सर्लाही, ०७ मंसिर । अनलाइन अकाउन्टहरूको सुरक्षाका लागि दशकौँदेखि प्रयोग भइरहेका पासवर्डको कमजोरीका कारण अहिले प्रमाणीकरणको नयाँ विधि चर्चामा छ । कमजोर वा दोहोर्याएर प्रयोग गरिने पासवर्डहरूले प्रयोगकर्तालाई उच्च सुरक्षा जोखिममा पारिरहेका बेला उपभोक्ताहरूलाई पासकी (Passkeys) नामक नयाँ प्रमाणीकरण प्रणाली अपनाउन प्रोत्साहन गरिएको छ ।
पासकीहरूलाई ‘नयाँ पासवर्ड’ भनिए तापनि यसले अहिले नै पासवर्डलाई पूर्ण रूपमा विस्थापित भने गरिसकेको छैन । पासकी एक नयाँ (तुलनात्मक रूपमा) प्रमाणीकरण विधि हो, जसले पासवर्डको जस्तै अनुभव प्रदान गर्दछ । तर यसमा कुनै पनि प्रकारको वास्तविक पासवर्ड समावेश हुँदैन । यो विधिले पासवर्डको सुविधालाई टु-फ्याक्टर अथेन्टिकेसन (2FA) को सुरक्षासँग जोड्छ र यसमा प्रयोगकर्ताले कुनै कुरा सम्झनुपर्ने आवश्यकता पनि पर्दैन ।
पासकी पब्लिक कि क्रिप्टोग्राफी (public key cryptography) मा आधारित हुन्छन् । जब कुनै नयाँ अकाउन्टमा पासकी सिर्जना गरिन्छ, एउटा ‘कि पेयर’ (जोडी साँचो) तयार हुन्छ । जसमा एउटा पब्लिक कि अर्थात सार्वजनिक साँचो हुन्छ, यस्तो कि गोप्य हुँदैन र यसलाई अकाउन्ट चलाउने कम्पनीले स्टोर गर्दछ । सैद्धान्तिक रूपमा यो कि ह्याक वा डेटा ब्रिचका क्रममा चोरी हुन सक्छ ।
अर्को प्राइभेट कि (गोप्य साँचो) भने गोप्य हुन्छ र स्मार्टफोन, ट्याब्लेट वा कम्प्युटर जस्ता तपाईँका निजी डिभाइसमा सुरक्षित रूपमा भण्डारण गरिएको हुन्छ । तपाईँको पहिचान प्रमाणित गर्नको लागि यही गोप्य साँचो प्रयोग गरिन्छ ।
कसरी हुन्छ प्रमाणीकरण ?
पासकी सिर्जना गर्न वा पछि लग इन गर्नका लागि तपाईँले आफ्नो डिभाइसको अन्तर्निहित प्रमाणीकरण विधि प्रयोग गर्नुपर्छ । यसमा सामान्यतया फेस स्क्यान, फिङ्गरप्रिन्ट स्क्यान वा पिन समावेश हुन्छ । एक पटक तपाईँले सफलतापूर्वक आफैँलाई प्रमाणित गरिसकेपछि यो प्रणालीले पब्लिक कि भएको अकाउन्टसँग तपाईँको पहिचान पुष्टि गर्छ र तपाईँ पासवर्डको आवश्यकता बिना नै लग इन गर्न सक्नुहुन्छ ।
पासकीहरू तपाईँको उपकरणहरूमा सुरक्षित रूपमा भण्डारण गरिएका हुन्छन्, प्रायः आईक्लाउड किचेन जस्ता भल्ट (vault) वा पासवर्ड म्यानजेरमा । एप्पलले पासकीहरूलाई आईक्लाउड किचेनमा सिर्जना र भण्डारण गर्दछ । बिटवार्डेन वा वनपासवर्ड जस्ता क्रस-प्लेटफर्म पासवर्ड म्यानेजरहरूमा पनि पासकी सिर्जना र भण्डारण गर्न सकिन्छ ।
यदि पासकी भएको उपकरण बाहेक अन्य उपकरण (जस्तै साथीको कम्प्युटर) मा लग इन गर्नु पर्यो भने तपाईँले आफ्नो विश्वसनीय उपकरण प्रयोग गरेर प्रमाणीकरण गर्न सक्नुहुन्छ । यो प्रक्रियामा साइटले एउटा क्यूआर कोड देखाउँछ, जुन तपाईँले आफ्नो पासकी भएको डिभाइसमा स्क्यान गरेर फेस आईडी, टचआईडी वा पिन प्रयोग गरी प्रमाणीकरण गरेपछि लग इन गर्न सकिन्छ ।
सुरक्षामा पासकी किन उत्कृष्ट ?
