सेब, गूगल और माइक्रोसॉफ्ट इसने इस सप्ताह घोषणा की कि यह जल्द ही एक प्रमाणीकरण दृष्टिकोण का समर्थन करेगा जो पासवर्ड को पूरी तरह से समाप्त कर देता है, इसके बजाय उपयोगकर्ताओं को वेबसाइटों या ऑनलाइन सेवाओं में लॉग इन करने के लिए अपने स्मार्टफोन खोलने की आवश्यकता होती है। विशेषज्ञों का कहना है कि ये परिवर्तन कई प्रकार के फ़िशिंग हमलों को हराने में मदद करेंगे और इंटरनेट उपयोगकर्ताओं पर समग्र पासवर्ड बोझ को कम करेंगे, लेकिन चेतावनी देते हैं कि अधिकांश वेबसाइटों के लिए वास्तविक पासवर्ड के बिना भविष्य कई और वर्षों का होगा।
छवि: Blog.google
प्रौद्योगिकी दिग्गज ऐसे पासवर्ड बदलने के उद्योग के नेतृत्व वाले प्रयास का हिस्सा हैं जो आसानी से भुला दिए जाते हैं, मैलवेयर और फ़िशिंग स्कैम द्वारा अक्सर चोरी हो जाते हैं, या कॉर्पोरेट डेटा उल्लंघनों के मद्देनजर ऑनलाइन लीक हो जाते हैं।
Apple, Google और Microsoft ने FIDO (“फास्ट आइडेंटिटी ऑनलाइन”) और The . के साथ भागीदारी की है वर्ल्ड वाइड वेब फेडरेशन (W3C), एक नया लॉगिन मानक विकसित करने के लिए पिछले एक दशक में सैकड़ों प्रौद्योगिकी कंपनियों के साथ काम करने वाली टीमें जो कई ब्राउज़रों और ऑपरेटिंग सिस्टम पर समान रूप से काम करती हैं।
FIDO एलायंस के अनुसार, उपयोगकर्ता उसी प्रक्रिया के माध्यम से वेबसाइटों में लॉग इन कर सकते हैं, जिसमें उनके डिवाइस को अनलॉक करने में प्रत्येक दिन कई बार समय लगता है – जिसमें डिवाइस पिन या बायोमेट्रिक जैसे फिंगरप्रिंट या फेस स्कैन शामिल हैं।
“यह नया दृष्टिकोण फ़िशिंग से बचाता है और पारंपरिक बहु-कारक तकनीकों जैसे पासवर्ड और एसएमएस के माध्यम से भेजे जाने वाले वन-टाइम पासवर्ड की तुलना में लॉगिन को अधिक सुरक्षित बनाता है,” गठबंधन ने 5 मई को लिखा था।
संपत श्रीनिवासGoogle के सुरक्षा प्राधिकरण के निदेशक और FIDO एलायंस के प्रमुख ने कहा कि नई प्रणाली के तहत, आपका फ़ोन “बास्क” नामक FIDO प्रमाणपत्र संग्रहीत करेगा जिसका उपयोग आपका ऑनलाइन खाता खोलने के लिए किया जा सकता है।
श्रीनिवास ने लिखा, “सार्वजनिक कुंजी एन्क्रिप्शन के आधार पर, यह पासवर्ड के साथ लॉग इन करना बहुत सुरक्षित बनाता है, क्योंकि यह केवल आपके ऑनलाइन खाते पर प्रदर्शित होगा जब आप अपना मोबाइल फोन खोलेंगे।” “आपको अपने कंप्यूटर पर वेबसाइट पर लॉग इन करने के लिए अपने फोन की आवश्यकता होगी। आपको इसे एक्सेस के लिए खोलने के लिए कहा जाएगा। एक बार ऐसा करने के बाद आपको अपने फोन को पुनरारंभ करने की आवश्यकता नहीं होगी और आप अपने कंप्यूटर को अनलॉक करके साइन इन कर सकते हैं।
