भरोसेमंद पार्टी (आरपी), यह तय कर सकती है कि पासकी की सेवा देने वाली कौनसी कंपनी, इससे जुड़े सार्वजनिक पासकोड के क्रेडेंशियल के AAGUID की जांच करके बनाई गई है.
पासकी को मैनेज करने में आने वाली चुनौतियां
पासकी इस्तेमाल करने का एक फ़ायदा यह है कि इसकी मदद से उपयोगकर्ता एक ही खाते के लिए कई पासकी बना सकते हैं. पासकी की आसान सुविधाओं के साथ-साथ इस सुविधा की मदद से, उपयोगकर्ता का खाता लॉक हो जाने पर भी वह अन्य पासकी का इस्तेमाल करके, भरोसेमंद उपयोगकर्ता खाते में साइन इन कर सकता है.
जो उपयोगकर्ता किसी आरपी पर एक से ज़्यादा पासकी मैनेज करते हैं उनके लिए चुनौती यह है कि जब उन्हें किसी पासकी में बदलाव करने या उसे मिटाने की ज़रूरत हो, तो सही पासकी की पहचान करें. एक अच्छा उदाहरण यह है कि जब कोई उपयोगकर्ता, इस्तेमाल नहीं की गई किसी पासकी को हटाना चाहता है. आरपी का सुझाव है कि आप पासकी की सूची में, पासकी बनाने की तारीख और उसे पिछली बार इस्तेमाल किए जाने की तारीख जैसी जानकारी अटैच करें. इससे उपयोगकर्ताओं को एक खास पासकी ढूंढने में मदद मिलती है.
आरपी की मदद से उपयोगकर्ता, पासकी बनाते या बाद में उसका नाम रख सकते हैं. हालांकि, कई उपयोगकर्ता ऐसा नहीं करते. आम तौर पर, पासकी का नाम अपने-आप ही क्लाइंट से भेजे गए सिग्नल या सार्वजनिक पासकोड के क्रेडेंशियल में शामिल जानकारी के हिसाब से दिया जाता है.
ब्राउज़र, उपयोगकर्ता एजेंट स्ट्रिंग का इस्तेमाल करके पासकी को नाम दे सकते हैं. हालांकि, एक्सटेंशन क्षमताओं वाले Android, iOS या डेस्कटॉप ब्राउज़र जैसे प्लैटफ़ॉर्म, तीसरे पक्ष के पासवर्ड मैनेजर को पासकी बनाने की अनुमति देते हैं. हालांकि, यह ज़रूरी नहीं है कि उपयोगकर्ता एजेंट स्ट्रिंग से यह पता चले कि पासकी की सेवा देने वाली असल कंपनी कौन है.
पासकी रजिस्ट्रेशन के दौरान दिखाए गए सार्वजनिक पासकोड के क्रेडेंशियल में शामिल किए गए Authenticator ऑथेंटिकेशन ग्लोबल यूनीक आइडेंटिफ़ायर (एएजीयूआईडी) की मदद से, आरपी यह तय कर सकता है कि पासकी किस कंपनी को मिलेगी. साथ ही, वह लोगों के लिए सही पासकी ढूंढने के लिए इसका इस्तेमाल कर सकती है.
AAGUID की मदद से, पासकी की सेवा देने वाली कंपनी तय करें
AAGUID एक यूनीक संख्या है, जो पुष्टि करने वाले के मॉडल की पहचान करती है (न कि पुष्टि करने वाले के खास इंस्टेंस की पहचान). AAGUID को सार्वजनिक पासकोड के क्रेडेंशियल की पुष्टि करने वाले डेटा के हिस्से के तौर पर देखा जा सकता है.
पासकी की सेवा देने वाली कंपनी की पहचान करने के लिए, आरपी AAGUID का इस्तेमाल कर सकता है. उदाहरण के लिए, अगर कोई उपयोगकर्ता Google Password Manager का इस्तेमाल करके किसी Android डिवाइस पर पासकी बनाता है, तो आरपी को "ea9b8d66-4d01-1d21-3ce4-b6b48cb575d4"
का एएजीआईडी मिलेगा. आरपी, पासकी की सूची में मौजूद पासकी की व्याख्या कर सकता है. इससे पता चलता है कि पासकी को Google Password Manager पर बनाया गया है.
किसी AAGUID को पासकी की सेवा देने वाली कंपनी के साथ मैप करने के लिए, आरपी, एएजीयूआईडी का समुदाय से लिया गया डेटा स्टोर करने की जगह इस्तेमाल कर सकते हैं. सूची में एएजीयूआईडी खोजने पर, पासकी देने वाली कंपनी का नाम और उसका आइकॉन svg डेटा टेक्स्ट देखा जा सकता है.
AAGUID को फिर से हासिल करना, ज़्यादातर WebAuthn लाइब्रेरी की सुविधा है. नीचे दिए गए उदाहरण में SimpleWebAuthn का इस्तेमाल करके सर्वर साइड रजिस्ट्रेशन कोड दिखाया गया है:
// Import a list of AAGUIDs from a JSON file
import aaguids from './aaguids.json' with { type: 'json' };
...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
response: credential,
expectedChallenge,
expectedOrigin,
expectedRPID,
requireUserVerification: false,
});
...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || 'Unknown';
नतीजा
AAGUID एक यूनीक स्ट्रिंग है. इससे, पासकी बनाने वाली कंपनी की पहचान की जाती है. प्रतिबंधित पार्टी, AAGUID का इस्तेमाल कर सकती हैं. इससे उपयोगकर्ता आसानी से अपनी पासकी मैनेज कर सकते हैं. कम्यूनिटी के लिए उपलब्ध एएजीयूआईडी की डेटा स्टोर करने की जगह का इस्तेमाल, एएजीयूआईडी को पासकी सेवा देने वाली कंपनियों के साथ मैप करने के लिए किया जा सकता है.