प्रमाणक (ऑथेंटिकेटर)

प्रमाणक उपयोगकर्ता की डिजिटल ऑथेंटिकेशन की पुष्टि करने के लिए उपयोग किया जाने वाला एक साधन है। एक व्यक्ति एक कंप्यूटर सिस्टम या एप्लिकेशन को यह प्रदर्शित करके सर्टिफाइ करता है कि उसके पास एक प्रमाणीकरणकर्ता का अधिकार और नियंत्रण है। सरलतम शब्दों में, प्रमाणीकरणकर्ता एक सामान्य पासवर्ड है।

एनआईएसटी डिजिटल पहचान दिशानिर्देशों की शब्दावली का उपयोग करते हुए, प्रमाणित होने वाली पार्टी को क्लाइमेंट (दावेदार) कहा जाता है जबकि क्लाइमेंट की पहचान की पुष्टि करने वाली पार्टी को वेरिफिएर (सत्यापनकर्ता) कहा जाता है। जब क्लाइमेंट एक स्थापित ऑथेंटिकेशन प्रोटोकॉल के माध्यम से वेरिफिएर को एक या अधिक प्रमाणीकरणकर्ताओ के स्वामित्व और नियंत्रण को सफलतापूर्वक प्रदर्शित करता है, तो वेरिफिएर क्लाइमेंट की पहचान का अनुमान लगाने में सक्षम होता है।

वर्गीकरण
प्रमाणीकरणकर्ता्स को सीक्रेट, फैक्टर्स और फिजिकल फॉर्म्स के संदर्भ में वर्णित किया जा सकता है।

प्रमाणीकरणकर्ता सीक्रेट
प्रत्येक प्रमाणीकरणकर्ता कम से कम एक सीक्रेट से जुड़ा होता है जिसका उपयोग क्लाइमेंट प्रमाणीकरणकर्ता के स्वामित्व और नियंत्रण को प्रदर्शित करने के लिए करता है। चूंकि एक अटैकर इस सीक्रेट का उपयोग उपयोगकर्ता को प्रतिरूपित करने के लिए कर सकता है, इसलिए एक प्रमाणीकरणकर्ता सीक्रेट को चोरी या हानि से संरक्षित करता है।

सीक्रेट का प्रकार प्रमाणीकरणकर्ता की एक महत्वपूर्ण विशेषता है। प्रमाणीकरणकर्ता सीक्रेट के तीन मूल प्रकार हैं: मेमोरीज़ेड सीक्रेट और दो प्रकार की क्रिप्टोग्राफ़िक कुंजियाँ, या तो एक सिमेट्रिक कुंजी या एक प्राइवेट कुंजी।

मेमोरीज़ेड सीक्रेट
एक याद किए गए सीक्रेट का उद्देश्य उपयोगकर्ता द्वारा याद किया जाना है। याद किए गए सीक्रेट का एक प्रसिद्ध उदाहरण सामान्य पासवर्ड है, जिसे पासकोड, पदबंध या व्यक्तिगत पहचान संख्या (पिन) भी कहा जाता है।

एक प्रमाणीकरणकर्ता सीक्रेट जो क्लाइमेंट और वेरिफिएर दोनों के लिए जाना जाता है, उसे शेयर्ड सीक्रेट कहा जाता है। उदाहरण के लिए, एक याद किया हुआ सीक्रेट शेयर किया जा सकता है या नहीं भी किया जा सकता है। परिभाषा द्वारा एक सिमेट्रिक कुंजी शेयर की जाती है। एक निजी कुंजी शेयर नहीं की जाती है।

पासवर्ड एक महत्वपूर्ण प्रकार का सीक्रेट है जिसे याद रखा जाता है और शेयर किया जाता है। पासवर्ड के विशेष स्थिति में, प्रमाणीकरणकर्ता सीक्रेट है।

क्रिप्टोग्राफ़िक कुंजी
एक क्रिप्टोग्राफ़िक प्रमाणीकरणकर्ता वह है जो एक कुंजी (क्रिप्टोग्राफी) का उपयोग करता है। कुंजी सामग्री के आधार पर, एक क्रिप्टोग्राफ़िक प्रमाणीकरण, सिमेट्रिक-कुंजी क्रिप्टोग्राफी या पब्लिक-कुंजी क्रिप्टोग्राफी का उपयोग कर सकता है। दोनों मेमोरीज़ेड सीक्रेट से बचते हैं, और पब्लिक-कुंजी क्रिप्टोग्राफी के स्थिति में, कोई सीक्रेट शेयर भी नहीं हैं, जो एक महत्वपूर्ण अंतर है।

