प्रमाणक (ऑथेंटिकेटर)

प्रमाणीकरणकर्ता उपयोगकर्ता की पहचान की पुष्टि करने के लिए उपयोग किया जाने वाला एक साधन है, यानी डिजिटल प्रमाणीकरण करने के लिए। एक व्यक्ति एक कंप्यूटर सिस्टम या एप्लिकेशन को यह प्रदर्शित करके प्रमाणित करता है कि उसके पास एक प्रमाणीकरणकर्ता का अधिकार और नियंत्रण है। सरलतम मामले में, प्रमाणक एक सामान्य पासवर्ड है।

एनआईएसटी डिजिटल पहचान दिशानिर्देशों की शब्दावली का उपयोग करते हुए, प्रमाणित होने वाली पार्टी को दावेदार कहा जाता है जबकि दावेदार की पहचान की पुष्टि करने वाली पार्टी को सत्यापनकर्ता कहा जाता है। जब दावेदार एक स्थापित प्रमाणीकरण प्रोटोकॉल के माध्यम से सत्यापनकर्ता को एक या अधिक प्रमाणीकरणकर्ताओं के कब्जे और नियंत्रण को सफलतापूर्वक प्रदर्शित करता है, तो सत्यापनकर्ता दावेदार की पहचान का अनुमान लगाने में सक्षम होता है।

वर्गीकरण
प्रमाणीकरणकर्ताओं को रहस्य, कारकों और भौतिक रूपों के संदर्भ में वर्णित किया जा सकता है।

प्रमाणीकरणकर्ता रहस्य
प्रत्येक प्रमाणक कम से कम एक रहस्य से जुड़ा होता है जिसका उपयोग दावेदार प्रमाणक के कब्जे और नियंत्रण को प्रदर्शित करने के लिए करता है। चूंकि एक हमलावर इस रहस्य का उपयोग उपयोगकर्ता को प्रतिरूपित करने के लिए कर सकता है, एक प्रमाणक रहस्य को चोरी या हानि से संरक्षित किया जाना चाहिए।

रहस्य का प्रकार प्रमाणीकरणकर्ता की एक महत्वपूर्ण विशेषता है। प्रमाणक रहस्य के तीन मूल प्रकार हैं: एक याद रखा हुआ रहस्य और दो प्रकार की क्रिप्टोग्राफ़िक कुंजियाँ, या तो एक सममित कुंजी या एक निजी कुंजी।

याद किया हुआ रहस्य
एक याद किए गए रहस्य का उद्देश्य उपयोगकर्ता द्वारा याद किया जाना है। याद किए गए रहस्य का एक प्रसिद्ध उदाहरण सामान्य पासवर्ड है, जिसे पासकोड, पदबंध या व्यक्तिगत पहचान संख्या (पिन) भी कहा जाता है।

एक प्रामाणिक रहस्य जो दावेदार और सत्यापनकर्ता दोनों के लिए जाना जाता है, उसे साझा रहस्य कहा जाता है। उदाहरण के लिए, एक याद किया हुआ रहस्य साझा किया जा सकता है या नहीं भी किया जा सकता है। परिभाषा द्वारा एक सममित कुंजी साझा की जाती है। एक निजी कुंजी साझा नहीं की जाती है।

पासवर्ड एक महत्वपूर्ण प्रकार का रहस्य है जिसे याद रखा जाता है और साझा किया जाता है। पासवर्ड के विशेष मामले में, प्रमाणीकरणकर्ता रहस्य है।

क्रिप्टोग्राफ़िक कुंजी
एक क्रिप्टोग्राफ़िक प्रमाणक वह है जो एक कुंजी (क्रिप्टोग्राफी) का उपयोग करता है। कुंजी सामग्री के आधार पर, एक क्रिप्टोग्राफ़िक प्रमाणक क्रिप्टोग्राफी#सममित-कुंजी क्रिप्टोग्राफी|सममित-कुंजी क्रिप्टोग्राफी या क्रिप्टोग्राफी#सार्वजनिक-कुंजी क्रिप्टोग्राफी|सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग कर सकता है। दोनों कंठस्थ रहस्यों से बचते हैं, और सार्वजनिक-कुंजी क्रिप्टोग्राफी के मामले में, कोई साझा रहस्य भी नहीं हैं, जो एक महत्वपूर्ण अंतर है।