पासकीहरू अत्यन्त सुरक्षित प्रमाणीकरण विधि हुन् । तिनीहरू पासवर्डभन्दा धेरै सुरक्षित छन् र टु-फ्याक्टर अथेन्टिकेसनभन्दा पनि बढी सुरक्षित मानिन्छन् । टु-फ्याक्टर अथेन्टिकेसनमा प्रमाणीकरण कोडहरू (विशेष गरी एसएमएसमा आधारित कोडहरू) ह्याकरहरूले चोर्न सक्छन् वा स्क्यामरहरूले झुक्याएर प्रयोगकर्ताबाट लिन सक्छन् ।
तर, पासकीमा यस्तो कमजोरी हुँदैन । ह्याकरले तपाईँलाई पासकी दिनका लागि झुक्याउन सक्दैनन् । न त उनीहरूले तपाईँको उपकरणबाट यो चोरी नै गर्न सक्छन् ।
पासकी प्रणालीले तपाईँलाई प्लेटफर्मको सही डोमेन (exact domain) मा जाँदा मात्र प्रमाणीकरण गर्न प्रेरित गर्दछ । यसको अर्थ स्क्यामरहरूले नक्कली साइट सिर्जना गरेर तपाईंँलाई लग इन गराउन सक्दैनन् । किनकि त्यसका लागि पासकीको प्रक्रिया नै सुरु हुँदैन ।
पासकी मार्फत लग इन गर्नका लागि विश्वसनीय उपकरण भौतिक रूपमा लग इन गरिरहेको उपकरणको नजिक हुनुपर्छ । जसले गर्दा ह्याकरले तपाईँलाई क्यूआर कोडको तस्बिर पठाएर प्रमाणीकरण गर्न लगाउन सक्दैनन् । ह्याकर तपाईँको नजिक एउटै कोठामा छ भने मात्रै यो सम्भव हुन सक्छ ।
कसले गर्ने पासकीको प्रयोग?
पासकीमा सुविधा र सुरक्षा दुवै हुने भएकाले आफ्नो अनलाइन सुरक्षालाई बलियो बनाउन चाहने जो कोहीका लागि पनि यो उपयोगी हुन्छ । धेरै मानिसहरू अझै पनि कमजोर वा दोहोर्याइएका पासवर्डहरू प्रयोग गरिरहेका हुन्छन् । जटिल पासवर्ड र टु-फ्याक्टर अथेन्टिकेसन प्रयोग गर्नेहरू पनि त्यति धेरै छैनन् । यस्तो असुरक्षित प्रमाणीकरण उपाय प्रयोग गरिरहेका व्यक्ति वा संस्थाहरूले पासकी अपनाएर जोखिम कम गर्न सक्छन् ।
यस्तै पासवर्ड सम्झने झन्झटबाट मुक्ति चाहने र टु-फ्याक्टर अथेन्टिकेसनभन्दा पनि बलियो सुरक्षा खोज्ने जोकोहीका लागि पासकी प्रयोग गर्नु उपयुक्त हुन्छ ।
पासकी प्रयोग गर्दा ध्यान दिनुपर्ने कुरा
पासकी उत्कृष्ट भए पनि यसका केही व्यावहारिक कमजोरीहरू पनि छन् । जुन प्रयोगकर्ताले बुझ्न आवश्यक छ । हालको अवस्थामा पासकी एक डिभाइसबाट अर्कोमा सार्न सकिँदैन । पासवर्डहरूलाई एक पासवर्ड म्यानेजरबाट अर्कोमा लैजान सकिने भए तापनि पासकी भने जुन सेवामा सिर्जना गरिएका हो, त्यसैमा अड्किन्छन् ।
उदाहरणका लागि यदि तपाईँले आईफोनमा गुगल अकाउन्टका लागि पासकी सेट अप गर्नुभयो भने त्यसलाई सिधै एन्ड्रोइड उपकरणमा ट्रान्सफर गर्न सकिँदैन । यदि तपाईँ फरक-फरक कम्पनीका उपकरणहरू (मिश्रित इकोसिस्टम) प्रयोग गर्नुहुन्छ भने क्रस-प्लेटफर्म पासवर्ड म्यानेजरमा पासकी सिर्जना गर्नु बढी उपयुक्त हुन्छ ।
यदि तपाईँले पासकीलाई युबिकी जस्तो भौतिक सुरक्षा किमा मात्र भण्डारण गर्नुभयो भने त्यो कि हराएमा वा बिग्रिएमा तपाईँले आफ्नो पासकी गुमाउनु हुनेछ । यद्यपि, अकाउन्टमा रिकभरी विकल्पहरू (जस्तै सुरक्षा प्रश्नहरू) वा ब्याकअप प्रमाणीकरण (जस्तै पासवर्ड) सेट गरिएको छ कि छैन भनी जाँच गर्नुपर्छ ।
धेरैजसो प्रणालीहरूले पासकीलाई विभिन्न उपकरणहरूबिच सिङ्क गर्न अनुमति दिन्छन् (जस्तै आईक्लाउड किचेनमार्फत आईफोनको पासकी आईप्याड र म्याकमा सिङ्क हुन्छ) । पासकी व्यवहारमा केही जटिल लागे पनि यसले उच्च सुरक्षा र सुविधा प्रदान गर्दछ । यदि तपाईँ प्रविधिमा विशेष निपुण हुनुहुन्न वा एउटै प्रविधि कम्पनीको इकोसिस्टममा पूर्ण रूपमा संलग्न हुनुहुन्न भने अहिले नै पूर्ण रूपमा पासकीमा निर्भर हुन हतार नगर्नु नै उपयुक्त हुन सक्छ ।