क्रिप्टोग्राफ़िक प्रमाणीकरणकर्ता के उदाहरणों में ओथ प्रमाणीकरणकर्ता और एफआईडीओ प्रमाणीकरणकर्ता सम्मिलित हैं। प्रति उदाहरण के माध्यम से, एक पासवर्ड प्रमाणीकरण क्रिप्टोग्राफ़िक प्रमाणीकरणकर्ता नहीं है। विवरण के लिए #उदाहरण अनुभाग देखें।

सिमेट्रिक कुंजी
एक सिमेट्रिक कुंजी एक शेयर सीक्रेट है जिसका उपयोग सिमेट्रिक-कुंजी क्रिप्टोग्राफी करने के लिए किया जाता है। क्लाइमेंट शेयर कुंजी की अपनी प्रतिलिपि को समर्पित हार्डवेयर-आधारित प्रमाणीकरणकर्ता या स्मार्टफ़ोन पर कार्यान्वित सॉफ़्टवेयर-आधारित प्रमाणीकरणकर्ता में संग्रहीत करता है। वेरिफिएर सिमेट्रिक कुंजी की एक प्रतिलिपि रखता है।

पब्लिक-प्राइवेट कुंजी पेअर
पब्लिक-प्राइवेट कुंजी पेअर का उपयोग पब्लिक-कुंजी क्रिप्टोग्राफी करने के लिए किया जाता है। पब्लिक कुंजी वेरिफिएर (और उसके द्वारा विश्वसनीय) के लिए जानी जाती है, जबकि संबंधित प्राइवेट कुंजी प्रमाणीकरणकर्ता के लिए सुरक्षित रूप से बंधी होती है। एक समर्पित हार्डवेयर-आधारित प्रमाणीकरणकर्ता के स्थिति में, प्राइवेट कुंजी प्रमाणीकरणकर्ता की सीमा को कभी नहीं छोड़ती है।

प्रमाणीकरणकर्ता फैक्टर्स एंड फॉर्म्स
एक प्रमाणीकरणकर्ता एक उपयोगकर्ता के लिए यूनिक या स्पेसिफिक होता है (कुछ ऐसा जो किसी के पास होता है), या तो एक व्यक्तिगत पहचान संख्या (जिसे कोई जानता है) द्वारा सक्रिय किया जाता है, या एक बॉयोमेट्रिक्स (कुछ ऐसा जो स्वयं के लिए यूनिक है)। एक प्रमाणीकरणकर्ता जो इनमें से केवल एक फैक्टर प्रदान करता है, उसे सिंगल-फैक्टर प्रमाणीकरणकर्ता कहा जाता है जबकि एक मल्टी-फैक्टर प्रमाणीकरणकर्ता में दो या अधिक फैक्टर सम्मिलित होते हैं। मल्टी-फैक्टर ऑथेंटिकेशन एक मल्टी-फैक्टर ऑथेंटिकेशन प्राप्त करने का एक तरीका है। दो या दो से अधिक सिंगल-फैक्टर प्रमाणीकरणकर्ता्स का संयोजन मल्टी-फैक्टर ऑथेंटिकेशन नहीं है, फिर भी कुछ स्थितियों में उपयुक्त हो सकता है।

प्रमाणक कई प्रकार के भौतिक रूप ले सकते हैं (एक मेमोरीज़ेड सीक्रेट को छोड़कर, जो अमूर्त है)। उदाहरण के लिए, एक प्रमाणक को अपने हाथ में पकड़ सकते हैं या चेहरे, कलाई या उंगली पर पहन सकते हैं। अपने हार्डवेयर और सॉफ़्टवेयर घटकों के संदर्भ में प्रमाणीकरणकर्ता का वर्णन करना सुविधाजनक है। एक प्रमाणक हार्डवेयर-आधारित या सॉफ़्टवेयर-आधारित होता है, जो इस बात पर निर्भर करता है कि सीक्रेट क्रमशः हार्डवेयर या सॉफ़्टवेयर में संग्रहीत है या नहीं।

एक महत्वपूर्ण प्रकार के हार्डवेयर-आधारित प्रमाणीकरणकर्ता को सिक्योरिटी कुंजी कहा जाता है, एक सिक्योरिटी टोकन भी कहा जाता है (एक्सेस टोकन, सत्र टोकन, या अन्य प्रकार के सिक्योरिटी टोकन के साथ भ्रमित नहीं होना चाहिए)। एक सिक्योरिटी कुंजी अपने सीक्रेट को हार्डवेयर में संग्रहीत करती है, जो सीक्रेट को निर्यात होने से रोकता है। एक सिक्योरिटी कुंजी भी मैलवेयर के लिए प्रतिरोधी है क्योंकि सीक्रेट होस्ट मशीन पर चल रहे सॉफ़्टवेयर के लिए किसी भी समय पहुंचने योग्य नहीं है।