क्रिप्टोग्राफ़िक प्रमाणक के उदाहरणों में शपथ प्रमाणक और FIDO प्रमाणक शामिल हैं। प्रति उदाहरण के माध्यम से, एक पासवर्ड प्रमाणक क्रिप्टोग्राफ़िक प्रमाणक नहीं है। विवरण के लिए #उदाहरण अनुभाग देखें।

सममित कुंजी
एक सममित कुंजी एक साझा रहस्य है जिसका उपयोग सममित-कुंजी क्रिप्टोग्राफी करने के लिए किया जाता है। दावेदार साझा कुंजी की अपनी प्रति को समर्पित हार्डवेयर-आधारित प्रमाणक या स्मार्टफ़ोन पर कार्यान्वित सॉफ़्टवेयर-आधारित प्रमाणक में संग्रहीत करता है। सत्यापनकर्ता सममित कुंजी की एक प्रति रखता है।

सार्वजनिक-निजी कुंजी जोड़ी
पब्लिक-प्राइवेट कुंजी जोड़ी का उपयोग सार्वजनिक-कुंजी क्रिप्टोग्राफी करने के लिए किया जाता है। सार्वजनिक कुंजी सत्यापनकर्ता (और उसके द्वारा विश्वसनीय) के लिए जानी जाती है, जबकि संबंधित निजी कुंजी प्रमाणीकरणकर्ता के लिए सुरक्षित रूप से बंधी होती है। एक समर्पित हार्डवेयर-आधारित प्रमाणक के मामले में, निजी कुंजी प्रमाणक की सीमा को कभी नहीं छोड़ती है।

प्रमाणीकरण कारक और रूप
एक प्रमाणक एक उपयोगकर्ता के लिए अद्वितीय या विशिष्ट होता है (कुछ ऐसा जो किसी के पास होता है), या तो एक व्यक्तिगत पहचान संख्या (जिसे कोई जानता है) द्वारा सक्रिय किया जाता है, या एक बॉयोमेट्रिक्स (कुछ ऐसा जो स्वयं के लिए अद्वितीय है)। एक प्रमाणक जो इनमें से केवल एक कारक प्रदान करता है, उसे एकल-कारक प्रमाणक कहा जाता है जबकि एक बहु-कारक प्रमाणक में दो या अधिक कारक शामिल होते हैं। मल्टी-फैक्टर ऑथेंटिकेशन एक मल्टी-फैक्टर ऑथेंटिकेशन हासिल करने का एक तरीका है। दो या दो से अधिक एकल-कारक प्रमाणीकरणकर्ताओं का संयोजन बहु-कारक प्रमाणीकरण नहीं है, फिर भी कुछ स्थितियों में उपयुक्त हो सकता है।

प्रमाणीकरणकर्ता कई प्रकार के भौतिक रूप ले सकते हैं (एक यादगार रहस्य को छोड़कर, जो अमूर्त है)। उदाहरण के लिए, एक प्रमाणीकरणकर्ता को अपने हाथ में पकड़ सकते हैं या चेहरे, कलाई या उंगली पर पहन सकते हैं। अपने हार्डवेयर और सॉफ़्टवेयर घटकों के संदर्भ में प्रमाणीकरणकर्ता का वर्णन करना सुविधाजनक है। एक प्रमाणक हार्डवेयर-आधारित या सॉफ़्टवेयर-आधारित होता है, जो इस बात पर निर्भर करता है कि रहस्य क्रमशः हार्डवेयर या सॉफ़्टवेयर में संग्रहीत है या नहीं।

एक महत्वपूर्ण प्रकार के हार्डवेयर-आधारित प्रमाणक को सुरक्षा कुंजी कहा जाता है, एक सुरक्षा टोकन भी कहा जाता है (एक्सेस टोकन, सत्र टोकन, या अन्य प्रकार के सुरक्षा टोकन के साथ भ्रमित नहीं होना चाहिए)। एक सुरक्षा कुंजी अपने रहस्य को हार्डवेयर में संग्रहीत करती है, जो रहस्य को निर्यात होने से रोकता है। एक सुरक्षा कुंजी भी मैलवेयर के लिए प्रतिरोधी है क्योंकि रहस्य मेजबान मशीन पर चल रहे सॉफ़्टवेयर के लिए किसी भी समय पहुंच योग्य नहीं है।

