- Microsoft ने नए अकाउंट्स के लिए डिफॉल्ट रूप से passwordless sign-in (passkey) लागू करने का तरीका पेश किया है, लेकिन व्यवहार में Microsoft Authenticator ऐप इंस्टॉल करना अनिवार्य होने की सीमा मौजूद है.
- Passkey phishing और डेटा लीक के खिलाफ मजबूत अगली पीढ़ी की authentication विधि है, जो WebAuthn(FIDO2) standard पर आधारित है और public/private key pair के साथ काम करती है.
- यह व्यवस्था सुरक्षा को मजबूत करती है, लेकिन किसी खास ऐप पर निर्भर रहने वाली संरचना user experience और security benefits को आंशिक रूप से कम कर सकती है.
1. Microsoft की “passwordless by default” policy
-
2025 से नए Microsoft अकाउंट्स में डिफॉल्ट sign-in method के रूप में passkey अपनाया जाएगा.
-
मौजूदा users को भी sign-in के समय passkey register करने के लिए प्रेरित किया जाएगा.
-
उद्देश्य:
- password बनाने और manage करने से जुड़े security threats और user burden को कम करना.
- password spraying attacks और data leaks की समस्या को हल करने की कोशिश.
2. तकनीकी अवलोकन और implementation
-
Passkey क्या है?
- WebAuthn(FIDO2) आधारित public/private key pair के जरिए authentication.
- private key user के device (phone, PC, Yubikey आदि) में store होती है और बाहर leak नहीं होती.
- phishing, password reuse और leaks के खिलाफ मूल रूप से मजबूत.
-
काम करने का तरीका:
- साइट random number आधारित “challenge” भेजती है → device के अंदर authenticator sign करता है → server public key से verify करता है.
- key उस URL से bind होती है, इसलिए phishing site पर उसका reuse संभव नहीं.
3. शर्तें और सीमाएं
-
समस्या: passkey सेट करने के बाद भी, अगर Microsoft Authenticator ऐप नहीं है तो password को पूरी तरह हटाना संभव नहीं.
- Authy, Google Authenticator आदि compatible नहीं हैं.
- इसका मतलब user से ऐप को मजबूरी में install करवाना है, जो “default रूप से passwordless” के दावे से टकराता है.
-
सुरक्षा संबंधी संकेत:
- अगर password अब भी बना रहता है, तो passkey के कुछ security benefits खत्म हो जाते हैं.
-
WebAuthn अभी भी विकसित हो रहा है, और usability के मामले में अभी भी कुछ कमियां मौजूद हैं.
अभी कोई टिप्पणी नहीं है.