एक सॉफ़्टवेयर-आधारित प्रमाणीकरणकर्ता (कभी-कभी सॉफ्टवेयर टोकन कहा जाता है) एक सामान्य-उद्देश्य वाले इलेक्ट्रॉनिक उपकरण जैसे लैपटॉप, टैबलेट कंप्यूटर या स्मार्टफ़ोन पर कार्यान्वित किया जा सकता है। उदाहरण के लिए, क्लाइमेंट के स्मार्टफोन पर एक मोबाइल एप्लिकेशन के रूप में कार्यान्वित सॉफ़्टवेयर-आधारित प्रमाणीकरणकर्ता एक प्रकार का फ़ोन-आधारित प्रमाणीकरणकर्ता है। सीक्रेट तक पहुंच को रोकने के लिए, एक सॉफ्टवेयर-आधारित प्रमाणीकरणकर्ता प्रोसेसर के विश्वसनीय निष्पादन वातावरण या क्लाइंट डिवाइस पर एक विश्वसनीय प्लेटफार्म मॉड्यूल (टीपीएम) का उपयोग कर सकता है।

एक प्लेटफ़ॉर्म प्रमाणीकरणकर्ता एक विशेष क्लाइंट डिवाइस प्लेटफ़ॉर्म में बनाया गया है, अर्थात इसे डिवाइस पर लागू किया गया है। इसके विपरीत, रोमिंग प्रमाणीकरणकर्ता एक क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरणकर्ता है जिसे डिवाइस से लागू किया जाता है। रोमिंग प्रमाणीकरणकर्ता USB जैसे ट्रांसपोर्ट प्रोटोकॉल के माध्यम से डिवाइस प्लेटफॉर्म से जुड़ता है।

उदाहरण
निम्नलिखित खंड प्रमाणीकरणकर्ताओ के संकीर्ण वर्गों का वर्णन करते हैं। अधिक व्यापक वर्गीकरण के लिए, एनआईएसटी डिजिटल आइडेंटिफिकेशन गाइडलाइन्स देखें।

सिंगल-फैक्टर प्रमाणीकरणकर्ता
एक प्रमाणीकरणकर्ता का उपयोग करने के लिए, क्लाइमेंट को प्रमाणित करने के अपने इरादे को स्पष्ट रूप से इंगित करना चाहिए। उदाहरण के लिए, निम्नलिखित में से प्रत्येक संकेत को स्थापित करने के लिए पर्याप्त है:


 * क्लाइमेंट पासवर्ड फ़ील्ड में पासवर्ड टाइप करता है, या
 * क्लाइमेंट अपनी अंगुली फ़िंगरप्रिंट रीडर पर रखता है, या
 * क्लाइमेंट अनुमोदन इंगित करने के लिए एक बटन दबाता है

उत्तरार्द्ध को उपयोगकर्ता उपस्थिति (टीयूपी) का परीक्षण कहा जाता है। सिंगल-फैक्टर प्रमाणीकरणकर्ता (जो किसी के पास है) को सक्रिय करने के लिए, क्लाइमेंट को टीयूपी करने की आवश्यकता हो सकती है, जो प्रमाणीकरणकर्ता के अनपेक्षित संचालन से बचा जाता है।

एक पासवर्ड एक सीक्रेट है जिसे क्लाइमेंट द्वारा याद रखने और वेरिफिएर के साथ शेयर करने का विचार है। पासवर्ड ऑथेंटिकेशन वह प्रक्रिया है जिसके द्वारा क्लाइमेंट पासवर्ड के ज्ञान को वेरिफिएर को नेटवर्क पर प्रसारित करके प्रदर्शित करता है। यदि प्रेषित पासवर्ड पहले शेयर किए गए सीक्रेट से मेल खाता है, तो उपयोगकर्ता ऑथेंटिकेशन सफल होता है।

