गेटी इमेजेज
एक दशक से अधिक समय से, हमें आश्वासन दिया गया है कि पासवर्ड-मुक्त दुनिया एक कोने में है, और फिर भी साल-दर-साल, यह सुरक्षा नग्नता हासिल नहीं की जा सकती है। अब, पहली बार, पासवर्ड-मुक्त प्रमाणीकरण का एक कार्यात्मक रूप जनता को Apple, Google और Microsoft द्वारा स्वीकार किए गए मानक प्रारूप में उपलब्ध कराया जा रहा है, जो क्रॉस-साइट और क्रॉस-सर्विस पासवर्ड की अनुमति देता है।
पासवर्ड को खत्म करने की योजना को अतीत में कई समस्याओं का सामना करना पड़ा है। एक बड़ी कमी संभावित पुनर्प्राप्ति तंत्र की कमी है यदि कोई व्यक्ति फ़ोन नंबर या भौतिक टोकन और खाते से जुड़े फ़ोन पर नियंत्रण खो देता है। एक और सीमा यह है कि अधिकांश समाधान अंततः पासवर्ड-मुक्त होने में विफल होते हैं। इसके बजाय, उन्होंने उपयोगकर्ताओं को फेस स्कैन या फ़िंगरप्रिंट के साथ साइन इन करने का विकल्प दिया, लेकिन ये सिस्टम अंततः फ़िशिंग, पासवर्ड पुन: उपयोग और भूल गए पासकोड की श्रेणी में आ गए – यही कारण है कि हम पासवर्ड से नफरत करने लगते हैं। मत जाओ।
एक नया तरीका
इस बार जो अलग है वह यह है कि Apple, Google और Microsoft सभी के पास एक ही सुपरिभाषित समाधान है। इतना ही नहीं, उपयोगकर्ताओं के लिए समाधान पहले से कहीं अधिक आसान है, और किट और फेसबुक जैसी बेहतरीन सेवाओं को लॉन्च करने में कम खर्च होता है। यह मान्यता और संरक्षण में विशेषज्ञों द्वारा सावधानीपूर्वक डिजाइन और सहकर्मी की समीक्षा की गई थी।
FIDO एलायंस
वर्तमान बहु-कारक प्रत्यायन (एमएफए) प्रणालियों ने पिछले पांच वर्षों में महत्वपूर्ण सुधार किए हैं। उदाहरण के लिए, Google मुझे एक नए डिवाइस से अपने Google खाते में लॉग इन करते समय दूसरे कारक के रूप में उपयोग किए जाने वाले आईओएस या एंड्रॉइड ऐप को डाउनलोड करने की अनुमति देता है। सीटीएपी के आधार पर ग्राहक पहले प्रमाणीकरण प्रोटोकॉल—यह प्रणाली यह पुष्टि करने के लिए ब्लूटूथ का उपयोग करती है कि फोन नए डिवाइस के करीब है और यह कि नया डिवाइस वास्तव में Google से जुड़ा है, न कि Google जैसी छद्म साइट। यानी मछली पकड़ना असंभव है। मानक सुनिश्चित करता है कि फोन पर संग्रहीत क्रिप्टोग्राफ़िक रहस्य को निकाला नहीं जा सकता है।
Google भी प्रदान करता है उन्नत सुरक्षा योजना वैयक्तिकृत डोंगल या एंड-यूज़र फोन के रूप में भौतिक कुंजियों को नए उपकरणों से लॉगिन प्रमाणित करने की आवश्यकता होती है।
अब सबसे बड़ी सीमा यह है कि प्रत्येक सेवा प्रदाता द्वारा एमएफए और पासवर्ड-मुक्त प्रमाणीकरण – यदि कोई हो – अलग-अलग हैं। कुछ प्रदाता, जैसे कि अधिकांश बैंक और वित्तीय सेवाएं, अभी भी एसएमएस या ईमेल के माध्यम से पासवर्ड भेजते हैं। यह महसूस करते हुए कि सुरक्षा के प्रति संवेदनशील रहस्यों को ले जाने का सुरक्षित साधन नहीं है, कई सेवाओं ने TOTP नामक प्रणाली पर स्विच कर दिया है। एक समय-आधारित वन-टाइम पासवर्ड– आपको एक दूसरा कारक जोड़ने की अनुमति देता है जो “मेरे पास एक है” कारक के साथ पासवर्ड को प्रभावी ढंग से बढ़ाता है।
भौतिक सुरक्षा कुंजी, टीओटीपी और, कुछ हद तक, एसएमएस और ईमेल के माध्यम से दो-कारक प्रमाणीकरण, एक महत्वपूर्ण कदम है, लेकिन तीन प्रमुख सीमाएं हैं। सबसे पहले, टीओटीपी प्रमाणीकरण अनुप्रयोगों द्वारा उत्पन्न होते हैं और टेक्स्ट या ईमेल द्वारा भेजे जाते हैं मछली का, नियमित पासवर्ड उसी तरह होते हैं। दूसरा, प्रत्येक सेवा का अपना बंद एमएफए ऑपरेटिंग सिस्टम होता है। इसका मतलब यह है कि एमएफए के गैर-फ़िशिंग रूपों का उपयोग करते समय भी – निजी भौतिक कुंजी या फोन-आधारित कुंजी – उपयोगकर्ता को Google, माइक्रोसॉफ्ट और अन्य सभी इंटरनेट संपत्तियों के लिए एक अलग कुंजी की आवश्यकता होती है। मामलों को बदतर बनाने के लिए, प्रत्येक OS ऑपरेटिंग सिस्टम में MFA को लागू करने के लिए अलग-अलग एल्गोरिदम होते हैं।
इन मुद्दों से एक तिहाई हो जाता है: एक जो अधिकांश अंतिम उपयोगकर्ताओं के लिए अनुपयोगी है और महत्वहीन लागत और जटिलता जो प्रत्येक सेवा को एमएफए वितरित करने का प्रयास करते समय सामना करना पड़ता है।
More Stories
उत्तरी अमेरिका में दूसरी तिमाही के मुनाफे में गिरावट के कारण जीएम का लक्ष्य लागत में और कटौती करना है
इज़राइल द्वारा सुप्रीम कोर्ट की कुछ शक्तियों पर प्रतिबंध लगाए जाने पर विरोध प्रदर्शन शुरू हो गए
बिडेन प्रशासन ने रियो ग्रांडे फ्लोट प्रतिबंध पर टेक्सास के गवर्नर के खिलाफ मुकदमा दायर किया है, जो अप्रवासियों को रोक रहा है।