एक सॉफ़्टवेयर-आधारित प्रमाणक (कभी-कभी सॉफ्टवेयर टोकन कहा जाता है) एक सामान्य-उद्देश्य वाले इलेक्ट्रॉनिक उपकरण जैसे लैपटॉप, टैबलेट कंप्यूटर या स्मार्टफ़ोन पर कार्यान्वित किया जा सकता है। उदाहरण के लिए, दावेदार के स्मार्टफोन पर एक मोबाइल एप्लिकेशन के रूप में कार्यान्वित सॉफ़्टवेयर-आधारित प्रमाणक एक प्रकार का फ़ोन-आधारित प्रमाणक है। रहस्य तक पहुंच को रोकने के लिए, एक सॉफ्टवेयर-आधारित प्रमाणक प्रोसेसर के विश्वसनीय निष्पादन वातावरण या क्लाइंट डिवाइस पर एक विश्वसनीय प्लेटफार्म मॉड्यूल (टीपीएम) का उपयोग कर सकता है।

एक प्लेटफ़ॉर्म ऑथेंटिकेटर एक विशेष क्लाइंट डिवाइस प्लेटफ़ॉर्म में बनाया गया है, अर्थात इसे डिवाइस पर लागू किया गया है। इसके विपरीत, रोमिंग ऑथेंटिकेटर एक क्रॉस-प्लेटफ़ॉर्म ऑथेंटिकेटर है जिसे डिवाइस से लागू किया जाता है। रोमिंग ऑथेंटिकेटर USB जैसे ट्रांसपोर्ट प्रोटोकॉल के माध्यम से डिवाइस प्लेटफॉर्म से जुड़ता है।

उदाहरण
निम्नलिखित खंड प्रमाणीकरणकर्ताओं के संकीर्ण वर्गों का वर्णन करते हैं। अधिक व्यापक वर्गीकरण के लिए, एनआईएसटी डिजिटल पहचान दिशानिर्देश देखें।

एकल-कारक प्रमाणक
एक प्रमाणक का उपयोग करने के लिए, दावेदार को प्रमाणित करने के अपने इरादे को स्पष्ट रूप से इंगित करना चाहिए। उदाहरण के लिए, निम्नलिखित में से प्रत्येक इशारा इरादे को स्थापित करने के लिए पर्याप्त है:


 * दावेदार पासवर्ड फ़ील्ड में पासवर्ड टाइप करता है, या
 * दावेदार अपनी अंगुली फ़िंगरप्रिंट रीडर पर रखता है, या
 * दावेदार अनुमोदन इंगित करने के लिए एक बटन दबाता है

उत्तरार्द्ध को उपयोगकर्ता उपस्थिति (टीयूपी) का परीक्षण कहा जाता है। एकल-कारक प्रमाणक (जो किसी के पास है) को सक्रिय करने के लिए, दावेदार को TUP करने की आवश्यकता हो सकती है, जो प्रमाणक के अनपेक्षित संचालन से बचा जाता है।

एक पासवर्ड एक रहस्य है जिसे दावेदार द्वारा याद रखने और सत्यापनकर्ता के साथ साझा करने का इरादा है। पासवर्ड प्रमाणीकरण वह प्रक्रिया है जिसके द्वारा दावेदार पासवर्ड के ज्ञान को सत्यापनकर्ता को नेटवर्क पर प्रसारित करके प्रदर्शित करता है। यदि प्रेषित पासवर्ड पहले साझा किए गए रहस्य से मेल खाता है, तो उपयोगकर्ता प्रमाणीकरण सफल होता है।

शपथ ओटीपी
1980 के दशक से वन-टाइम पासवर्ड (OTP) का उपयोग किया जाता रहा है। 2004 में, वार्षिक आरएसए सम्मेलन में ओटीपी के सुरक्षित उत्पादन के लिए एक ओपन ऑथेंटिकेशन रेफरेंस आर्किटेक्चर की घोषणा की गई थी। ओपन ऑथेंटिकेशन (ओएटीएच) के लिए पहल एक साल बाद शुरू हुई। इस कार्य से दो IETF मानक विकसित हुए, HMAC-आधारित वन-टाइम पासवर्ड एल्गोरिथम | HMAC-आधारित वन-टाइम पासवर्ड (HOTP) एल्गोरिथम और समय-आधारित वन-टाइम पासवर्ड एल्गोरिथम | टाइम-आधारित वन-टाइम पासवर्ड (TOTP) ) एल्गोरिथम क्रमशः RFC 4226 और RFC 6238 द्वारा निर्दिष्ट किया गया है। शपथ ओटीपी से हमारा मतलब या तो HOTP या TOTP से है। शपथ HOTP और TOTP मानकों के अनुरूप प्रमाणित करता है। दो-कारक प्रमाणीकरण प्रदान करने के लिए एक पारंपरिक पासवर्ड (जो कुछ जानता है) को अक्सर एक बार के पासवर्ड (कुछ ऐसा है) के साथ जोड़ा जाता है। पासवर्ड और ओटीपी दोनों ही नेटवर्क पर सत्यापनकर्ता को प्रेषित किए जाते हैं। यदि पासवर्ड पहले साझा किए गए रहस्य से सहमत है, और सत्यापनकर्ता ओटीपी के मूल्य की पुष्टि कर सकता है, तो उपयोगकर्ता प्रमाणीकरण सफल होता है।