जैसा जेडडीनेट टिप्पणियाँ, Apple, Google और Microsoft पहले से ही इन पासवर्ड-मुक्त मानकों (जैसे “Google के साथ साइन इन”) का समर्थन करते हैं, लेकिन पासवर्ड-मुक्त कार्यक्षमता का उपयोग करने के लिए उपयोगकर्ताओं को प्रत्येक वेबसाइट में साइन इन करना होगा। इस नई प्रणाली के तहत, उपयोगकर्ता अपने पास के डिवाइस पर किसी एप्लिकेशन या वेबसाइट में साइन इन करने के लिए अपने मोबाइल डिवाइस का उपयोग करने के लिए – प्रत्येक खाते को फिर से पंजीकृत किए बिना – कई उपकरणों पर अपने पासवर्ड तक स्वचालित रूप से पहुंचने में सक्षम होंगे।
जोहान्स उलरिचडीन ऑफ रिसर्च सैन्स टेक्नोलॉजी कंपनीघोषणा को “मान्यता चुनौती को हल करने का सबसे आशाजनक प्रयास” कहा गया।
“इस मानक का सबसे महत्वपूर्ण हिस्सा यह है कि उपयोगकर्ताओं को एक नया उपकरण खरीदने की ज़रूरत नहीं है, बल्कि इसके बजाय उनके पास पहले से मौजूद उपकरणों का उपयोग कर सकते हैं और उन्हें प्रमाणक के रूप में उपयोग करना जानते हैं,” उलरिच ने कहा।
स्टीव बोलो काकोलंबिया विश्वविद्यालय में कंप्यूटर विज्ञान और प्रारंभिक इंटरनेट के प्रोफेसर शोधकर्ता और अग्रणीपासवर्ड-मुक्त पहल को पहचानने में “सबसे बड़ा सुधार” कहा जाता है, लेकिन कहा कि कई वेबसाइटों को पकड़ने में बहुत समय लगेगा।
बोलो और अन्य का दावा है कि इस नए पासवर्ड रहित प्रमाणीकरण कार्यक्रम के साथ एक मुश्किल स्थिति में, यदि कोई अपना मोबाइल डिवाइस खो देता है या उनका फोन क्रैश हो जाता है, तो वे आईक्लाउड पासवर्ड को पुनर्प्राप्त नहीं कर पाएंगे।
“मुझे उन लोगों की चिंता है जो एक अतिरिक्त उपकरण नहीं खरीद सकते हैं या आसानी से टूटे या चोरी हुए उपकरण को बदल सकते हैं,” बेलोविन ने कहा। “मैं क्लाउड खातों के लिए पासवर्ड पुनर्प्राप्ति के बारे में चिंतित हूं।”
गूगल कहते हैं यहां तक कि अगर आप अपना मोबाइल फोन खो देते हैं, तो “आपके पासवर्ड क्लाउड बैकअप से आपके नए मोबाइल के साथ सुरक्षित रूप से सिंक हो जाएंगे, जिससे आप अपने पुराने डिवाइस को पार्किंग स्थल से पुनः प्राप्त कर सकते हैं।”
Apple और Microsoft के पास क्लाउड बैकअप समाधान हैं जिनका उपयोग करने वाले ग्राहक खोए हुए मोबाइल डिवाइस से पुनर्प्राप्त करने के लिए उन साइटों का उपयोग कर सकते हैं। लेकिन बोलो के अनुसार, यह इस बात पर निर्भर करता है कि ऐसे क्लाउड सिस्टम को कितनी सुरक्षित रूप से प्रबंधित किया जाता है।
“प्रमाणीकरण के बिना किसी अन्य डिवाइस में सार्वजनिक कुंजी जोड़ना कितना आसान है?” बेलो हैरान था। “मुझे लगता है कि उनकी नैतिकता इसे असंभव बना देती है, लेकिन अन्य लोग इससे सहमत नहीं हैं।”