ओथ ओटीपी
1980 के दशक से वन-टाइम पासवर्ड (ओटीपी) का उपयोग किया जाता रहा है। 2004 में, वार्षिक आरएसए सम्मेलन में ओटीपी के सुरक्षित उत्पादन के लिए एक ओपन ऑथेंटिकेशन रेफरेंस आर्किटेक्चर की घोषणा की गई थी। ओपन ऑथेंटिकेशन (ओएटीएच) के लिए पहल एक साल बाद शुरू हुई। इस कार्य से दो IETF मानक विकसित हुए, HMAC-आधारित वन-टाइम पासवर्ड एल्गोरिथम | HMAC-आधारित वन-टाइम पासवर्ड (HOTP) एल्गोरिथम और समय-आधारित वन-टाइम पासवर्ड एल्गोरिथम | टाइम-आधारित वन-टाइम पासवर्ड (टीओटीपी) ) एल्गोरिथम क्रमशः RFC 4226 और RFC 6238 द्वारा निर्दिष्ट किया गया है। ओथ ओटीपी से हमारा मतलब या तो एचओटीपी या टीओटीपी से है। ओथ एचओटीपी और टीओटीपी मानकों के अनुरूप प्रमाणित करता है। दो-कारक ऑथेंटिकेशन प्रदान करने के लिए एक पारंपरिक पासवर्ड (जो कुछ जानता है) को अधिकांशतः एक बार के पासवर्ड (कुछ ऐसा है) के साथ जोड़ा जाता है। पासवर्ड और ओटीपी दोनों ही नेटवर्क पर वेरिफिएर को प्रेषित किए जाते हैं। यदि पासवर्ड पहले शेयर किए गए सीक्रेट से सहमत है, और वेरिफिएर ओटीपी के मूल्य की पुष्टि कर सकता है, तो उपयोगकर्ता ऑथेंटिकेशन सफल होता है।

एक समर्पित ओथ ओटीपी प्रमाणीकरणकर्ता द्वारा मांग पर वन-टाइम पासवर्ड उत्पन्न किए जाते हैं जो एक सीक्रेट को समाहित करता है जिसे पहले वेरिफिएर के साथ शेयर किया गया था। प्रमाणीकरणकर्ता का उपयोग करके, क्लाइमेंट क्रिप्टोग्राफ़िक विधि का उपयोग करके एक ओटीपी उत्पन्न करता है। वेरिफिएर उसी क्रिप्टोग्राफ़िक विधि का उपयोग करके एक ओटीपी भी उत्पन्न करता है। यदि दो ओटीपी मान मेल खाते हैं, तो वेरिफिएर यह निष्कर्ष निकाल सकता है कि क्लाइमेंट के पास शेयर सीक्रेट है।

ओएटीएच प्रमाणीकरणकर्ता का एक प्रसिद्ध उदाहरण ओपन-सोर्स गूगल प्रमाणीकरणकर्ता है, एक फोन-आधारित प्रमाणीकरणकर्ता जो एचओटीपी और टीओटीपी दोनों को लागू करता है।

मोबाइल पुश
एक मोबाइल पुश प्रमाणीकरणकर्ता अनिवार्य रूप से क्लाइमेंट के मोबाइल फोन पर चलने वाला एक देशी ऐप है। ऐप पुश सूचनाओं का जवाब देने के लिए सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग करता है। दूसरे शब्दों में, एक मोबाइल पुश प्रमाणीकरणकर्ता एक सिंगल-फैक्टर क्रिप्टोग्राफ़िक सॉफ़्टवेयर प्रमाणीकरणकर्ता है। दो-कारक ऑथेंटिकेशन प्रदान करने के लिए एक मोबाइल पुश प्रमाणीकरणकर्ता (ऐसा कुछ जो किसी के पास होता है) को सामान्यतः एक पासवर्ड (जिसे कोई जानता है) के साथ जोड़ा जाता है। वन-टाइम पासवर्ड के विपरीत, मोबाइल पुश के लिए पासवर्ड से परे किसी शेयर सीक्रेट की आवश्यकता नहीं होती है।

क्लाइमेंट द्वारा एक पासवर्ड के साथ प्रमाणित करने के बाद, वेरिफिएर एक विश्वसनीय तृतीय पक्ष के लिए एक आउट-ऑफ-बैंड ऑथेंटिकेशन अनुरोध करता है जो वेरिफिएर की ओर से एक सार्वजनिक-कुंजी अवसंरचना का प्रबंधन करता है। विश्वसनीय तृतीय पक्ष क्लाइमेंट के मोबाइल फ़ोन पर एक पुश सूचना भेजता है. क्लाइमेंट उपयोगकर्ता इंटरफ़ेस में एक बटन दबाकर प्रमाणीकरणकर्ता के स्वामित्व और नियंत्रण को प्रदर्शित करता है, जिसके बाद प्रमाणीकरणकर्ता डिजिटल रूप से हस्ताक्षरित अभिकथन के साथ प्रतिक्रिया करता है। विश्वसनीय तृतीय पक्ष अभिकथन पर हस्ताक्षर की पुष्टि करता है और वेरिफिएर को ऑथेंटिकेशन प्रतिक्रिया देता है।

प्रोप्राइटरी मोबाइल पुश ऑथेंटिकेशन प्रोटोकॉल एक आउट-ऑफ़-बैंड सेकेंडरी चैनल पर चलता है, जो लचीले परिनियोजन विकल्प प्रदान करता है। चूंकि प्रोटोकॉल के लिए क्लाइमेंट के मोबाइल फोन के लिए एक खुले नेटवर्क पथ की आवश्यकता होती है, यदि ऐसा कोई पथ उपलब्ध नहीं है (नेटवर्क समस्याओं के कारण, उदाहरण के लिए), ऑथेंटिकेशन प्रक्रिया आगे नहीं बढ़ सकती है।

