मुख्य तथ्य
- FIDO एलायंस ने एक श्वेत पत्र प्रकाशित किया है जिसमें कमियों का विश्लेषण किया गया है जो इसके पासवर्ड रहित प्रमाणीकरण मानक को मुख्यधारा बनने से रोकते हैं।
- पासवर्ड रहित प्रमाणीकरण तंत्र पासवर्ड को बदलने में विफल रहे हैं क्योंकि वे असुविधाजनक हैं, श्वेतपत्र बताता है।
-
यह रोमिंग सुरक्षा कुंजियों के रूप में स्मार्टफोन के उपयोग का प्रस्ताव करता है।
मजबूत पासवर्ड बनाने और प्रबंधित करने के लिए असुविधाजनक हैं, लेकिन प्रमाणीकरण प्रक्रिया में अतिरिक्त कदम और डिवाइस जोड़ना और भी बड़ा सिरदर्द है।
यह फास्ट आईडी ऑनलाइन एलायंस (एफआईडीओ) द्वारा एक श्वेतपत्र का निष्कर्ष है, जो पासवर्ड रहित प्रमाणीकरण तंत्र को मुख्यधारा बनने से रोकने के लिए प्रयोज्य मुद्दों को दोषी ठहराता है। हालाँकि, गठबंधन एक बार और सभी के लिए समस्या को हल करने के लिए एक समाधान के साथ आया है और FIDO प्रमाणीकरण मानक को पासवर्ड के रूप में सर्वव्यापी बना दिया है।
"FIDO ने सभी प्रारंभिक अपेक्षाओं को पार कर लिया है," LoginID में उत्पाद के VP, Bill Leddy ने श्वेतपत्र को पढ़ने के बाद ईमेल पर Lifewire को बताया। "[यह] वास्तव में सभी प्रमाणीकरण [मुद्दों] को हल करने के करीब है, लेकिन कुछ और की जरूरत है।"
पासवर्ड रद्द करना
लेड्डी का मानना है कि पासवर्ड ने अपने उपयोग को खत्म कर दिया है। वह बहुत लंबे समय तक कमजोर विकल्पों को आगे बढ़ाकर लोगों को विफल करने के लिए सुरक्षा उद्योग को दोषी ठहराते हैं।
"पासवर्ड अब 60 वर्ष पुराने हैं लेकिन अधिकांश खातों के लिए प्राथमिक प्रमाणीकरण विकल्प बने हुए हैं। उपभोक्ताओं के पास कई अलग-अलग खाते हैं और उनसे प्रत्येक के लिए एक अद्वितीय पासवर्ड याद रखने की अपेक्षा की जाती है।यह एक व्यावहारिक समाधान नहीं है, "लेड्डी ने जोर दिया। उन्होंने कहा कि आज के इंटरनेट में, जहां वेबसाइटों को आसानी से क्लोन किया जा सकता है, सुरक्षा उद्योग का काम लोगों को खाता उल्लंघनों को रोकने के लिए सही उपकरणों से लैस करना है।
पासवर्ड पर निर्भरता को कम करने के लिए बनाया गया एक खुला उद्योग संघ, FIDO Alliance, इस मुद्दे पर लगभग एक दशक से काम कर रहा है। इसने FIDO प्रमाणीकरण मानक बनाया है, जो कर्षण हासिल करने में असमर्थ रहा है। श्वेतपत्र में, गठबंधन को लगता है कि उसने पहेली के लापता टुकड़े की पहचान कर ली है और इसे दूर करने के लिए एक रणनीति की रूपरेखा भी तैयार की है।
गठबंधन के अनुसार, FIDO के वर्तमान पासवर्ड रहित प्रमाणीकरण तंत्र में अंतर्निहित प्रयोज्य मुद्दे हैं जो इसे व्यापक रूप से अपनाने से रोकते हैं।
"[हमने] भौतिक सुरक्षा कुंजियों (खरीदने, पंजीकरण करने, ले जाने, पुनर्प्राप्त करने) की कथित असुविधा के कारण [उपभोक्ता स्थान में] सीमित रूप से अपनाए जाने को देखा है, और उपभोक्ताओं को प्लेटफ़ॉर्म प्रमाणीकरणकर्ताओं (उदा.छ., प्रत्येक नए उपकरण का पुन: नामांकन करना; खोए या चोरी हुए उपकरणों से पुनर्प्राप्त करने का कोई आसान तरीका नहीं) एक दूसरे कारक के रूप में, "कागज ने नोट किया।
