भरोसेमंद पक्ष (आरपी), पासकी बनाने वाले प्रोवाइडर का पता लगा सकते हैं. इसके लिए, वे पासकी से जुड़े सार्वजनिक पासकोड क्रेडेंशियल के AAGUID की जांच करते हैं.
पासकी मैनेज करने से जुड़ी चुनौतियां
पासकी का इस्तेमाल करने का एक फ़ायदा यह है कि उपयोगकर्ता एक ही खाते के लिए कई पासकी बना सकते हैं. पासकी की सुविधाओं के साथ-साथ, इस सुविधा की मदद से उपयोगकर्ता अपने खाते में आसानी से साइन इन कर सकते हैं. भले ही, वह अपनी किसी पासकी को खो दे. इसके अलावा, वह किसी अन्य पासकी का इस्तेमाल करके, भरोसेमंद पार्टी के खाते में साइन इन कर सकता है.
आरपी पर एक से ज़्यादा पासकी मैनेज करने वाले उपयोगकर्ताओं के लिए, किसी एक पासकी में बदलाव करने या उसे मिटाने के दौरान, सही पासकी की पहचान करना मुश्किल हो जाता है. इसका एक अच्छा उदाहरण यह है कि जब कोई उपयोगकर्ता किसी ऐसी पासकी को हटाना चाहता है जिसका इस्तेमाल नहीं किया जा रहा है. आरपी को पासकी की सूची में, पासकी के बारे में जानकारी अटैच करने का सुझाव दिया जाता है. जैसे, पासकी बनाने की तारीख और आखिरी बार इस्तेमाल करने की तारीख. इससे उपयोगकर्ताओं को कोई खास पासकी ढूंढने में मदद मिलती है.
आरपी, उपयोगकर्ताओं को पासकी बनाने के तुरंत बाद या बाद में, पासकी का नाम देने की अनुमति भी दे सकते हैं. हालांकि, कई उपयोगकर्ता ऐसा नहीं करते. आम तौर पर, पासकी का नाम अपने-आप सेट होता है. इसमें क्लाइंट से भेजे गए सिग्नल या सार्वजनिक पासकोड क्रेडेंशियल में शामिल जानकारी शामिल होती है.
ब्राउज़र, उपयोगकर्ता एजेंट की एक स्ट्रिंग उपलब्ध कराते हैं. भरोसेमंद पक्ष, पासकी का नाम रखने के लिए इसका इस्तेमाल कर सकते हैं. हालांकि, Android, iOS या एक्सटेंशन की सुविधा वाले डेस्कटॉप ब्राउज़र जैसे प्लैटफ़ॉर्म, तीसरे पक्ष के पासवर्ड मैनेजर की मदद से पासकी बनाने की अनुमति देते हैं. साथ ही, यह ज़रूरी नहीं है कि उपयोगकर्ता एजेंट की स्ट्रिंग से यह पता चलता हो कि पासकी की सुविधा देने वाली असल कंपनी कौन है.
पासकी रजिस्टर करने पर, सार्वजनिक कुंजी वाले क्रेडेंशियल में Authenticator Attestation Globally Unique Identifier (AAGUID) शामिल होता है. इसकी मदद से आरपी, पासकी देने वाली कंपनी का पता लगा सकते हैं. साथ ही, इसका इस्तेमाल करके उपयोगकर्ताओं को सही पासकी आसानी से ढूंढने में मदद कर सकते हैं.
AAGUID की मदद से, पासकी देने वाली कंपनी का पता लगाना
AAGUID एक यूनीक नंबर है. इससे पुष्टि करने वाले ऐप्लिकेशन के मॉडल की पहचान होती है, न कि उसके किसी खास इंस्टेंस की. AAGUID, सार्वजनिक पासकोड क्रेडेंशियल के पुष्टि करने वाले डेटा के हिस्से के तौर पर मिल सकता है.
आरपी, पासकी देने वाली कंपनी की पहचान करने के लिए AAGUID का इस्तेमाल कर सकते हैं. उदाहरण के लिए, अगर कोई उपयोगकर्ता Google Password Manager का इस्तेमाल करके Android डिवाइस पर पासकी बनाता है, तो आरपी को "ea9b8d66-4d01-1d21-3ce4-b6b48cb575d4"
का AAGUID मिलेगा. आरपी, पासकी की सूची में पासकी के लिए एनोटेशन जोड़ सकता है, ताकि यह पता चल सके कि इसे Google Password Manager पर बनाया गया था.
किसी AAGUID को पासकी देने वाली कंपनी से मैप करने के लिए, आरपी AAGUIDs के कम्यूनिटी सोर्स वाले रिपॉज़िटरी का इस्तेमाल कर सकते हैं. सूची में AAGUID देखकर, पासकी देने वाली कंपनी का नाम और उसका आइकॉन svg डेटा टेक्स्ट देखा जा सकता है.
AAGUID हासिल करने की सुविधा, ज़्यादातर WebAuthn लाइब्रेरी उपलब्ध कराती हैं. नीचे दिए गए उदाहरण में, SimpleWebAuthn का इस्तेमाल करके, सर्वर साइड रजिस्ट्रेशन कोड दिखाया गया है:
// Import a list of AAGUIDs from a JSON file
import aaguids from './aaguids.json' with { type: 'json' };
...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
response: credential,
expectedChallenge,
expectedOrigin,
expectedRPID,
requireUserVerification: false,
});
...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || 'Unknown';
नतीजा
AAGUID एक यूनीक स्ट्रिंग है, जो पासकी बनाने वाले प्रोवाइडर की पहचान करती है. आरपी, AAGUID का इस्तेमाल करके उपयोगकर्ताओं के लिए पासकी को मैनेज करना आसान बना सकते हैं. AAGUIDs के कम्यूनिटी सोर्स वाले रिपॉज़िटरी का इस्तेमाल, AAGUIDs को पासकी देने वाली कंपनियों से मैप करने के लिए किया जा सकता है.