पासवर्ड रहित एक प्रमाणीकरण योजना है जो किसी की पहचान को सत्यापित करने के लिए ज्ञान कारकों (कुछ उपयोगकर्ता जानता है) के बजाय कब्जे वाले कारकों (उपयोगकर्ता के पास कुछ है) और अंतर्निहित कारकों (कुछ उपयोगकर्ता है) का उपयोग करती है। लोकप्रिय कब्जे वाले कारकों में स्मार्ट फोन और सुरक्षा टोकन शामिल हैं। लोकप्रिय अंतर्निहित कारकों में फ़िंगरप्रिंट स्कैन मैचों या कीस्ट्रोक विश्लेषण से भौतिक और व्यवहारिक बायोमेट्रिक डेटा शामिल हैं।
पासवर्ड रहित प्रमाणीकरण का लक्ष्य पासवर्ड के उपयोग से जुड़े साइबर जोखिमों को कम करना है। यह महत्वपूर्ण है क्योंकि आज अधिकांश सुरक्षा उल्लंघनों में किसी न किसी प्रकार की पासवर्ड चोरी शामिल है। पासवर्ड चोरी का खतरा यह है कि एक बार एक हमलावर ने सोशल इंजीनियरिंग या क्रूर बल रणनीतियों के माध्यम से एक्सेस विशेषाधिकार चुरा लिए हैं, तो वे बाद में लक्ष्य के माध्यम से आगे बढ़ सकते हैं और विशेषाधिकारों को बढ़ाने के तरीकों की तलाश कर सकते हैं।
पासवर्ड रहित प्रमाणीकरण को शून्य-ज्ञान प्रमाणीकरण या शून्य-ज्ञान पासवर्ड प्रमाण के रूप में भी संदर्भित किया जा सकता है।
पासवर्ड हमेशा सबसे कमजोर सुरक्षा कड़ी रहे हैं क्योंकि कमजोर पासवर्ड का अनुमान लगाना आसान हो सकता है, और मजबूत पासवर्ड को याद रखना मुश्किल हो सकता है।
फ़ायदे
पासवर्ड रहित प्रमाणीकरण सुरक्षा को लॉक करने और उपयोगकर्ता अनुभव (यूएक्स) में सुधार के बीच संतुलन बनाता है। एक्सेस प्रबंधन के लिए एक पासवर्ड रहित दृष्टिकोण हमलावरों के लिए पहचान चुराने, नेटवर्क भंग करने और उन्नत लगातार खतरों (APTs) को अंजाम देने के लिए इसे और अधिक कठिन - और महंगा बनाता है। यह मैलवेयर, फ़िशिंग या व्यावसायिक ईमेल समझौता रणनीतियों (बीईसी हमलों) के माध्यम से क्रेडेंशियल्स को चोरी होने से रोककर पासवर्ड-आधारित हमले के सफल होने की संभावना को काफी कम कर देता है।
पासवर्ड रहित प्रमाणीकरण कैसे काम करता है
पासवर्ड रहित प्रमाणीकरण उन्हीं क्रिप्टोग्राफ़िक सिद्धांतों पर बनाया गया है जो डिजिटल प्रमाणपत्र और सार्वजनिक कुंजी क्रिप्टोग्राफ़ी का समर्थन करते हैं। अंतर यह है कि सर्वर पर निजी कुंजी संग्रहीत करने के बजाय, वे स्थानीय रूप से उपयोगकर्ता के कंप्यूटिंग डिवाइस पर संग्रहीत होते हैं। क्योंकि निजी कुंजी प्रबंधन व्यक्तिगत उपयोगकर्ता नियंत्रण में रहता है, संभावित हमले की सतहें काफी कम हो जाती हैं।
पासवर्ड रहित प्रमाणीकरण के तरीकों में शामिल हैं:
लिंक-आधारित प्रमाणीकरण
पासवर्ड के बजाय, उपयोगकर्ता को अपना ईमेल पता या मोबाइल फोन नंबर दर्ज करने के लिए कहा जाता है, जिसके बाद उन्हें एक ईमेल या एसएमएस संदेश भेजा जाता है जिसमें "जादू" लिंक होता है। मैजिक लिंक समय के प्रति संवेदनशील यूआरएल होते हैं जिन पर क्लिक करने पर उपयोगकर्ता की पहचान की पुष्टि होती है और पहुंच प्रदान की जाती है।
एकमुश्त पासकोड
प्रमाणीकरण प्रक्रिया के दौरान, उपयोगकर्ता को पासवर्ड के बजाय उपयोग करने के लिए एक समय-संवेदी संख्यात्मक कोड भेजा जाता है। कभी-कभी कोड को मैन्युअल रूप से दर्ज करना होगा, और कभी-कभी कोड हाइपरलिंक हो जाएगा और एक जादू लिंक की तरह कार्य करेगा।
प्रमाणक ऐप्स
जब अंतिम उपयोगकर्ता एक प्रमाणीकरणकर्ता ऐप के साथ पंजीकृत कंप्यूटिंग संसाधन में लॉग इन करना चाहता है, तो वे हमेशा की तरह अपना उपयोगकर्ता नाम दर्ज करके शुरू करते हैं। यह क्रिया उपयोगकर्ता को वन-टाइम पासकोड या मैजिक लिंक प्राप्त करने के लिए प्रमाणीकरण ऐप खोलने के लिए प्रेरित करेगी।
सुरक्षा टोकन
सुरक्षा टोकन एक छोटा भौतिक उपकरण है जिसे उपयोगकर्ता को अपने कंप्यूटिंग डिवाइस से कनेक्ट करना होता है। एक बार प्लग इन करने के बाद, टोकन एक पासवर्ड के स्थान पर अंतिम उपयोगकर्ता को दर्ज करने के लिए एक बार का पासकोड उत्पन्न करेगा।
चुनौतियों
हालाँकि पासवर्ड रहित प्रमाणीकरण पासवर्ड की तुलना में अधिक सुरक्षित प्रकार का प्रमाणीकरण है - और Microsoft, Google और Apple ने मल्टीफ़ैक्टर प्रमाणीकरण (एमएफए) को लागू करने के लिए इस दृष्टिकोण को आसान बना दिया है, फिर भी अपनाने में बाधाएँ हो सकती हैं। वे सम्मिलित करते हैं:
विरासत अनुप्रयोगों के साथ असंगति।
उपयोगकर्ता अनुभव और पूंजीगत व्यय (CAPEX) के संदर्भ में ROI।
गोपनीयता संबंधी चिंताएं जो व्यापक प्रसार को अपनाने से रोकती हैं।
0 Comments