एफ.आई.डी.ओ यू2एफ
एक एफआईडीओ एलायंस यूनिवर्सल और फैक्टर (U2F) प्रमाणीकरणकर्ता (ऐसा कुछ जो किसी के पास है) एक सिंगल-फैक्टर क्रिप्टोग्राफ़िक प्रमाणीकरणकर्ता है जिसका उपयोग सामान्य वेब पासवर्ड के साथ संयोजन के रूप में किया जाना है। चूंकि प्रमाणीकरणकर्ता सार्वजनिक-कुंजी क्रिप्टोग्राफी पर निर्भर करता है, यू2एफ को पासवर्ड से परे एक अतिरिक्त शेयर सीक्रेट की आवश्यकता नहीं होती है।

यू2एफ प्रमाणीकरणकर्ता तक पहुँचने के लिए, क्लाइमेंट को उपयोगकर्ता उपस्थिति (TUP) का परीक्षण करने की आवश्यकता होती है, जो प्रमाणीकरणकर्ता की कार्यक्षमता तक अनधिकृत पहुँच को रोकने में मदद करता है। व्यवहार में, एक TUP में एक साधारण बटन पुश होता है।

यू2एफ प्रमाणीकरणकर्ता एक अनुरूप वेब उपयोगकर्ता एजेंट के साथ इंटरऑपरेट करता है जो यू2एफ जावास्क्रिप्ट एपीआई को लागू करता है। यू2एफ प्रमाणीकरणकर्ता आवश्यक रूप से CTAP1/U2F प्रोटोकॉल को लागू करता है, जो एफआईडीओ क्लाइंट टू प्रमाणीकरणकर्ता प्रोटोकॉल में निर्दिष्ट दो प्रोटोकॉल में से एक है। मोबाइल पुश ऑथेंटिकेशन के विपरीत, यू2एफ ऑथेंटिकेशन प्रोटोकॉल पूरी तरह से फ्रंट चैनल पर चलता है। दो चक्कर लगाने पड़ते हैं। पहला राउंड ट्रिप साधारण पासवर्ड ऑथेंटिकेशन है। क्लाइमेंट द्वारा एक पासवर्ड के साथ प्रमाणित किए जाने के बाद, वेरिफिएर एक अनुरूप ब्राउज़र को एक चुनौती भेजता है, जो एक कस्टम JavaScript API के माध्यम से U2F प्रमाणीकरणकर्ता के साथ संचार करता है। क्लाइमेंट द्वारा TUP करने के बाद, प्रमाणीकरणकर्ता चुनौती पर हस्ताक्षर करता है और ब्राउज़र के माध्यम से वेरिफिएर को हस्ताक्षरित अभिकथन लौटाता है।

मल्टी-फैक्टर प्रमाणीकरणकर्ता्स
मल्टी-फैक्टर प्रमाणीकरणकर्ता का उपयोग करने के लिए, क्लाइमेंट पूर्ण उपयोगकर्ता सत्यापन करता है। मल्टी-फैक्टर प्रमाणीकरणकर्ता (ऐसा कुछ जो किसी के पास हो) एक व्यक्तिगत पहचान संख्या (जिसे कोई जानता हो), या एक बायोमेट्रिक्स (कुछ ऐसा जो अपने लिए यूनिक हो; जैसे फिंगरप्रिंट, चेहरा या आवाज की पहचान), या कुछ अन्य सत्यापन तकनीक द्वारा सक्रिय किया जाता है. ,

एटीएम कार्ड
एक स्वचालित टेलर मशीन (एटीएम) से नकदी निकालने के लिए, एक बैंक ग्राहक एटीएम कार्ड को कैश मशीन में डालता है और एक व्यक्तिगत पहचान संख्या (पिन) टाइप करता है। इनपुट पिन की तुलना कार्ड की चिप पर संग्रहीत पिन से की जाती है। यदि दोनों मेल खाते हैं, तो एटीएम से निकासी जारी रह सकती है।

ध्यान दें कि एटीएम निकासी में एक याद किया हुआ सीक्रेट (यानी, एक पिन) सम्मिलित होता है, लेकिन सीक्रेट का सही मूल्य एटीएम को पहले से ज्ञात नहीं होता है। मशीन अंधाधुंध तरीके से कार्ड में इनपुट पिन पास करती है, जो ग्राहक के इनपुट की तुलना कार्ड की चिप पर संग्रहीत गुप्त पिन से करती है। यदि दोनों मेल खाते हैं, तो कार्ड एटीएम को सफलता की सूचना देता है और लेनदेन जारी रहता है।

