Google Adds Passkey Option to Replace Passwords
Google सुझाव देता है कि पासकी को सीधे उपकरणों पर संग्रहीत करने से सफल फ़िशिंग में कमी आएगी। क्या यह पासवर्ड के अंत की शुरुआत है?
Google खाताधारक अब लॉग इन करने के लिए पासवर्ड के बजाय पासकी का उपयोग कर सकते हैं, Google ने बुधवार को एक सुरक्षा ब्लॉग पोस्ट में घोषणा की। यह एक संभावित संकेत है कि तकनीक उद्योग साइन इन करने के सबसे सामान्य तरीके के रूप में पासवर्ड से दूर जा रहा है।
करने के लिए कूद:
पासकी कैसे कार्यान्वित की जाती हैं?
पासकी क्रिप्टोग्राफ़िक निजी कुंजी हैं, जो आपके डिवाइस पर संग्रहीत एक विशिष्ट पहचानकर्ता है। वे Fast Identity Online Alliance और W3C WebAuthn वर्किंग ग्रुप द्वारा बनाए गए मानकों के तहत काम करते हैं। Google को एक संबंधित सार्वजनिक कुंजी प्राप्त होती है जो उन्हें आपके डिवाइस पर सीधी रेखा के बिना दूसरी ओर से दरवाजा खोलने की अनुमति देती है। पासकुंजी को Google वेबसाइटों और ऐप्स के साथ साझा किया जाता है, लेकिन उनसे आगे नहीं।
देखना: FIDO एलायंस पर Google, Microsoft और Apple के काम ने पिछले साल इस बदलाव की शुरुआत की।
“हस्ताक्षर हमें साबित करता है कि डिवाइस आपका है क्योंकि इसकी निजी कुंजी है, कि आप इसे अनलॉक करने के लिए वहां थे, और आप वास्तव में Google में साइन इन करने की कोशिश कर रहे हैं, न कि कुछ मध्यस्थ फ़िशिंग साइट,” बिर्गिसन और स्मेटर्स ने लिखा।
Google खातों के लिए पासकी का क्या अर्थ है?
पासकी बायोमेट्रिक हो सकती है, जैसे फ़िंगरप्रिंट या चेहरे की पहचान, या पिन। वे पासवर्ड या दो-कारक प्रमाणीकरण को प्रतिस्थापित करते हैं। वे Google को उस जानकारी को आंतरिक रूप से साझा किए बिना आपकी पहचान की पुष्टि करने की अनुमति देते हैं, ताकि आपके डिवाइस को पता चले कि आप अधिकृत हैं, लेकिन कोई भी जानकारी उस स्थानीय जांच को नहीं छोड़ती है।
एक बार जब आप अपने खाते में पासकी जोड़ लेते हैं, तो जब आप साइन इन करते हैं या कुछ सुरक्षित कार्य करते हैं तो Google आपसे इसके लिए पूछेगा। आपका स्थानीय उपकरण स्क्रीन लॉक बायोमेट्रिक्स निष्पादित करेगा या यह सुनिश्चित करते हुए आपका पिन मांगेगा कि पासकुंजी की जानकारी कभी भी स्वयं Google के साथ साझा नहीं की जाती है। सुरक्षा वृद्धि पासकी को स्थानीय रूप से संग्रहीत करने और इसे किसी तीसरे पक्ष के लिए दृश्यमान रखने से आती है। भले ही कोई हमलावर आपके Google खाते का पता जानता हो, पासवर्ड उसके साथ संग्रहीत नहीं किया जाएगा।
Google खाता धारक अभी भी पासवर्ड का उपयोग कर सकेंगे यदि वे चाहें या यदि उनके डिवाइस में बायोमेट्रिक्स या पासकी का समर्थन नहीं है। स्वाभाविक रूप से, Google की पासकुंजी सुविधा इन उपकरणों पर कार्य नहीं करेगी। साइन इन के लिए पासकी का उपयोग करने का विकल्प अभी भी आपके लिए उपलब्ध रहेगा, और, इसके विपरीत, पासवर्ड और दो-कारक प्रमाणीकरण अभी भी लॉग इन करने के व्यवहार्य तरीके होंगे।
देखना: 1Password को लगता है कि पासवर्ड रहित भविष्य है – लेकिन वहाँ तक पहुँचने में दशकों लग सकते हैं।
विभिन्न उपकरणों के लिए अलग-अलग विवरण
चूंकि पासकुंजियां उपकरणों से संबद्ध होती हैं, खातों से नहीं, इसलिए यदि वे पासकी को सक्रिय करते हैं तो Google खाता धारकों के लॉगिन के बारे में सोचने का तरीका कुछ भिन्न हो सकता है। उपयोगकर्ताओं के पास अलग-अलग उपकरणों के लिए अलग-अलग पासकी हो सकती हैं या उन मामलों में उनके बीच साझा कर सकते हैं जैसे कि ऐप्पल में जहां इस तरह की साझाकरण अंतर्निहित है। उपयुक्त होने पर कुछ डिवाइस उपयोगकर्ताओं को “किसी अन्य डिवाइस से पासकी का उपयोग करने” के लिए संकेत देंगे।
एक ऐसा क्षेत्र है जिसमें यह संभावित रूप से खातों को कम सुरक्षित बनाता है, अधिक नहीं: यदि कोई आपके डिवाइस को भौतिक रूप से एक्सेस करता है, तो वे वहां संग्रहीत पासकी से साइन इन कर सकते हैं।
Google ने इस जोखिम को भी तौला। अरनार बिर्गिसन और डायना के स्मेटर्स, आइडेंटिटी इकोसिस्टम्स और गूगल अकाउंट सिक्योरिटी ने लिखा, “अधिकांश लोगों को पासवर्ड के साथ अच्छी सुरक्षा मुद्रा बनाए रखने और फ़िशिंग प्रयासों के लिए निरंतर तलाश में रहने के बजाय अपने उपकरणों तक पहुंच को नियंत्रित करना आसान लगेगा।” और सुरक्षा दल, घोषणा पोस्ट में।
Google पासकी में क्यों बदल रहा है?
टेक कंपनी ने कहा कि यह परिवर्तन Google खाता धारकों के खिलाफ सफल फ़िशिंग हमलों की संख्या को कम करने के लिए लागू किया जा रहा है। यह “सिम स्वैपिंग” हमलों को भी रोकता है जो एसएमएस सत्यापन के दौरान चलन में आ सकते हैं। जबकि दो-कारक प्रमाणीकरण सफल फ़िश पर कटौती करता है, Google का कहना है कि उन्हें “अतिरिक्त, अवांछित घर्षण” जोड़ने और सिम स्वैप जैसे अन्य प्रकार के हमलों से बचाने के लिए दो-कारक प्रमाणीकरण मिला है।
