पासकी का इस्तेमाल करने वाली पार्टियां (आरपी), यह पता लगा सकती हैं कि पासकी को किस पासकी प्रोवाइडर ने बनाया है. इसके लिए, वे पासकी से जुड़े सार्वजनिक पासकोड क्रेडेंशियल के AAGUID की जांच करती हैं.
पासकी मैनेज करने से जुड़ी चुनौतियां
पासकी इस्तेमाल करने का एक फ़ायदा यह है कि इससे उपयोगकर्ता, एक ही खाते के लिए कई पासकी बना सकते हैं. पासकी की मज़बूत सुरक्षा और इस सुविधा की वजह से, अगर उपयोगकर्ता अपनी कोई पासकी भूल जाता है और इस वजह से खाते को ऐक्सेस नहीं कर पाता है, तो भी वह अन्य पासकी का इस्तेमाल करके, भरोसा करने वाली पार्टी की साइट या ऐप्लिकेशन में साइन इन कर सकता है.
किसी आरपी पर एक से ज़्यादा पासकी मैनेज करने वाले उपयोगकर्ताओं के लिए, यह पहचान करना मुश्किल होता है कि उन्हें किस पासकी में बदलाव करना है या उसे मिटाना है. इसका एक अच्छा उदाहरण तब मिलता है, जब कोई उपयोगकर्ता ऐसी पासकी हटाना चाहता है जिसका इस्तेमाल नहीं किया गया है. आरपी को यह सुझाव दिया जाता है कि वे पासकी की सूची में, पासकी के बारे में जानकारी जोड़ें. जैसे, पासकी बनाने की तारीख और पिछली बार इस्तेमाल करने की तारीख. इससे लोगों को कोई खास पासकी ढूंढने में मदद मिलती है.
आरपी, उपयोगकर्ताओं को पासकी बनाने के तुरंत बाद या बाद में उसका नाम रखने की अनुमति भी दे सकती हैं. हालांकि, कई उपयोगकर्ता ऐसा नहीं करते. आमतौर पर, पासकी के नाम अपने-आप तय होते हैं. ये नाम, क्लाइंट से भेजे गए सिग्नल या सार्वजनिक पासकोड क्रेडेंशियल में शामिल जानकारी के आधार पर तय होते हैं.
ब्राउज़र, भरोसा करने वाली पार्टियों को उपयोगकर्ता एजेंट स्ट्रिंग उपलब्ध कराते हैं. इसका इस्तेमाल, पासकी के नाम रखने के लिए किया जा सकता है. हालांकि, Android, iOS या एक्सटेंशन की सुविधाओं वाले डेस्कटॉप ब्राउज़र जैसे प्लैटफ़ॉर्म, तीसरे पक्ष के पासवर्ड मैनेजर को पासकी बनाने की अनुमति देते हैं. साथ ही, उपयोगकर्ता एजेंट स्ट्रिंग से यह पता नहीं चलता कि पासकी का असली प्रोवाइडर कौन है.
पासकी के रजिस्ट्रेशन पर, सार्वजनिक पासकी क्रेडेंशियल में शामिल Authenticator Attestation Globally Unique Identifier (AAGUID) की मदद से, आरपी यह पता लगा सकते हैं कि पासकी की सुविधा देने वाली कंपनी कौनसी है. साथ ही, वे उपयोगकर्ताओं को सही पासकी ढूंढने में मदद कर सकते हैं.
AAGUID की मदद से, पासकी की सुविधा देने वाली कंपनी का पता लगाना
AAGUID एक यूनीक नंबर होता है. इससे पुष्टि करने वाले डिवाइस के मॉडल की पहचान होती है, न कि पुष्टि करने वाले डिवाइस के किसी खास इंस्टेंस की. AAGUID, सार्वजनिक पासकोड क्रेडेंशियल के पुष्टि करने वाले व्यक्ति के डेटा में मौजूद होता है.
आरपी, पासकी की सुविधा देने वाली कंपनी की पहचान करने के लिए, एएजीयूआईडी का इस्तेमाल कर सकती हैं. उदाहरण के लिए, अगर कोई उपयोगकर्ता Google Password Manager का इस्तेमाल करके, Android डिवाइस पर पासकी बनाता है, तो आरपी को "ea9b8d66-4d01-1d21-3ce4-b6b48cb575d4" का AAGUID मिलेगा. आरपी, पासकी की सूची में पासकी के बारे में एनोटेशन जोड़ सकता है. इससे यह पता चलेगा कि पासकी, Google Password Manager पर बनाई गई थी.
एएजीयूआईडी को पासकी की सुविधा देने वाली कंपनी से मैप करने के लिए, आरपी एएजीयूआईडी की कम्यूनिटी सोर्स वाली रिपॉज़िटरी का इस्तेमाल कर सकती हैं. सूची में AAGUID ढूंढकर, पासकी की सुविधा देने वाली कंपनी का नाम और उसके आइकॉन का एसवीजी डेटा टेक्स्ट देखा जा सकता है.
ज़्यादातर WebAuthn लाइब्रेरी, AAGUID को वापस पाने की सुविधा देती हैं. नीचे दिए गए उदाहरण में, SimpleWebAuthn का इस्तेमाल करके सर्वर साइड रजिस्ट्रेशन कोड दिखाया गया है:
// Import a list of AAGUIDs from a JSON file
import aaguids from './aaguids.json' with { type: 'json' };
...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
response: credential,
expectedChallenge,
expectedOrigin,
expectedRPID,
requireUserVerification: false,
});
...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || 'Unknown';
नतीजा
AAGUID एक यूनीक स्ट्रिंग होती है. इससे पासकी बनाने वाले पासकी प्रोवाइडर की पहचान होती है. आरपी, एएजीयूआईडी का इस्तेमाल कर सकते हैं, ताकि लोगों के लिए अपनी पासकी मैनेज करना आसान हो. AAGUID की कम्यूनिटी सोर्स वाली रिपॉज़िटरी का इस्तेमाल, AAGUID को पासकी की सुविधा देने वाली कंपनियों से मैप करने के लिए किया जा सकता है.