एटीएम कार्ड मल्टी-फैक्टर प्रमाणीकरणकर्ता का एक उदाहरण है। कार्ड अपने आप में एक ऐसी चीज है जो किसी के पास होती है जबकि कार्ड की चिप पर संग्रहीत पिन संभवतः कुछ ऐसा होता है जिसे कोई जानता है। एटीएम में कार्ड प्रस्तुत करना और पिन की जानकारी प्रदर्शित करना एक प्रकार का मल्टी-फैक्टर ऑथेंटिकेशन है।

सिक्योर शैल
सिक्योर शैल (एसएसएच) एक क्लाइंट-सर्वर प्रोटोकॉल है जो नेटवर्क पर एक सिक्योर चैनल बनाने के लिए सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग करता है। एक पारंपरिक पासवर्ड के विपरीत, एक एसएसएच कुंजी एक क्रिप्टोग्राफ़िक प्रमाणीकरणकर्ता है। प्राथमिक प्रमाणीकरणकर्ता सीक्रेट एसएसएच निजी कुंजी है, जिसका उपयोग क्लाइंट द्वारा किसी संदेश पर डिजिटल रूप से हस्ताक्षर करने के लिए किया जाता है। संबंधित सार्वजनिक कुंजी का उपयोग सर्वर द्वारा संदेश हस्ताक्षर को सत्यापित करने के लिए किया जाता है, जो पुष्टि करता है कि क्लाइमेंट के पास निजी कुंजी का अधिकार और नियंत्रण है।

चोरी से बचने के लिए, एसएसएच निजी कुंजी (जो किसी के पास है) को पासफ़्रेज़ (जिसे कोई जानता है) का उपयोग करके एन्क्रिप्ट किया जा सकता है। दो-कारक ऑथेंटिकेशन प्रक्रिया आरंभ करने के लिए, क्लाइमेंट क्लाइंट सिस्टम को पासफ़्रेज़ प्रदान करता है।

एक पासवर्ड की तरह, एसएसएच पासफ़्रेज़ एक याद किया हुआ सीक्रेट है लेकिन यहीं पर समानता समाप्त हो जाती है। जबकि एक पासवर्ड एक शेयर सीक्रेट है जो नेटवर्क पर प्रसारित होता है, एसएसएच पासफ़्रेज़ शेयर नहीं किया जाता है, और इसके अतिरिक्त, पासफ़्रेज़ का उपयोग क्लाइंट सिस्टम तक ही सीमित है। एसएसएच के माध्यम से ऑथेंटिकेशन पासवर्ड रहित ऑथेंटिकेशन का एक उदाहरण है क्योंकि यह नेटवर्क पर एक शेयर सीक्रेट के प्रसारण से बचा जाता है। वास्तव में, एसएसएच ऑथेंटिकेशन के लिए किसी शेयर सीक्रेट की आवश्यकता नहीं होती है।

एफआईडीओ2
FIDO U2F प्रोटोकॉल मानक, FIDO2 प्रोजेक्ट के लिए प्रारंभिक बिंदु बन गया, जो वर्ल्ड वाइड वेब कंसोर्टियम (W3C) और FIDO एलायंस के बीच एक संयुक्त प्रयास है। प्रोजेक्ट डिलिवरेबल्स में W3C वेब ऑथेंटिकेशन (WebAuthn) मानक और FIDO क्लाइंट टू प्रमाणीकरणकर्ता प्रोटोकॉल (CTAP) सम्मिलित हैं। WebAuthn और CTAP मिलकर वेब के लिए एक मजबूत ऑथेंटिकेशन समाधान प्रदान करते हैं।

