- ■
ब्रिटेन का एनसीएससी नए सुरक्षा मार्गदर्शन में आधिकारिक तौर पर पासवर्ड के स्थान पर पासकी की अनुशंसा की गई है
- ■
पासकीज़ डिवाइस पर संग्रहीत बायोमेट्रिक प्रमाणीकरण और क्रिप्टोग्राफ़िक कुंजियों का उपयोग करते हैं, जिससे फ़िशिंग जोखिम समाप्त हो जाते हैं
- ■
से प्रमुख तकनीकी प्लेटफार्म सेब, गूगलऔर माइक्रोसॉफ्ट पहले से ही मानक का समर्थन करते हैं
- ■
मार्गदर्शन में यूके को औपचारिक रूप से पासवर्ड-आधारित सुरक्षा को समाप्त करने वाली पहली प्रमुख सरकार के रूप में स्थान दिया गया है
ब्रिटेन के शीर्ष साइबर सुरक्षा प्राधिकरण ने हाल ही में पासवर्ड पर युद्ध की घोषणा की है। राष्ट्रीय साइबर सुरक्षा केंद्र ने आज औपचारिक मार्गदर्शन जारी कर ऑनलाइन खातों के लिए पसंदीदा प्रमाणीकरण विधि के रूप में पासकी की सिफारिश की, यह पहली बार है जब किसी प्रमुख सरकारी एजेंसी ने आधिकारिक तौर पर नागरिकों से पारंपरिक पासवर्ड सुरक्षा को छोड़ने का आग्रह किया है। यह कदम एक बुनियादी बदलाव का संकेत देता है कि हम डिजिटल पहचान कैसे सुरक्षित करेंगे, जिसका प्रभाव उपभोक्ता तकनीक और उद्यम सुरक्षा पर पड़ेगा।
राष्ट्रीय साइबर सुरक्षा केंद्रसाइबर सुरक्षा खतरों पर यूके का प्राधिकरण, अपने नवीनतम मार्गदर्शन में शब्दों को कम नहीं कर रहा है। पासवर्ड, जिस डिजिटल सुरक्षा पद्धति पर हम दशकों से भरोसा करते आए हैं, उसे जहां भी संभव हो, पासकी से बदला जाना चाहिए। यह घोषणा एक महत्वपूर्ण क्षण का प्रतिनिधित्व करती है – सरकारी साइबर सुरक्षा एजेंसियां शायद ही कभी ऐसी निश्चित प्रौद्योगिकी सिफारिशें करती हैं।
अधिकांश उपयोगकर्ताओं द्वारा ज्ञात पासवर्ड मॉडल की तुलना में पासकीज़ मौलिक रूप से भिन्न तरीके से काम करती हैं। लॉगिन के दौरान सर्वर पर प्रसारित होने वाले वर्णों की स्ट्रिंग को याद रखने के बजाय, पासकी सीधे आपके डिवाइस पर संग्रहीत क्रिप्टोग्राफ़िक कुंजी जोड़े का उपयोग करते हैं। जब आप पासकी सेट करते हैं, तो आपका फ़ोन या लैपटॉप एक अद्वितीय गणितीय कुंजी उत्पन्न करता है जो डिवाइस को कभी नहीं छोड़ती है। प्रमाणीकरण फेस आईडी या फिंगरप्रिंट स्कैन जैसे बायोमेट्रिक्स के माध्यम से होता है, जिससे साबित होता है कि आप इंटरनेट पर कोई गुप्त जानकारी भेजे बिना वैध उपयोगकर्ता हैं।
एनसीएससी मार्गदर्शन का समय तकनीकी उद्योग में बढ़ती पासकी अपनाने के साथ मेल खाता है। सेब 2022 में iOS, iPadOS और macOS में एकीकृत पासकी समर्थन गूगल पिछले वर्ष व्यक्तिगत खातों के लिए पासकीज़ को डिफ़ॉल्ट विकल्प बना दिया गया था। माइक्रोसॉफ्ट इसी तरह विंडोज हैलो और माइक्रोसॉफ्ट खातों के लिए पासकी प्रमाणीकरण को आगे बढ़ाया गया। यहां तक की मेटा इंस्टाग्राम और फेसबुक के लिए हाल ही में सक्षम पासकी लॉगिन।
