- प्राइमटाइम के लिए अभी तैयार नहीं हुई तकनीक: Passkey तकनीक सुरुचिपूर्ण है, लेकिन उपयोग के लिहाज़ से इसकी सुरक्षा पर्याप्त नहीं है
- इसे password के विकल्प के रूप में देखा जा रहा है और phishing तथा database hacking के खिलाफ मज़बूत रक्षा माना जाता है
- FIDO2 और WebAuthn specifications सुरुचिपूर्ण हैं, लेकिन user experience अब भी जटिल है
- सैकड़ों sites और प्रमुख operating systems तथा browsers में Passkey support है, लेकिन हर platform पर implementation का तरीका और असंगत workflow usability को कमजोर करते हैं
- उदाहरण के लिए, एक ही site पर iOS और Android में login experience अलग होता है, और कुछ browsers में तो support है ही नहीं
- हर platform अपना Passkey sync option थोपता है, जिससे users के लिए कोई दूसरा विकल्प चुनना मुश्किल हो जाता है
- Passkey implementation ऐसी होनी चाहिए कि users इसे आसानी से इस्तेमाल कर सकें, लेकिन अभी ऐसा नहीं है
- 1Password जैसे security manager के जरिए Passkey sync करने से इस समस्या का समाधान हो सकता है, लेकिन इससे Passkey के मूल लाभ, यानी passwordless authentication, का उद्देश्य कमजोर पड़ जाता है
- इसके अलावा, अधिकांश users अब भी password manager का उपयोग नहीं करते
- Passkey support करने वाली sites में कोई भी ऐसी नहीं है जिसने password को पूरी तरह हटाया हो
- SMS-आधारित MFA authentication अब भी कमजोर है, और यह Passkey की security को कमज़ोर करता है
- enterprise environment में Passkey password और authenticator का विकल्प बन सकता है
सुझाव
- security manager का उपयोग: 1Password जैसे tools के जरिए Passkey sync करें और MFA सक्रिय करके सुरक्षा मज़बूत करें
- MFA को प्राथमिकता दें: अगर संभव हो, तो security key या authenticator app का उपयोग करके multi-factor authentication सक्रिय करें
- Passkey अपनाने पर विचार करें: Passkey अंततः काफ़ी संभावनाशील है, लेकिन फिलहाल password और security manager अब भी ज़रूरी हैं
निष्कर्ष
- Passkey में password की सुरक्षा समस्याओं को हल करने की काफ़ी संभावना है, लेकिन इस समय तकनीकी सीमाओं और usability issues की वजह से यह एक पूर्ण विकल्प नहीं है
- आगे इसमें सुधार की संभावना बहुत है, लेकिन अभी के लिए मौजूदा authentication तरीकों को साथ में इस्तेमाल करना सबसे व्यावहारिक विकल्प है.
2 टिप्पणियां
मैं भी passkey को Bitwarden में रखकर इस्तेमाल कर रहा हूँ।
इसे देखते हुए कि हर नाम को एक-एक करके रजिस्टर करने की सुविधा दी गई है, ऐसा नहीं लगता कि passkey ऐसी तकनीक है जिसे सिर्फ़ एक ही बनाकर sync करके इस्तेमाल करने के लिए बनाया गया हो। लगता है मकसद यह है कि हर device के लिए एक-एक बनाया जाए, लेकिन सच कहूँ तो यह झंझट वाला है।
Hacker News राय
किसी समानांतर ब्रह्मांड में ऐसा कानून मौजूद है जिसमें सभी computing device निर्माताओं को ऐसा storage देना होता है जिसमें उपयोगकर्ता अपने security credentials plug in कर सकें। मौजूदा passkey approach एक ऐसे काल्पनिक मॉडल पर डिज़ाइन की गई है जिसमें उपयोगकर्ता पूरी तरह एक ही ecosystem में डूबा रहता है.
Passkey, Yubico की इच्छित शैली में, hardware key का उपयोग करके authentication करने का तरीका था, लेकिन Apple, Google, Microsoft OS के ज़रिए जादुई ढंग से authenticate करना पसंद करते हैं.
OS vendors चाहते हैं कि उपयोगकर्ता non-OS software या hardware का उपयोग न करें, और उन्हें cloud-based passkey उपयोग करने की ओर धकेलते हैं.
आदर्श भविष्य की स्थिति यह होगी कि browser settings में नए registered credentials के provider को चुना जा सके.
TOTP भी इसी तरह की समस्या से जूझ रहा है, और कई passkey storage export की अनुमति नहीं देते। Bitwarden एक अपवाद है जो passkey export कर सकता है.
Password से passkey की ओर बदलाव आधुनिक internet security model में बड़ा परिवर्तन है, इसलिए लोगों का सतर्क होना और मतभेद होना स्वाभाविक है.
Passkey पसंद करने वाले अल्पसंख्यक उपयोगकर्ताओं में से एक के रूप में, मैं iCloud Keychain और 1Password में passkey बनाता हूँ। मुझे लगता है कि बेहतर export/import सुविधाओं की ज़रूरत है.
Passkey एक अदृश्य black box है, और सामान्य उपयोगकर्ता इसका backup नहीं कर सकते। इसका implementation अधूरा है और attack surface बड़ा है.
Fido में website/framework/library support की कमी है, और मुझे लगता है कि passkey एक असफल product है। usability समस्याओं के कारण passkey पर भरोसा नहीं किया जा सकता.
तकनीकी उपयोगकर्ता के रूप में, passkey authentication session की छोटी अवधि के कारण मैंने Google का उपयोग बंद कर दिया। बार-बार re-authenticate करना पड़ना असुविधाजनक है.