समस्याओं को दूर करने के लिए, श्वेतपत्र हमारे स्मार्टफ़ोन को रोमिंग प्रमाणक या पोर्टेबल सुरक्षा कुंजियों के रूप में उपयोग करने के लिए कहता है।
"रोमिंग प्रमाणक के रूप में एक उपयोगकर्ता का उपकरण एक अच्छा उपयोगकर्ता अनुभव है और अर्ध-विश्वसनीय डिवाइस पर पासवर्ड से कहीं अधिक सुरक्षित है अगर इसे सही तरीके से किया जाता है। चूंकि नए स्मार्टफोन मूल रूप से एफआईडीओ का समर्थन करते हैं और उपभोक्ता अपने फोन से शायद ही कभी दूर होते हैं, इसलिए यह एक अच्छा विकल्प है," सहमत लेडी।
आगे का रास्ता
हालांकि, श्वेतपत्र से पता चलता है कि स्मार्टफोन को पोर्टेबल सुरक्षा कुंजी के रूप में सफल होने के लिए, FIDO को लोगों के लिए अपने मोबाइल उपकरणों को जोड़ने या स्विच करने के लिए एक आसान प्रक्रिया तैयार करनी चाहिए।
यह तर्क देता है कि यदि आवश्यक कार्यों के लिए प्रक्रिया, जैसे कि एक नया फोन सेट करना या एक नए पर स्विच करना, सीधा नहीं है, तो लोग संभवतः पूरे विचार को असुविधाजनक मानते हुए खारिज कर देंगे।इससे बचने के लिए, पेपर एक नई तकनीक पेश करने का प्रस्ताव करता है जिसे वे मल्टी-डिवाइस FIDO क्रेडेंशियल या "पासकी" कहते हैं।
"मल्टी-डिवाइस 'पासकी' क्रेडेंशियल FIDO के आसपास एक लंबे समय से चले आ रहे प्रश्न को संबोधित करते हैं। सवाल यह है कि अगर मैंने अपने पुराने डिवाइस पर 50 डोमेन-विशिष्ट क्रेडेंशियल्स को नामांकित किया और फिर एक नया डिवाइस कैसे प्राप्त किया जाए डिवाइस। कोई भी नए FIDO क्रेडेंशियल्स को फिर से जोड़ने के लिए 50 विभिन्न सेवाओं के लिए खाता पुनर्प्राप्ति के माध्यम से नहीं जाना चाहता, "लेड्डी ने समझाया।
FIDO का दावा है कि पासकी इस स्थिति से पूरी तरह बचने में मदद करेंगे, यह सुनिश्चित करके कि जब हम एक डिवाइस से दूसरे डिवाइस पर स्विच करते हैं, तो हमारे FIDO क्रेडेंशियल पहले से ही हमारी प्रतीक्षा कर रहे हैं। बेशक, पेपर वैचारिक है, और लेडी को लगता है कि इस तरह के तंत्र को लागू करने की तुलना में प्रस्तावित करना आसान है।
"यह दुर्भाग्यपूर्ण होगा यदि पासकी समाधान विक्रेता-विशिष्ट थे ताकि कोई उपभोक्ता डिवाइस निर्माताओं या यहां तक कि उपकरणों के एक विषम (मैकबुक और एंड्रॉइड फोन) के बीच स्विच न कर सके," लेडी ने चेतावनी दी।
हालांकि, उन्हें विश्वास है कि FIDO गठबंधन, जो Apple, Meta, Google, PayPal, Wells Fargo, American Express, और Bank of America जैसे दिग्गजों की गिनती करता है, ऐसे समाधान लेकर आएगा जो ' न केवल सार्वभौमिक बल्कि हमलों के खिलाफ भी पूरी तरह से जांच की गई।
FIDO का मानना है कि मल्टी-डिवाइस FIDO क्रेडेंशियल पासवर्ड के ताबूत में अंतिम कील बन जाएंगे। गठबंधन ने कहा, "इन नई क्षमताओं को पेश करके, हम उम्मीद करते हैं कि वेबसाइटों और ऐप्स को एंड-टू-एंड सही मायने में पासवर्ड रहित विकल्प प्रदान करने के लिए सशक्त बनाया जाएगा, कोई पासवर्ड या वन-टाइम पासकोड (ओटीपी) की आवश्यकता नहीं है।"