लेकिन तकनीक उपलब्ध होने के बावजूद इसे अपनाने की गति धीमी रही है। अधिकांश उपयोगकर्ता अभी भी पारंपरिक पासवर्ड के लिए डिफ़ॉल्ट हैं, अक्सर कई साइटों पर समान कमजोर क्रेडेंशियल्स का पुन: उपयोग करते हैं। पासवर्ड मैनेजर के हालिया आंकड़ों के मुताबिक 1 पासवर्ड60% से अधिक इंटरनेट उपयोगकर्ता अभी भी अपने सभी खातों के लिए पांच से कम पासवर्ड पर निर्भर हैं। जब किसी सेवा का उल्लंघन होता है तो यह व्यवहार व्यापक सुरक्षा जोखिम पैदा करता है।
एनसीएससी का समर्थन उद्यम अपनाने के लिए विशेष महत्व रखता है। सरकारी मार्गदर्शन अक्सर सार्वजनिक क्षेत्र के संगठनों और ठेकेदारों के बीच खरीद निर्णय और सुरक्षा नीतियों को संचालित करता है। यूके के व्यवसाय जो सरकारी डेटा संभालते हैं या सुरक्षा प्रमाणपत्र चाहते हैं, वे संभवतः इस सिफारिश के बाद पासकी कार्यान्वयन को प्राथमिकता देंगे।
तकनीकी लाभ सम्मोहक हैं. पासकीज़ पासवर्ड-आधारित सिस्टम को प्रभावित करने वाले हमलों की संपूर्ण श्रेणियों को ख़त्म कर देती हैं। फ़िशिंग लगभग असंभव हो जाती है क्योंकि नकली लॉगिन पेजों के माध्यम से चोरी करने के लिए कोई पासवर्ड नहीं होता है। क्रेडेंशियल स्टफिंग हमले, जहां हैकर्स कई साइटों पर लीक किए गए पासवर्ड का प्रयास करते हैं, बस काम नहीं करते हैं। भले ही किसी कंपनी के प्रमाणीकरण सर्वर से समझौता हो जाए, हमलावर उपयोगकर्ताओं के उपकरणों तक भौतिक पहुंच के बिना चुराए गए पासकी डेटा का उपयोग नहीं कर सकते हैं।
सुरक्षा शोधकर्ताओं ने एनसीएससी की स्थिति का स्वागत किया है। मार्गदर्शन उस बात को स्वीकार करता है जिसे साइबर सुरक्षा पेशेवर वर्षों से जानते हैं – पासवर्ड डिजिटल सुरक्षा में सबसे कमजोर कड़ी का प्रतिनिधित्व करते हैं। उपयोगकर्ता पूर्वानुमानित पासवर्ड बनाते हैं, उन्हें सेवाओं में पुन: उपयोग करते हैं, और सोशल इंजीनियरिंग का शिकार हो जाते हैं। पासकीज़ प्रमाणीकरण समीकरण से मानवीय त्रुटि को दूर करते हैं।
यह बदलाव जटिलताओं के बिना नहीं है। पासकीज़ डिवाइस-आधारित स्टोरेज पर निर्भर करते हैं, जिसका अर्थ है कि उपयोगकर्ताओं को संगत हार्डवेयर और ऑपरेटिंग सिस्टम की आवश्यकता होती है। पुराने फ़ोन और कंप्यूटर आवश्यक बायोमेट्रिक सेंसर या सुरक्षित एन्क्लेव तकनीक का समर्थन नहीं कर सकते हैं। क्रॉस-प्लेटफ़ॉर्म परिदृश्य भी गड़बड़ हो सकते हैं – किसी मित्र के कंप्यूटर पर किसी वेबसाइट में लॉग इन करना तब और अधिक जटिल हो जाता है जब आपकी प्रमाणीकरण विधि आपके फ़ोन पर रहती है।
उद्योग मानक FIDO एलायंस विनिर्देशों के आसपास एकजुट हो रहे हैं, जिनका प्रमुख तकनीकी कंपनियां समर्थन करती हैं। मानकीकरण से मदद मिलती है, लेकिन अंतरसंचालनीयता संबंधी समस्याएं बनी रहती हैं। अलग-अलग कार्यान्वयन बैकअप और पुनर्प्राप्ति को अलग-अलग तरीके से संभालते हैं। अपना फ़ोन खो दें, और जब तक सेवाएँ मजबूत पुनर्प्राप्ति तंत्र लागू नहीं करतीं, आप खातों तक पहुंच खो सकते हैं।