एक समर्पित शपथ ओटीपी प्रमाणीकरणकर्ता द्वारा मांग पर वन-टाइम पासवर्ड उत्पन्न किए जाते हैं जो एक रहस्य को समाहित करता है जिसे पहले सत्यापनकर्ता के साथ साझा किया गया था। प्रमाणक का उपयोग करके, दावेदार क्रिप्टोग्राफ़िक विधि का उपयोग करके एक ओटीपी उत्पन्न करता है। सत्यापनकर्ता उसी क्रिप्टोग्राफ़िक विधि का उपयोग करके एक ओटीपी भी उत्पन्न करता है। यदि दो ओटीपी मान मेल खाते हैं, तो सत्यापनकर्ता यह निष्कर्ष निकाल सकता है कि दावेदार के पास साझा रहस्य है।

ओएटीएच ऑथेंटिकेटर का एक प्रसिद्ध उदाहरण ओपन-सोर्स गूगल प्रमाणक है, एक फोन-आधारित प्रमाणक जो HOTP और TOTP दोनों को लागू करता है।

मोबाइल पुश
एक मोबाइल पुश ऑथेंटिकेटर अनिवार्य रूप से दावेदार के मोबाइल फोन पर चलने वाला एक देशी ऐप है। ऐप पुश सूचनाओं का जवाब देने के लिए सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग करता है। दूसरे शब्दों में, एक मोबाइल पुश ऑथेंटिकेटर एक सिंगल-फैक्टर क्रिप्टोग्राफ़िक सॉफ़्टवेयर ऑथेंटिकेटर है। दो-कारक प्रमाणीकरण प्रदान करने के लिए एक मोबाइल पुश ऑथेंटिकेटर (ऐसा कुछ जो किसी के पास होता है) को आमतौर पर एक पासवर्ड (जिसे कोई जानता है) के साथ जोड़ा जाता है। वन-टाइम पासवर्ड के विपरीत, मोबाइल पुश के लिए पासवर्ड से परे किसी साझा रहस्य की आवश्यकता नहीं होती है।

दावेदार द्वारा एक पासवर्ड के साथ प्रमाणित करने के बाद, सत्यापनकर्ता एक विश्वसनीय तृतीय पक्ष के लिए एक आउट-ऑफ-बैंड प्रमाणीकरण अनुरोध करता है जो सत्यापनकर्ता की ओर से एक सार्वजनिक-कुंजी अवसंरचना का प्रबंधन करता है। विश्वसनीय तृतीय पक्ष दावेदार के मोबाइल फ़ोन पर एक पुश सूचना भेजता है. दावेदार उपयोगकर्ता इंटरफ़ेस में एक बटन दबाकर प्रमाणक के कब्जे और नियंत्रण को प्रदर्शित करता है, जिसके बाद प्रमाणक डिजिटल रूप से हस्ताक्षरित अभिकथन के साथ प्रतिक्रिया करता है। विश्वसनीय तृतीय पक्ष अभिकथन पर हस्ताक्षर की पुष्टि करता है और सत्यापनकर्ता को प्रमाणीकरण प्रतिक्रिया देता है।

मालिकाना मोबाइल पुश ऑथेंटिकेशन प्रोटोकॉल एक आउट-ऑफ़-बैंड सेकेंडरी चैनल पर चलता है, जो लचीले परिनियोजन विकल्प प्रदान करता है। चूंकि प्रोटोकॉल के लिए दावेदार के मोबाइल फोन के लिए एक खुले नेटवर्क पथ की आवश्यकता होती है, यदि ऐसा कोई पथ उपलब्ध नहीं है (नेटवर्क समस्याओं के कारण, उदाहरण के लिए), प्रमाणीकरण प्रक्रिया आगे नहीं बढ़ सकती है।

