Passkey में अभी भी समस्याएँ हैं

 (fy.blackhats.net.au)
7 पॉइंट द्वारा GN⁺ 2025-12-19 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • 2025 में भी Passkey सुरक्षा और सुविधा पर बहस के बीच अब भी user experience और vendor lock-in की समस्याएँ लेकर चल रहा है
  • नया FIDO Credential Exchange providers के बीच migration संभव बनाता है, लेकिन platforms के बीच friction और fragmentation की समस्या अब भी बनी हुई है
  • Apple, Google, Microsoft जैसे platform managers के साथ backup न कर पाने और lockout के जोखिम जारी हैं, और user choice को सीमित करने वाले UI design की भी आलोचना हो रही है
  • Passkey की अवधारणा की जटिलता और services की भ्रामक communication आम users का भरोसा कम करती है
  • महत्वपूर्ण accounts की सुरक्षा के लिए self-controlled Credential Manager और Yubikey जैसी hardware key का उपयोग महत्वपूर्ण है

TL;DR सारांश

  • Passkey में अभी भी कमियाँ मौजूद हैं, और users को इन्हें समझकर अपनी जरूरतों के अनुसार इस्तेमाल करना चाहिए
    • केवल platform providers (Apple, Google, Microsoft) के Credential Manager का उपयोग करने पर backup न कर पाने और lockout का जोखिम रहता है
    • Bitwarden, Vaultwarden जैसे backup-सक्षम Credential Manager के उपयोग की सिफारिश की जाती है
    • FIDO Credential Exchange के जरिए बाहरी Credential Manager में नियमित sync करना आवश्यक है
    • email जैसे महत्वपूर्ण accounts के लिए Yubikey को passkey store के रूप में उपयोग करें, और मजबूत password + TOTP को सहायक साधन के रूप में बनाए रखें
    • Credential Manager तक पहुँच न होने की स्थिति में recovery path को पहले से जाँच लेना चाहिए

पिछले 1 वर्ष में हुए बदलाव

  • सबसे बड़ा बदलाव FIDO Credential Exchange specification का परिचय है
    • इसके जरिए passkey providers के बीच credentials को स्थानांतरित करना संभव हुआ है
  • लेकिन platforms के बीच friction और ecosystem fragmentation अब भी मौजूद है
    • अलग-अलग devices के बीच passkeys fragmented हो सकती हैं, और users को इसका पता भी न चले
    • Apple devices की passkeys non-Apple devices पर sync नहीं हो सकतीं, जबकि Google और Microsoft में कुछ हद तक यह संभव है
    • Apple users को और अधिक lock-in महसूस हो सकता है

Passkey की अवधारणा की जटिलता

  • password को “जो मैं जानता हूँ” और SMS 2FA को “जो मैं प्राप्त कर सकता हूँ” के रूप में सहज रूप से समझा जा सकता है
  • इसके विपरीत passkey एक अदृश्य authentication factor है, जिसे user सीधे देख, जाँच या print नहीं कर सकता
  • Credential Manager पर भरोसा करने की प्रक्रिया जरूरी होती है, लेकिन passkey इस trust step को छलांग लगा देता है
  • यहाँ तक कि security experts भी passkey के काम करने के तरीके को लेकर भ्रमित हो जाते हैं, इसलिए इसे समझने की बाधा ऊँची है

‘thought leadership’ और user education की समस्या

  • उद्योग के कुछ लोग कहते हैं कि “password management सीखना industry की विफलता है”,
    लेकिन वास्तव में passkey के लिए भी Credential Manager की समझ जरूरी है
  • password और TOTP को पसंद करने वाले users ऐसा घमंड से नहीं बल्कि usability की समस्या के कारण कर सकते हैं
  • यह मानना कि passkey बिना user education के भी काम कर जाएगा, वास्तविकता से कटा हुआ दृष्टिकोण है
  • अगर user पर्याप्त समझ के बाद भी passkey की बजाय दूसरा तरीका चुनता है, तो उस user के लिए passkey विफल है

अब भी कायम vendor lock-in

  • FIDO Credential Exchange होने के बावजूद, वास्तविक उपयोग के दौरान friction और UI-driven design switching cost को बढ़ा देते हैं
  • Apple का passkey creation modal डिफ़ॉल्ट रूप से Apple Keychain के उपयोग की ओर ले जाता है,
    जबकि दूसरे विकल्प (security key, Android आदि) ‘Other Options’ में छिपे रहते हैं
  • user की पसंद याद नहीं रखी जाती, और हर बार फिर डिफ़ॉल्ट विकल्प पर लौट आती है
  • Google Chrome में भी इसी तरह की संरचना है, जो platform ecosystem में बनाए रखने की दिशा में प्रेरित करती है
  • यह सिर्फ storage location का मुद्दा नहीं, बल्कि पूरे user experience में निर्भरता पैदा करता है

cloud keychain data loss

  • Apple Keychain से passkeys गायब हो जाने, या Android devices पर उन्हें create/use न कर पाने के मामले जारी हैं
  • कुछ मामलों में device reset के बाद भी recovery संभव नहीं होती, और user का account access पूरी तरह बंद हो जाता है
  • ऐसी समस्याएँ passkey पर भरोसा कम करती हैं

vendors द्वारा account lockout

  • Apple account lockout के मामलों में सभी passkeys recovery के बाहर जाकर समाप्त हो गईं
  • Google और Microsoft में भी ऐसे ही मामले मौजूद हैं
  • एक ही account action के कारण सभी credentials नष्ट होने का जोखिम हो सकता है

authentication services की भ्रामक communication

  • कुछ services यह समझाती हैं कि “passkey face/fingerprint data भेजता है”
  • वास्तव में biometric data device के बाहर नहीं जाता,
    लेकिन आम user इसे ‘चेहरा/फिंगरप्रिंट इंटरनेट पर भेजा जा रहा है’ के रूप में गलत समझ सकता है
  • ऐसे विवरण passkey के प्रति अविश्वास और असहजता पैदा करते हैं
  • platform providers के UI भी इन गलतफहमियों को दूर नहीं कर पाते

user choice को सीमित करने वाली authentication services

  • कुछ websites अब भी केवल एक passkey की अनुमति देती हैं, या
    authenticatorAttachment option के जरिए सिर्फ platform-bound passkey को मजबूर करती हैं
  • इससे security key या non-platform Credential Manager का उपयोग रुक जाता है
  • कुछ sites login के समय पूर्व सहमति के बिना auto passkey registration की कोशिश करती हैं, जो अनैतिक व्यवहार है

निष्कर्ष और सिफारिशें

  • अधिकतर समस्याएँ platform providers-केंद्रित passkey management structure से पैदा होती हैं
  • users को self-controlled Credential Manager के जरिए
    account lockout और data loss के जोखिम को कम करना चाहिए और नियमित backup करना चाहिए
  • Yubikey (firmware 5.7 या उससे ऊपर) में अधिकतम 150 passkeys store की जा सकती हैं
    • कुछ accounts में यह software Credential Manager का विकल्प बन सकता है
  • email account recovery path का केंद्र है, इसलिए
    hardware key + मजबूत password + TOTP का साथ में उपयोग करें और offline backup बनाए रखें
  • Apple, Google जैसे platforms को user की पसंद याद रखनी चाहिए और
    security key और अन्य providers के विकल्प UI में समान रूप से देने चाहिए
  • developers को WebAuthn API की pre-filtering से बचना चाहिए,
    और passkey registration से पहले users को स्पष्ट रूप से सूचित करना चाहिए
  • मूल सिद्धांत user control और consent सुनिश्चित करना है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.