निकोलस वीवरकंप्यूटर विज्ञान के क्षेत्र में व्याख्याता यूनिवर्सिटी ऑफ कैलिफोर्निया, बर्केलेउन्होंने कहा कि “आपने अपना फोन और पासवर्ड खो दिया है” के मामले में वेबसाइटों में अभी भी कुछ पुनर्प्राप्ति तंत्र होना चाहिए, जिसे उन्होंने “सुरक्षित रूप से करने के लिए एक बहुत ही कठिन समस्या और पहले से ही हमारी वर्तमान प्रणाली में सबसे बड़ी कमजोरियों में से एक” के रूप में वर्णित किया।
वीवर ने एक ईमेल में कहा, “यदि आप अपना पासवर्ड भूल सकते हैं, अपना फोन खो सकते हैं और इसे पुनर्प्राप्त कर सकते हैं, तो अब यह हमलावरों के लिए एक बड़ा लक्ष्य है।” “यदि आप अपना पासवर्ड भूल जाते हैं और अपना मोबाइल फ़ोन खो देते हैं, तो अब आप साइन इन करने के लिए उपयोग किया जाने वाला अपना प्रमाणीकरण टोकन खो देंगे। यह बाद वाला होना चाहिए। ऐप्पल के पास इसका समर्थन करने के लिए बुनियादी ढांचा है (आईक्लाउड किचेन), लेकिन यह स्पष्ट नहीं है कि Google करेगा या नहीं।
बहरहाल, उन्होंने कहा कि समग्र FIDO दृष्टिकोण सुरक्षा और उपयोगिता में सुधार के लिए एक उत्कृष्ट उपकरण है।
“यह एक अच्छा कदम है और मुझे यह देखकर खुशी हुई,” वीवर ने कहा। “फोन के मालिक (यदि आपके पास एक अच्छा पासकोड है) के मजबूत प्रमाणीकरण का उपयोग करना बहुत अच्छा है। और कम से कम आईफोन के लिए, यहां तक कि फोन समझौता भी इसे मजबूत बना सकता है, क्योंकि यह एक सुरक्षित एन्क्लेव है जो इसे संभालता है और एक सुरक्षित एन्क्लेव होस्ट ऑपरेटिंग सिस्टम पर भरोसा नहीं करता है।
प्रौद्योगिकी के दिग्गजों का कहना है कि नई पासवर्ड-मुक्त क्षमताओं को “आने वाले वर्ष में” Apple, Google और Microsoft ऑपरेटिंग सिस्टम पर लागू किया जाएगा। लेकिन विशेषज्ञों का कहना है कि छोटी इंटरनेट साइटों को तकनीक अपनाने और पासवर्ड से पूरी तरह छुटकारा पाने में अभी भी कई साल लगेंगे।
हाल के शोध से पता चलता है कि कई और लोग पासवर्ड का पुन: उपयोग या रीसायकल करते हैं (उसी पासवर्ड को थोड़ा संशोधित करते हुए), जो डेटा उल्लंघन में उन क्रेडेंशियल्स के उजागर होने पर खाता अधिग्रहण का जोखिम पैदा करता है। ए शिकायत करना साइबर सुरक्षा से मार्च स्पाईक्लाउड 64% उपयोगकर्ताओं ने पाया कि वे कई खातों के लिए पासवर्ड का पुन: उपयोग करते हैं, और पिछले उल्लंघनों में समझौता किए गए 70% क्रेडेंशियल अभी भी उपयोग में हैं।
FIDO दृष्टिकोण पर मार्च 2022 का श्वेत पत्र उपलब्ध है यहां (पीडीएफ)। इसमें अक्सर पूछे जाने वाले प्रश्न हैं यहां.
More Stories
उत्तरी अमेरिका में दूसरी तिमाही के मुनाफे में गिरावट के कारण जीएम का लक्ष्य लागत में और कटौती करना है
इज़राइल द्वारा सुप्रीम कोर्ट की कुछ शक्तियों पर प्रतिबंध लगाए जाने पर विरोध प्रदर्शन शुरू हो गए
बिडेन प्रशासन ने रियो ग्रांडे फ्लोट प्रतिबंध पर टेक्सास के गवर्नर के खिलाफ मुकदमा दायर किया है, जो अप्रवासियों को रोक रहा है।