FIDO U2F
एक FIDO एलायंस यूनिवर्सल और फैक्टर (U2F) ऑथेंटिकेटर (ऐसा कुछ जो किसी के पास है) एक सिंगल-फैक्टर क्रिप्टोग्राफ़िक ऑथेंटिकेटर है जिसका उपयोग सामान्य वेब पासवर्ड के साथ संयोजन के रूप में किया जाना है। चूंकि प्रमाणक सार्वजनिक-कुंजी क्रिप्टोग्राफी पर निर्भर करता है, U2F को पासवर्ड से परे एक अतिरिक्त साझा रहस्य की आवश्यकता नहीं होती है।

U2F प्रमाणक तक पहुँचने के लिए, दावेदार को उपयोगकर्ता उपस्थिति (TUP) का परीक्षण करने की आवश्यकता होती है, जो प्रमाणक की कार्यक्षमता तक अनधिकृत पहुँच को रोकने में मदद करता है। व्यवहार में, एक TUP में एक साधारण बटन पुश होता है।

U2F ऑथेंटिकेटर एक अनुरूप वेब उपयोगकर्ता एजेंट के साथ इंटरऑपरेट करता है जो U2F जावास्क्रिप्ट एपीआई को लागू करता है। U2F ऑथेंटिकेटर आवश्यक रूप से CTAP1/U2F प्रोटोकॉल को लागू करता है, जो FIDO क्लाइंट टू ऑथेंटिकेटर प्रोटोकॉल में निर्दिष्ट दो प्रोटोकॉल में से एक है। मोबाइल पुश ऑथेंटिकेशन के विपरीत, U2F ऑथेंटिकेशन प्रोटोकॉल पूरी तरह से फ्रंट चैनल पर चलता है। दो चक्कर लगाने पड़ते हैं। पहला राउंड ट्रिप साधारण पासवर्ड ऑथेंटिकेशन है। दावेदार द्वारा एक पासवर्ड के साथ प्रमाणित किए जाने के बाद, सत्यापनकर्ता एक अनुरूप ब्राउज़र को एक चुनौती भेजता है, जो एक कस्टम JavaScript API के माध्यम से U2F प्रमाणक के साथ संचार करता है। दावेदार द्वारा TUP करने के बाद, प्रमाणीकरणकर्ता चुनौती पर हस्ताक्षर करता है और ब्राउज़र के माध्यम से सत्यापनकर्ता को हस्ताक्षरित अभिकथन लौटाता है।

मल्टी-फैक्टर ऑथेंटिकेटर्स
मल्टी-फैक्टर ऑथेंटिकेटर का उपयोग करने के लिए, दावेदार पूर्ण उपयोगकर्ता सत्यापन करता है। मल्टी-फैक्टर ऑथेंटिकेटर (ऐसा कुछ जो किसी के पास हो) एक व्यक्तिगत पहचान संख्या (जिसे कोई जानता हो), या एक बायोमेट्रिक्स (कुछ ऐसा जो अपने लिए अद्वितीय हो; जैसे फिंगरप्रिंट, चेहरा या आवाज की पहचान), या कुछ अन्य सत्यापन तकनीक द्वारा सक्रिय किया जाता है. ,

एटीएम कार्ड
एक स्वचालित टेलर मशीन (एटीएम) से नकदी निकालने के लिए, एक बैंक ग्राहक एटीएम कार्ड को कैश मशीन में डालता है और एक व्यक्तिगत पहचान संख्या (पिन) टाइप करता है। इनपुट पिन की तुलना कार्ड की चिप पर संग्रहीत पिन से की जाती है। यदि दोनों मेल खाते हैं, तो एटीएम से निकासी जारी रह सकती है।

ध्यान दें कि एटीएम निकासी में एक याद किया हुआ रहस्य (यानी, एक पिन) शामिल होता है, लेकिन रहस्य का सही मूल्य एटीएम को पहले से ज्ञात नहीं होता है। मशीन अंधाधुंध तरीके से कार्ड में इनपुट पिन पास करती है, जो ग्राहक के इनपुट की तुलना कार्ड की चिप पर संग्रहीत गुप्त पिन से करती है। यदि दोनों मेल खाते हैं, तो कार्ड एटीएम को सफलता की सूचना देता है और लेनदेन जारी रहता है।