एक FIDO2 प्रमाणीकरणकर्ता, जिसे WebAuthn प्रमाणीकरणकर्ता भी कहा जाता है, WebAuthn क्लाइंट के साथ इंटरऑपरेट करने के लिए सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग करता है, जो कि एक अनुरूप वेब उपयोगकर्ता एजेंट है जो WebAuthn JavaScript API को लागू करता है। प्रमाणीकरणकर्ता एक प्लेटफॉर्म प्रमाणीकरणकर्ता, एक रोमिंग प्रमाणीकरणकर्ता या दोनों का कुछ संयोजन हो सकता है। उदाहरण के लिए, एक FIDO2 प्रमाणीकरणकर्ता जो CTAP2 प्रोटोकॉल को लागू करता है एक रोमिंग प्रमाणीकरणकर्ता है जो WebAuthn क्लाइंट के साथ निम्न परिवहन विकल्पों में से एक या अधिक के माध्यम से संचार करता है: USB, नजदीक फील्ड संचार (NFC), या ब्लूटूथ लौ एनर्जी (BLE)। FIDO2 प्लेटफॉर्म प्रमाणीकरणकर्ता के ठोस उदाहरणों में विंडोज हैलो सम्मिलित है और एंड्राइड ऑपरेटिंग सिस्टम। एक FIDO2 प्रमाणीकरणकर्ता का उपयोग एकल-कारक मोड या मल्टी-फैक्टर मोड में किया जा सकता है। एकल-कारक मोड में, प्रमाणीकरणकर्ता उपयोगकर्ता उपस्थिति के एक साधारण परीक्षण (जैसे, एक बटन पुश) द्वारा सक्रिय होता है। मल्टी-फैक्टर मोड में, प्रमाणीकरणकर्ता (कुछ ऐसा है जो किसी के पास है) या तो एक व्यक्तिगत पहचान संख्या (कुछ जिसे कोई जानता है) या बायोमेट्रिक्स (कुछ ऐसा जो स्वयं के लिए यूनिक है) द्वारा सक्रिय होता है।

सिक्योरिटी कोड
सबसे पहले और सबसे महत्वपूर्ण, मजबूत ऑथेंटिकेशन मल्टी-फैक्टर ऑथेंटिकेशन से प्रारंभ होता है। व्यक्तिगत ऑनलाइन खाते की सिक्योरिटी के लिए सबसे अच्छी बात मल्टी-फैक्टर ऑथेंटिकेशन को सक्षम करना है। मल्टी-फैक्टर ऑथेंटिकेशन प्राप्त करने के दो तरीके हैं:


 * 1) मल्टी-फैक्टर प्रमाणीकरणकर्ता का उपयोग करें
 * 2) दो या दो से अधिक सिंगल-फैक्टर प्रमाणकों के संयोजन का उपयोग करें

व्यवहार में, एक सामान्य दृष्टिकोण एक पासवर्ड प्रमाणीकरणकर्ता (जो कुछ जानता है) को किसी अन्य प्रमाणीकरणकर्ता (जो किसी के पास है) जैसे कि क्रिप्टोग्राफ़िक प्रमाणीकरणकर्ता के साथ संयोजित करना है।

सामान्यतया, एक #क्रिप्टोग्राफ़िक कुंजी को एक प्रमाणीकरणकर्ता से अधिक पसंद किया जाता है जो क्रिप्टोग्राफ़िक विधियों का उपयोग नहीं करता है। अन्य सभी समान होने के नाते, एक क्रिप्टोग्राफ़िक प्रमाणीकरणकर्ता जो सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग करता है, सिमेट्रिक-कुंजी क्रिप्टोग्राफी का उपयोग करने वाले से बेहतर है क्योंकि बाद वाले को शेयर कुंजियों की आवश्यकता होती है (जो चोरी या दुरुपयोग हो सकती है)।

एक हार्डवेयर-आधारित प्रमाणीकरणकर्ता एक सॉफ़्टवेयर-आधारित प्रमाणीकरणकर्ता से बेहतर है क्योंकि प्रमाणीकरणकर्ता सीक्रेट संभवतः हार्डवेयर में बेहतर संरक्षित है। यह वरीयता अगले खंड में उल्लिखित एनआईएसटी आवश्यकताओं में परिलक्षित होती है।

एनआईएसटी प्रमाणीकरणकर्ता असुरेन्स लेवल्स
एनआईएसटी प्रमाणीकरणकर्ता्स के संबंध में असुरेन्स के तीन लेवल्स को परिभाषित करता है। उच्चतम प्रमाणीकरणकर्ता असुरेन्स लेवल (AAL3) के लिए मल्टी-फैक्टर ऑथेंटिकेशन की आवश्यकता होती है या तो मल्टी-फैक्टर प्रमाणीकरणकर्ता या सिंगल-फैक्टर प्रमाणीकरणकर्ता्स के उपयुक्त संयोजन का उपयोग किया जाता है। AAL3 में, कम से कम एक प्रमाणीकरणकर्ता क्रिप्टोग्राफ़िक हार्डवेयर-आधारित प्रमाणीकरणकर्ता होना चाहिए। इन मूलभूत आवश्यकताओं को देखते हुए, AAL3 में उपयोग किए जाने वाले संभावित प्रमाणीकरणकर्ता संयोजनों में सम्मिलित हैं:


 * 1) एक मल्टी-फैक्टर क्रिप्टोग्राफ़िक हार्डवेयर-आधारित प्रमाणीकरणकर्ता
 * 2) एक सिंगल-फैक्टर क्रिप्टोग्राफ़िक हार्डवेयर-आधारित प्रमाणीकरणकर्ता का उपयोग किसी अन्य प्रमाणीकरणकर्ता (जैसे पासवर्ड प्रमाणीकरणकर्ता) के साथ किया जाता है

