"ईमेल ही authentication है" पैटर्न

 (rubenerd.com)
4 पॉइंट द्वारा GN⁺ 2024-09-09 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • ज़्यादातर लोग ad blocker, सीमित JavaScript, password manager आदि का इस्तेमाल नहीं करते
  • बहुत से लोग निम्नलिखित login प्रक्रिया से गुजरते हैं
    • login page पर जाते हैं
    • "मैं पासवर्ड भूल गया/गई" पर क्लिक करते हैं
    • ईमेल पर जाते हैं
    • recovery link पर क्लिक करते हैं
    • ऐसा अस्थायी password दर्ज करते हैं जिसे वे याद नहीं रख पाएंगे
    • फिर यही दोहराते हैं
  • जब लोगों से पूछा जाता है कि वे ऐसी प्रक्रिया से क्यों गुजरते हैं, तो ज़्यादातर को वजह नहीं पता होती
  • password manager, identity theft के जोखिम, और two-factor तथा multi-factor authentication की ज़रूरत पर पहले ही बहुत चर्चा हो चुकी है
  • सवाल यह है कि लोग "मैं पासवर्ड भूल गया/गई" को authentication के साधन की तरह क्यों इस्तेमाल करते हैं
  • यह कोई सचेत निर्णय नहीं, बल्कि समय के साथ बनी एक आदत है
  • क्या इस आदत का उपयोग करके ऐसे सिस्टम डिज़ाइन किए जा सकते हैं जिनसे लोग बेहतर तरीके से उनका इस्तेमाल करें, इस पर विचार किया गया है

GN⁺ का सार

  • यह लेख उस आदत पर चर्चा करता है जिसमें लोग पासवर्ड भूलने की प्रक्रिया के ज़रिए authentication प्राप्त करते हैं
  • password manager और two-factor authentication की ज़रूरत पर पहले ही बहुत चर्चा हो चुकी है, लेकिन यह सवाल उठाया गया है कि लोग किसी खास प्रक्रिया का पालन क्यों करते हैं
  • यह खोजता है कि क्या इन आदतों का उपयोग करके बेहतर security system डिज़ाइन किए जा सकते हैं
  • समान कार्यक्षमता वाले उत्पादों में LastPass, 1Password आदि शामिल हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-09-09
Hacker News राय

  • ऑनलाइन authentication में email account सबसे आम तरीका है

    • phone number भी एक विकल्प है, लेकिन लोग अपना mobile phone खो सकते हैं
    • phone number की security, email account से कम होती है
    • user authentication system डिज़ाइन करते समय account recovery को ध्यान में रखना चाहिए

  • जब business सरलता देना चाहता है, तो email authentication system का उपयोग करता है

    • user अपना email दर्ज करता है
    • email पर verification code भेजा जाता है
    • user code दर्ज करता है और फिर "अनिश्चित काल" तक login स्थिति बनी रहती है
    • अगर email नया है, तो account अपने-आप बन जाता है
    • कुछ user कई email इस्तेमाल करके गलती से नया account बना सकते हैं
    • यह तरीका registration और login conversion rate को काफ़ी बेहतर बनाता है

  • password-आधारित authentication system अव्यावहारिक है

    • password दो तरीकों से इस्तेमाल होते हैं
      • password manager के ज़रिए एक master password से सुरक्षित
      • कई services में एक ही password बार-बार इस्तेमाल किया जाता है
    • ज़्यादातर services email recovery देती हैं
    • व्यक्तिगत email account लगभग कभी बदले नहीं जाते, साझा नहीं किए जाते, और दोबारा इस्तेमाल नहीं होते

  • login के लिए email से one-time URL link भेजने का सुझाव

    • link 10 मिनट के भीतर expire हो जाता है और एक बार ही इस्तेमाल किया जा सकता है
    • जिसके पास link हो वह login कर सकता है, लेकिन उसे केवल email से ही access किया जा सकता है
    • security, email account पर निर्भर करती है

  • service provider users को असुविधा क्यों देते हैं, इसका कारण सरल है

    • email provider के session लगभग कभी समाप्त नहीं होते
    • service authentication token को Gmail session समय के बराबर सेट किया जा सकता है, या OTP से login की अनुमति दी जा सकती है

  • ज़्यादातर लोग computer पर कुछ करके देखते हैं और उसी से समाधान निकालते हैं

    • software उन लोगों द्वारा बनाया जाता है जो system को अच्छी तरह समझते हैं, लेकिन user ऐसा नहीं करते
    • user जब कोई काम करने वाला pattern ढूँढ लेते हैं, तो उसी पर टिके रहते हैं
    • कई school tablet इस्तेमाल करते हैं, इसलिए computer इस्तेमाल करने का सहज अनुभव विकसित नहीं हो पाता

  • कुछ site password भूलने वाले चरण को छोड़कर email को ही authentication के रूप में इस्तेमाल करती हैं

    • email address दर्ज करें
    • code वाला email प्राप्त करें
    • code दर्ज करके login करें
    • कई email इस्तेमाल करने वालों के लिए यह असुविधाजनक हो सकता है

  • Best Buy भी इसी तरह का तरीका इस्तेमाल करता है

    • password manager से password सहेजकर रखते हैं, लेकिन ATO protection की वजह से password अमान्य बताया जाता है
    • समस्या सुलझाने की कोशिश करते-करते थक जाते हैं और फिर सबसे आसान तरीका अपना लेते हैं

  • login flow काफ़ी समान है

    • A) website पर जाएँ, password manager से password copy-paste करें, और email पर TOTP request प्राप्त करें
    • B) website पर जाएँ, "password भूल गए" पर click करें, login link प्राप्त करें, और कोई भी random string दर्ज करें
    • कभी-कभी B तरीका ज़्यादा तेज़ होता है

  • user password save नहीं करते, क्योंकि उनके पास password manager नहीं होता

    • password manager के बारे में जानते हों तब भी shared cloud PC पर काम करते समय account बदलना झंझट भरा होता है
    • जिन site में password save करने की सुविधा नहीं होती, वहाँ password सहेजा नहीं जाता