एटीएम कार्ड मल्टी-फैक्टर ऑथेंटिकेटर का एक उदाहरण है। कार्ड अपने आप में एक ऐसी चीज है जो किसी के पास होती है जबकि कार्ड की चिप पर संग्रहीत पिन संभवतः कुछ ऐसा होता है जिसे कोई जानता है। एटीएम में कार्ड प्रस्तुत करना और पिन की जानकारी प्रदर्शित करना एक प्रकार का बहु-कारक प्रमाणीकरण है।

सुरक्षित शैल
सुरक्षित खोल (एसएसएच) एक क्लाइंट-सर्वर प्रोटोकॉल है जो नेटवर्क पर एक सुरक्षित चैनल बनाने के लिए सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग करता है। एक पारंपरिक पासवर्ड के विपरीत, एक SSH कुंजी एक क्रिप्टोग्राफ़िक प्रमाणीकरणकर्ता है। प्राथमिक प्रमाणक रहस्य SSH निजी कुंजी है, जिसका उपयोग क्लाइंट द्वारा किसी संदेश पर डिजिटल रूप से हस्ताक्षर करने के लिए किया जाता है। संबंधित सार्वजनिक कुंजी का उपयोग सर्वर द्वारा संदेश हस्ताक्षर को सत्यापित करने के लिए किया जाता है, जो पुष्टि करता है कि दावेदार के पास निजी कुंजी का अधिकार और नियंत्रण है।

चोरी से बचने के लिए, SSH निजी कुंजी (जो किसी के पास है) को पासफ़्रेज़ (जिसे कोई जानता है) का उपयोग करके एन्क्रिप्ट किया जा सकता है। दो-कारक प्रमाणीकरण प्रक्रिया आरंभ करने के लिए, दावेदार क्लाइंट सिस्टम को पासफ़्रेज़ प्रदान करता है।

एक पासवर्ड की तरह, SSH पासफ़्रेज़ एक याद किया हुआ रहस्य है लेकिन यहीं पर समानता समाप्त हो जाती है। जबकि एक पासवर्ड एक साझा रहस्य है जो नेटवर्क पर प्रसारित होता है, SSH पासफ़्रेज़ साझा नहीं किया जाता है, और इसके अलावा, पासफ़्रेज़ का उपयोग क्लाइंट सिस्टम तक ही सीमित है। एसएसएच के माध्यम से प्रमाणीकरण पासवर्ड रहित प्रमाणीकरण का एक उदाहरण है क्योंकि यह नेटवर्क पर एक साझा रहस्य के प्रसारण से बचा जाता है। वास्तव में, SSH प्रमाणीकरण के लिए किसी साझा रहस्य की आवश्यकता नहीं होती है।

FIDO2
FIDO U2F प्रोटोकॉल मानक, FIDO2 प्रोजेक्ट के लिए शुरुआती बिंदु बन गया, जो वर्ल्ड वाइड वेब कंसोर्टियम (W3C) और FIDO एलायंस के बीच एक संयुक्त प्रयास है। प्रोजेक्ट डिलिवरेबल्स में W3C वेब ऑथेंटिकेशन (WebAuthn) मानक और FIDO क्लाइंट टू ऑथेंटिकेटर प्रोटोकॉल (CTAP) शामिल हैं। WebAuthn और CTAP मिलकर वेब के लिए एक मजबूत प्रमाणीकरण समाधान प्रदान करते हैं।

एक FIDO2 प्रमाणक, जिसे WebAuthn प्रमाणक भी कहा जाता है, WebAuthn क्लाइंट के साथ इंटरऑपरेट करने के लिए सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग करता है, जो कि एक अनुरूप वेब उपयोगकर्ता एजेंट है जो WebAuthn JavaScript API को लागू करता है। ऑथेंटिकेटर एक प्लेटफॉर्म ऑथेंटिकेटर, एक रोमिंग ऑथेंटिकेटर या दोनों का कुछ संयोजन हो सकता है। उदाहरण के लिए, एक FIDO2 प्रमाणक जो CTAP2 प्रोटोकॉल को लागू करता है एक रोमिंग प्रमाणीकरणकर्ता है जो WebAuthn क्लाइंट के साथ निम्न परिवहन विकल्पों में से एक या अधिक के माध्यम से संचार करता है: USB, नजदीक फील्ड संचार (NFC), या ब्लूटूथ कम ऊर्जा (BLE)। FIDO2 प्लेटफॉर्म ऑथेंटिकेटर के ठोस उदाहरणों में विंडोज हैलो शामिल है और Android ऑपरेटिंग सिस्टम। एक FIDO2 प्रमाणक का उपयोग एकल-कारक मोड या बहु-कारक मोड में किया जा सकता है। एकल-कारक मोड में, प्रमाणक उपयोगकर्ता उपस्थिति के एक साधारण परीक्षण (जैसे, एक बटन पुश) द्वारा सक्रिय होता है। मल्टी-फैक्टर मोड में, ऑथेंटिकेटर (कुछ ऐसा है जो किसी के पास है) या तो एक व्यक्तिगत पहचान संख्या (कुछ जिसे कोई जानता है) या बायोमेट्रिक्स (कुछ ऐसा जो स्वयं के लिए अद्वितीय है) द्वारा सक्रिय होता है।

