भरोसेमंद पार्टी (आरपी), यह तय कर सकती है कि पासकी की सेवा देने वाली कौनसी कंपनी, इससे जुड़े सार्वजनिक पासकोड के क्रेडेंशियल के AAGUID की जांच करके बनाई गई है.
पासकी मैनेज करने से जुड़ी चुनौतियां
पासकी का इस्तेमाल करने का एक फ़ायदा यह है कि उपयोगकर्ता एक ही खाते के लिए कई पासकी बना सकते हैं. पासकी की सुविधाओं के साथ-साथ, इस सुविधा की मदद से उपयोगकर्ता अपने खाते में आसानी से साइन इन कर सकते हैं. भले ही, वह अपनी किसी पासकी को खो दे. इसके अलावा, वह किसी अन्य पासकी का इस्तेमाल करके, भरोसेमंद पार्टी के खाते में साइन इन कर सकता है.
जो उपयोगकर्ता किसी आरपी पर एक से ज़्यादा पासकी मैनेज करते हैं उनके लिए चुनौती यह है कि जब उन्हें किसी पासकी में बदलाव करना हो या उसे मिटाना हो, तो सही पासकी का पता लगाना हो. इसका एक अच्छा उदाहरण यह है कि जब कोई उपयोगकर्ता, इस्तेमाल नहीं की गई पासकी हटाना चाहता है. आरपी का सुझाव है कि आप पासकी की सूची में, पासकी बनाने की तारीख और उसे पिछली बार इस्तेमाल किए जाने की तारीख जैसी जानकारी अटैच करें. इससे उपयोगकर्ताओं को कोई खास पासकी ढूंढने में मदद मिलती है.
आरपी, उपयोगकर्ताओं को पासकी बनाने के तुरंत बाद या बाद में, पासकी का नाम देने की अनुमति भी दे सकते हैं. हालांकि, कई उपयोगकर्ता ऐसा नहीं करते. आम तौर पर, पासकी का नाम अपने-आप सेट होता है. इसमें क्लाइंट से भेजे गए सिग्नल या सार्वजनिक पासकोड क्रेडेंशियल में शामिल जानकारी शामिल होती है.
ब्राउज़र, उपयोगकर्ता एजेंट स्ट्रिंग का इस्तेमाल करके पासकी को नाम दे सकते हैं. हालांकि, Android, iOS या डेस्कटॉप ब्राउज़र में एक्सटेंशन की सुविधा उपलब्ध होने पर, इन्हें तीसरे पक्ष के पासवर्ड मैनेजर से पासकी बनाने की अनुमति मिलती है. हालांकि, यह ज़रूरी नहीं है कि उपयोगकर्ता एजेंट स्ट्रिंग से यह पता चले कि पासकी की सेवा देने वाली असल कंपनी कौन है.
पासकी रजिस्ट्रेशन के दौरान दिखाए गए सार्वजनिक पासकोड के क्रेडेंशियल में शामिल किए गए Authenticator ऑथेंटिकेशन ग्लोबल यूनीक आइडेंटिफ़ायर (एएजीयूआईडी) की मदद से, आरपी यह तय कर सकता है कि पासकी किस कंपनी को मिलेगी. साथ ही, वह इसका इस्तेमाल उपयोगकर्ताओं के लिए सही पासकी ढूंढने में कर सकता है.
AAGUID की मदद से, पासकी की सेवा देने वाली कंपनी तय करें
AAGUID एक यूनीक नंबर है. इससे पुष्टि करने वाले ऐप्लिकेशन के मॉडल की पहचान होती है, न कि उसके किसी खास इंस्टेंस की. AAGUID, सार्वजनिक पासकोड क्रेडेंशियल के पुष्टि करने वाले डेटा के हिस्से के तौर पर मिल सकता है.
आरपी, पासकी देने वाली कंपनी की पहचान करने के लिए AAGUID का इस्तेमाल कर सकते हैं. उदाहरण के लिए, अगर कोई उपयोगकर्ता Google Password Manager का इस्तेमाल करके Android डिवाइस पर पासकी बनाता है, तो आरपी को "ea9b8d66-4d01-1d21-3ce4-b6b48cb575d4" का AAGUID मिलेगा. आरपी, पासकी की सूची में पासकी के लिए एनोटेशन जोड़ सकता है, ताकि यह पता चल सके कि इसे Google Password Manager पर बनाया गया था.
किसी AAGUID को पासकी देने वाली कंपनी से मैप करने के लिए, आरपी AAGUIDs के कम्यूनिटी सोर्स वाले रिपॉज़िटरी का इस्तेमाल कर सकते हैं. सूची में एएजीयूआईडी खोजने पर, पासकी देने वाली कंपनी का नाम और उसका आइकॉन svg डेटा टेक्स्ट देखा जा सकता है.
AAGUID हासिल करने की सुविधा, ज़्यादातर WebAuthn लाइब्रेरी उपलब्ध कराती हैं. नीचे दिए गए उदाहरण में SimpleWebAuthn का इस्तेमाल करके सर्वर साइड रजिस्ट्रेशन कोड दिखाया गया है:
// Import a list of AAGUIDs from a JSON file
import aaguids from './aaguids.json' with { type: 'json' };
...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
response: credential,
expectedChallenge,
expectedOrigin,
expectedRPID,
requireUserVerification: false,
});
...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || 'Unknown';
नतीजा
AAGUID एक यूनीक स्ट्रिंग है, जो पासकी बनाने वाले प्रोवाइडर की पहचान करती है. आरपी, AAGUID का इस्तेमाल करके उपयोगकर्ताओं के लिए पासकी को मैनेज करना आसान बना सकते हैं. AAGUIDs के कम्यूनिटी सोर्स वाले रिपॉज़िटरी का इस्तेमाल, AAGUIDs को पासकी देने वाली कंपनियों से मैप करने के लिए किया जा सकता है.