए बिना डिवाइसों में साझा करने देता है,” उन्होंने समझाया। मुझे इन उपकरणों तक पहुंच नहीं होनी चाहिए।
उन्होंने बताया कि COVID के बाद, दूरस्थ और हाइब्रिड कार्यों में विस्फोट के साथ, पासकी पर जाने की आवश्यकता के आसपास की सुरक्षा आवश्यकताएं मनुष्यों से नए जोखिम स्तरों के रूप में संबंधित हैं।
“पिछले 12 से 18 महीनों में हमने मल्टी-फैक्टर ऑथेंटिकेशन प्रोटोकॉल पर असाधारण संख्या में हमले देखे हैं। इसे क्या लाया है? रिमोट एक्सेस नंबर एक है,” उन्होंने कहा, कारकों के संयोजन ने लोगों को सुरक्षा के लिए प्रेरित किया है। गाड़ियाँ। सही पांचवां पहिया बनाता है।
“40 प्रतिशत कॉर्पोरेट ऐप्स सेवा के रूप में सॉफ़्टवेयर हैं, और हमारे कॉर्पोरेट ग्राहकों में से 80% अपने नेटवर्क पर अप्रबंधित उपकरणों की अनुमति देते हैं। इसका प्रतिच्छेदन व्यक्तिगत पहचान, उपयोगकर्ता, व्यक्ति को एक नए क्षेत्र के रूप में स्थापित करता है। एक हमलावर 4,000 मील दूर बैठना आपके ग्राहक को आपका उपयोगकर्ता नाम पासवर्ड और सास एप्लिकेशन के लिए एमएफए टोकन एक्सेस देने के लिए धोखा दे सकता है, और एसओसी में आप इसे नहीं देख पाएंगे क्योंकि हमलावर ने यह सब किया है। आपके पार किए बिना कुछ किया जाता है नेटवर्क, और वे इसे नहीं देखते हैं क्योंकि आपका समापन बिंदु भी भंग नहीं हुआ है। यह मानव है जो भंग हो गया है। और वह परिधि अप्रबंधित और अप्रबंधित है। हो गया है