सुरक्षा कोड
सबसे पहले और सबसे महत्वपूर्ण, मजबूत प्रमाणीकरण बहु-कारक प्रमाणीकरण से शुरू होता है। व्यक्तिगत ऑनलाइन खाते की सुरक्षा के लिए सबसे अच्छी बात बहु-कारक प्रमाणीकरण को सक्षम करना है। बहु-कारक प्रमाणीकरण प्राप्त करने के दो तरीके हैं:


 * 1) मल्टी-फैक्टर ऑथेंटिकेटर का इस्तेमाल करें
 * 2) दो या दो से अधिक एकल-कारक प्रमाणकों के संयोजन का उपयोग करें

व्यवहार में, एक सामान्य दृष्टिकोण एक पासवर्ड प्रमाणीकरणकर्ता (जो कुछ जानता है) को किसी अन्य प्रमाणीकरणकर्ता (जो किसी के पास है) जैसे कि क्रिप्टोग्राफ़िक प्रमाणक के साथ संयोजित करना है।

सामान्यतया, एक #क्रिप्टोग्राफ़िक कुंजी को एक प्रमाणीकरणकर्ता से अधिक पसंद किया जाता है जो क्रिप्टोग्राफ़िक विधियों का उपयोग नहीं करता है। अन्य सभी समान होने के नाते, एक क्रिप्टोग्राफ़िक प्रमाणक जो सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग करता है, सममित-कुंजी क्रिप्टोग्राफी का उपयोग करने वाले से बेहतर है क्योंकि बाद वाले को साझा कुंजियों की आवश्यकता होती है (जो चोरी या दुरुपयोग हो सकती है)।

फिर से बाकी सभी समान हैं, एक हार्डवेयर-आधारित प्रमाणक एक सॉफ़्टवेयर-आधारित प्रमाणक से बेहतर है क्योंकि प्रमाणीकरणकर्ता रहस्य संभवतः हार्डवेयर में बेहतर संरक्षित है। यह वरीयता अगले खंड में उल्लिखित एनआईएसटी आवश्यकताओं में परिलक्षित होती है।

एनआईएसटी प्रमाणक आश्वासन स्तर
एनआईएसटी प्रमाणीकरणकर्ताओं के संबंध में आश्वासन के तीन स्तरों को परिभाषित करता है। उच्चतम प्रमाणीकरणकर्ता आश्वासन स्तर (AAL3) के लिए बहु-कारक प्रमाणीकरण की आवश्यकता होती है या तो बहु-कारक प्रमाणीकरणकर्ता या एकल-कारक प्रमाणीकरणकर्ताओं के उपयुक्त संयोजन का उपयोग किया जाता है। AAL3 में, कम से कम एक ऑथेंटिकेटर क्रिप्टोग्राफ़िक हार्डवेयर-आधारित ऑथेंटिकेटर होना चाहिए। इन मूलभूत आवश्यकताओं को देखते हुए, AAL3 में उपयोग किए जाने वाले संभावित प्रमाणक संयोजनों में शामिल हैं:


 * 1) एक बहु-कारक क्रिप्टोग्राफ़िक हार्डवेयर-आधारित प्रमाणक
 * 2) एक सिंगल-फैक्टर क्रिप्टोग्राफ़िक हार्डवेयर-आधारित ऑथेंटिकेटर का उपयोग किसी अन्य ऑथेंटिकेटर (जैसे पासवर्ड ऑथेंटिकेटर) के साथ किया जाता है

