पासवर्ड की एक कीमत चुकानी पड़ेगी

 (fy.blackhats.net.au)
1 पॉइंट द्वारा GN⁺ 2023-07-14 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • "Passkey" को लेकर काफ़ी दिलचस्पी है और authentication तरीकों में बदलाव की संभावना है
  • Passkey पर अत्यधिक ज़ोर security key के उपयोग को अनावश्यक बना सकता है
  • समस्या resident key और non-resident key के अंतर में है
  • Resident key private key को security key के भीतर ही स्टोर करती है, जबकि non-resident key decryption के लिए credential ID पर निर्भर करती है
  • Resident key security key की स्टोरेज स्पेस का उपयोग करती है और जल्दी भर सकती है
  • Non-resident key अब भी सुरक्षित है और TLS जैसी ही security properties पर निर्भर करती है
  • Resident key के बिना भी user authentication संभव है
  • समस्या Passkey को लेकर बने hype और उसकी परिभाषा को लेकर भ्रम से पैदा होती है
  • Passkey को शुरुआत में Apple ने Touch ID/Face ID का उपयोग करने वाले web authenticator के रूप में पेश किया था
  • Passkey की परिभाषा बदल गई है और अब इसका मतलब resident key हो गया है
  • यह परिभाषा व्यापक हो चुकी है और security key उपयोगकर्ताओं के लिए समस्या पैदा कर रही है
  • Security key में स्टोरेज सीमित होती है और credential management भी पर्याप्त नहीं होता, इसलिए resident key का उपयोग कठिन हो जाता है
  • हर registration में resident key की आवश्यकता user experience को खराब करती है
  • यह उस लक्ष्य के खिलाफ है जिसमें उपयोगकर्ता अपनी पसंद का authenticator चुन सके
  • Passkey की दुनिया में केवल कुछ ही authenticator प्रकार ठीक से काम करते हैं
  • समस्या के समाधान के लिए एक प्रस्ताव यह है कि security key को Passkey requirement से बाहर रखा जाए और authenticated device के लिए storage requirement को अनिवार्य किया जाए
  • कुल मिलाकर, Passkey के रूप में resident key को लेकर बना hype उपयोगकर्ताओं की अपनी पसंद का authenticator चुनने की क्षमता को कमजोर कर रहा है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-07-14
Hacker News टिप्पणियाँ
  • भौतिक security key, फ़ोन या डेस्कटॉप के 2-step authentication फीचर का उपयोग नहीं कर सकती, इसलिए passkey के रूप में यह सबसे बेहतर विकल्प नहीं हो सकती।
  • passkey को iCloud Keychain के ज़रिए sync किए गए key pair के रूप में परिभाषित किया जाता है, और यह परिभाषा दूसरे cloud sync तरीकों तक भी विस्तारित हो गई है।
  • security key, अधिकांश उपयोगकर्ताओं के लिए महत्वपूर्ण नहीं है, और passkey, password की जगह लेने के लिए एक बेहतर विकल्प है।
  • passkey और resident key के लिए protocol design की आलोचना संभावित security issues और compatibility problems के कारण की जाती रही है।
  • resident key और secure element की मौजूदा स्थिति उलझी हुई है और इसमें सुधार की ज़रूरत है।
  • जिन लोगों की background knowledge security या cryptography में नहीं है, उनके लिए इस लेख को समझना कठिन हो सकता है।
  • नए authentication standard में upgrade करने के लिए आपको नए hardware key पर पैसे खर्च करने पड़ सकते हैं।
  • hardware key में storage space सीमित होता है, और बड़े पैमाने पर storage के लिए secure processor जोड़ने से लागत बढ़ सकती है।
  • यह लेख passkey और उसके प्रभावों के बारे में स्पष्ट व्याख्या देता है।
  • कुछ उपयोगकर्ता passkey sync के लिए Google, Apple या Microsoft पर निर्भर नहीं रहना चाहते।
  • hardware-based token और resident key sync के लिए एक centralized solution वांछित है।
  • अगर device खो जाए या compromise हो जाए, तो किसी चीज़ को अपने पास रखकर authentication करने का तरीका समस्याजनक हो सकता है।
  • कुछ उपयोगकर्ताओं का मानना है कि passkey सरकारों और कंपनियों को बहुत अधिक नियंत्रण दे देती है, जिससे privacy और security को नुकसान पहुँचता है।