एनसीएससी मार्गदर्शन तब आता है जब पासवर्ड प्रबंधक कंपनियों को अपने व्यवसाय मॉडल के अस्तित्व संबंधी प्रश्न का सामना करना पड़ता है। यदि पासकीज़ पासवर्ड की जगह लेती हैं, तो पासवर्ड प्रबंधक क्या भूमिका निभाते हैं? कंपनियों को पसंद है 1 पासवर्ड और बिटवर्डेन सभी डिवाइसों में क्रिप्टोग्राफ़िक क्रेडेंशियल्स को संग्रहीत और समन्वयित करने, पासकी प्रबंधक बनने की ओर अग्रसर हैं।
उपभोक्ताओं के लिए, संक्रमण का अर्थ नए प्रमाणीकरण प्रवाह सीखना है। पासवर्ड टाइप करने के बजाय, आप फ़िंगरप्रिंट या फेस स्कैन के माध्यम से प्रमाणित करेंगे। यह वेबसाइटों में लॉग इन करने की तुलना में अपने फ़ोन को अनलॉक करने जैसा अधिक लगता है। उस परिचितता को अपनाने में आसानी होनी चाहिए, लेकिन यह डिवाइस एक्सेस में सुरक्षा पर भी ध्यान केंद्रित करती है। यदि कोई आपके फोन को अनलॉक कर सकता है, तो वह संभावित रूप से हर चीज तक पहुंच सकता है।
एंटरप्राइज़ परिनियोजन अपनी चुनौतियाँ प्रस्तुत करता है। आईटी विभागों को पासकी नामांकन का प्रबंधन करने, खोए हुए उपकरणों को संभालने और विभिन्न हार्डवेयर में सुरक्षा नीतियों को बनाए रखने की आवश्यकता है। एनसीएससी मार्गदर्शन संभवतः एंटरप्राइज़ पासकी प्रबंधन टूल के विकास में तेजी लाएगा, जिससे साइबर सुरक्षा विक्रेताओं के लिए अवसर पैदा होंगे।
आर्थिक निहितार्थ सुरक्षा सॉफ़्टवेयर से आगे तक फैले हुए हैं। जैसे-जैसे पासकीज़ मानक बन जाती हैं, हम डेटा उल्लंघनों और खाता अधिग्रहण से होने वाली लागत में कमी देख सकते हैं। कंपनियां समझौता किए गए क्रेडेंशियल्स और पासवर्ड रीसेट प्रवाह से निपटने के लिए सालाना अरबों खर्च करती हैं। उन खर्चों को खत्म करने से पासकी कार्यान्वयन लागत उचित हो सकती है।
लेकिन एनसीएससी की सिफारिश एक डिजिटल विभाजन को भी उजागर करती है। पासकी के लिए बायोमेट्रिक क्षमताओं वाले आधुनिक उपकरणों की आवश्यकता होती है। पुराने हार्डवेयर वाले उपयोगकर्ता या जो नियमित अपग्रेड का खर्च वहन नहीं कर सकते, वे स्वयं को कम सुरक्षित प्रमाणीकरण विधियों में बंद पा सकते हैं। मार्गदर्शन यह नहीं बताता कि बेहतर सुरक्षा तक न्यायसंगत पहुंच कैसे सुनिश्चित की जाए।
एनसीएससी की औपचारिक अनुशंसा पासकीज़ के उभरती प्रौद्योगिकी से सरकार समर्थित सुरक्षा मानक में परिवर्तन का प्रतीक है। जबकि तकनीकी और पहुंच संबंधी चुनौतियाँ बनी हुई हैं, मार्गदर्शन ब्रिटेन के सार्वजनिक क्षेत्र और वैश्विक स्तर पर उद्यमों में अपनाने में तेजी लाएगा। रोजमर्रा के उपयोगकर्ताओं के लिए, संदेश स्पष्ट है – पासवर्ड युग समाप्त हो रहा है, और बायोमेट्रिक प्रमाणीकरण नया सामान्य होता जा रहा है। सवाल यह नहीं है कि क्या पासकीज़ पासवर्ड की जगह लेंगी, बल्कि सवाल यह है कि संगठन और व्यक्ति कितनी तेजी से स्विच कर सकते हैं और यह सुनिश्चित कर सकते हैं कि संक्रमण में कोई भी पीछे न रह जाए।