प्रमाणीकरणकर्ता आश्वासन स्तरों की आगे की चर्चा के लिए एनआईएसटी डिजिटल पहचान दिशानिर्देश देखें।

प्रतिबंधित प्रमाणीकरणकर्ता
ऑथेंटिकेटर आश्वासन स्तरों की तरह, प्रतिबंधित ऑथेंटिकेटर की धारणा एक एनआईएसटी अवधारणा है। यह शब्द एक प्रमाणीकरणकर्ता को संदर्भित करता है जो हमलों का प्रतिरोध करने में असमर्थता प्रदर्शित करता है, जो प्रमाणीकरणकर्ता की विश्वसनीयता को संदेह में डालता है। संघीय एजेंसियां ​​सब्सक्राइबर्स को एक वैकल्पिक ऑथेंटिकेटर प्रदान करके प्रतिबंधित ऑथेंटिकेटर के उपयोग को कम करती हैं जो प्रतिबंधित नहीं है और भविष्य में किसी बिंदु पर प्रतिबंधित ऑथेंटिकेटर के उपयोग से प्रतिबंधित होने की स्थिति में माइग्रेशन प्लान विकसित करके।

वर्तमान में, लोगों द्वारा टेलीफोन नेटवर्क काटा गया का उपयोग एनआईएसटी द्वारा प्रतिबंधित है। विशेष रूप से, रिकॉर्ड किए गए वॉयस संदेशों या एसएमएस संदेशों के माध्यम से वन-टाइम पासवर्ड (ओटीपी) का आउट-ऑफ-बैंड ट्रांसमिशन प्रतिबंधित है। इसके अलावा, यदि कोई एजेंसी वॉइस- या एसएमएस-आधारित ओटीपी का उपयोग करना चुनती है, तो उस एजेंसी को यह सत्यापित करना होगा कि ओटीपी एक फोन पर प्रेषित किया जा रहा है न कि आईपी पते पर क्योंकि आईपी ​​पर आवाज (वीओआईपी) खाते नियमित रूप से मल्टी-फैक्टर से सुरक्षित नहीं होते हैं। प्रमाणीकरण।

तुलना
तुलना के आधार के रूप में पासवर्ड का उपयोग करना सुविधाजनक है क्योंकि यह व्यापक रूप से समझा जाता है कि पासवर्ड का उपयोग कैसे किया जाता है। कम्‍प्‍यूटर सिस्‍टम पर, पासवर्ड का उपयोग कम से कम 1960 के दशक के प्रारंभ से किया जा रहा है। अधिक सामान्यतः, पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। 2012 में, बॉनौ एट अल। उपयोगिता, परिनियोजन और सुरक्षा के संदर्भ में 35 प्रतिस्पर्धी प्रमाणीकरण योजनाओं के साथ व्यवस्थित रूप से वेब पासवर्ड की तुलना करके पासवर्ड को बदलने के दो दशकों के प्रस्तावों का मूल्यांकन किया। (उद्धृत तकनीकी रिपोर्ट इसी नाम से सहकर्मी-समीक्षित पेपर का एक विस्तारित संस्करण है। ) उन्होंने पाया कि अधिकांश योजनाएँ सुरक्षा पर पासवर्ड से बेहतर करती हैं जबकि हर योजना तैनाती योग्यता पर पासवर्ड से खराब करती है। प्रयोज्यता के संदर्भ में, कुछ योजनाएँ बेहतर करती हैं और कुछ योजनाएँ पासवर्ड से भी बदतर।

Google ने Bonneau et al के मूल्यांकन ढांचे का उपयोग किया। सुरक्षा कुंजियों की तुलना पासवर्ड और वन-टाइम पासवर्ड से करने के लिए। उन्होंने निष्कर्ष निकाला कि सुरक्षा कुंजियाँ एक-बार वाले पासवर्ड की तुलना में अधिक उपयोगी और लागू करने योग्य हैं, और पासवर्ड और एक-बार के पासवर्ड दोनों की तुलना में अधिक सुरक्षित हैं।

यह भी देखें

 * इलेक्ट्रॉनिक प्रमाणीकरण

इस पेज में लापता आंतरिक लिंक की सूची

 * विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल
 * ओपन प्रमाणीकरण के लिए पहल
 * HMAC- आधारित वन-टाइम पासवर्ड एल्गोरिथम
 * उपभोक्ता अभिकर्ता
 * एंड्रॉइड ऑपरेटिंग सिस्टम