प्रमाणीकरणकर्ता असुरेन्स लेवल्स की आगे की चर्चा के लिए एनआईएसटी डिजिटल आइडेंटिफिकेशन गाइडलाइन्स देखें।

रिस्ट्रिक्टेड प्रमाणीकरणकर्ता
प्रमाणीकरणकर्ता आश्वासन स्तरों की तरह, रिस्ट्रिक्टेड प्रमाणीकरणकर्ता की धारणा एक एनआईएसटी अवधारणा है। यह शब्द एक प्रमाणीकरणकर्ता को संदर्भित करता है जो अटैक्स का प्रतिरोध करने में असमर्थता प्रदर्शित करता है, जो प्रमाणीकरणकर्ता की विश्वसनीयता को संदेह में डालता है। संघीय एजेंसियां ​​सब्सक्राइबर्स को एक वैकल्पिक प्रमाणीकरणकर्ता प्रदान करके रिस्ट्रिक्टेड प्रमाणीकरणकर्ता के उपयोग को कम करती हैं जो रिस्ट्रिक्टेड नहीं है और भविष्य में किसी बिंदु पर रिस्ट्रिक्टेड प्रमाणीकरणकर्ता के उपयोग से रिस्ट्रिक्टेड होने की स्थिति में माइग्रेशन प्लान विकसित करके।

वर्तमान में, पब्लिक स्विचड टेलीफोन नेटवर्क का उपयोग एनआईएसटी द्वारा रिस्ट्रिक्टेड है। विशेष रूप से, रिकॉर्ड किए गए वॉयस संदेशों या एसएमएस संदेशों के माध्यम से वन-टाइम पासवर्ड (ओटीपी) का आउट-ऑफ-बैंड ट्रांसमिशन रिस्ट्रिक्टेड है। इसके अतिरिक्त, यदि कोई एजेंसी वॉइस- या एसएमएस-आधारित ओटीपी का उपयोग करना चुनती है, तो उस एजेंसी को यह सत्यापित करना होगा कि ओटीपी एक फोन पर प्रेषित किया जा रहा है न कि आईपी पते पर क्योंकि वौइस् ओवर आईपी (वीओआईपी) खाते नियमित रूप से मल्टी-फैक्टर से सुरक्षित नहीं होते हैं। ऑथेंटिकेशन।

कंपेरिजन
तुलना के आधार के रूप में पासवर्ड का उपयोग करना सुविधाजनक है क्योंकि यह व्यापक रूप से समझा जाता है कि पासवर्ड का उपयोग कैसे किया जाता है। कम्‍प्‍यूटर सिस्‍टम पर, पासवर्ड का उपयोग कम से कम 1960 के दशक के प्रारंभ से किया जा रहा है। अधिक सामान्यतः, पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। 2012 में, बॉनौ एट अल। उपयोगिता, परिनियोजन और सिक्योरिटी के संदर्भ में 35 कॉम्पिटिटिव ऑथेंटिकेशन स्कीम्स के साथ व्यवस्थित रूप से वेब पासवर्ड की तुलना करके पासवर्ड को बदलने के दो दशकों के प्रस्तावों का मूल्यांकन किया। (सीटेड टेक्निकल रिपोर्ट इसी नाम से सहकर्मी-समीक्षित पेपर का एक विस्तारित संस्करण है। ) उन्होंने पाया कि अधिकांश स्कीम्स सिक्योरिटी पर पासवर्ड से बेहतर करती हैं जबकि हर स्कीम्स डेप्लॉयबिलिटी पर पासवर्ड से खराब करती है। प्रयोज्यता के संदर्भ में, कुछ योजनाएँ बेहतर करती हैं और कुछ योजनाएँ पासवर्ड से भी बदतर।

गूगल ने बॉनौ एट अल के मूल्यांकन ढांचे का उपयोग किया। सिक्योरिटी कुंजियों की तुलना पासवर्ड और वन-टाइम पासवर्ड से करने के लिए। उन्होंने निष्कर्ष निकाला कि सिक्योरिटी कुंजियाँ वन-टाइम वाले पासवर्ड की तुलना में अधिक उपयोगी, सिक्योर और लागू करने योग्य हैं।

यह भी देखें

 * इलेक्ट्रॉनिक ऑथेंटिकेशन

इस पेज में लापता आंतरिक लिंक की सूची

 * विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल
 * ओपन ऑथेंटिकेशन के लिए पहल
 * HMAC- आधारित वन-टाइम पासवर्ड एल्गोरिथम
 * उपभोक्ता अभिकर्ता
 * एंड्रॉइड ऑपरेटिंग सिस्टम