भरोसेमंद पक्ष (आरपी) यह तय कर सकते हैं कि पासकी की कौनसी सेवा देने वाली कंपनी ने बनाई है. इसके लिए, उनसे जुड़े सार्वजनिक कुंजी के क्रेडेंशियल के AACUD की जांच की जाती है.
पासकी मैनेज करने में आने वाली चुनौतियां
पासकी इस्तेमाल करने का एक फ़ायदा यह भी है कि इससे उपयोगकर्ता एक खाते के लिए कई पासकी बना सकते हैं. पासकी के मज़बूत होने के साथ-साथ इस सुविधा की मदद से, भले ही उपयोगकर्ता अपनी एक पासकी खो जाने की वजह से खाते से लॉक हो जाए, फिर भी वह दूसरी पासकी इस्तेमाल करके, भरोसेमंद पक्ष में साइन इन कर सकता है.
आरपी पर एक से ज़्यादा पासकी मैनेज करने वाले उपयोगकर्ताओं के लिए, एक चुनौती यह है कि वे सही पासकी की पहचान करें. ऐसा तब करना होगा, जब उन्हें इनमें से किसी एक पासकी में बदलाव करना हो या उसे मिटाना हो. इसका एक अच्छा उदाहरण यह है कि जब कोई उपयोगकर्ता, इस्तेमाल नहीं की गई पासकी को हटाना चाहता है. आरपी का सुझाव है कि पासकी की सूची में पासकी की जानकारी अटैच करें, जैसे कि उसे बनाने की तारीख और उसे पिछली बार इस्तेमाल करने की तारीख. इससे उपयोगकर्ताओं को कोई खास पासकी ढूंढने में मदद मिलती है.
आरपी की मदद से, उपयोगकर्ता पासकी बनाते ही या बाद में उसका नाम रख सकते हैं. हालांकि, कई उपयोगकर्ता ऐसा नहीं करते. आम तौर पर, पासकी को नाम देने का मतलब, क्लाइंट से मिले सिग्नल या सार्वजनिक कुंजी के क्रेडेंशियल में दी गई जानकारी के हिसाब से अपने-आप होता है.
ब्राउज़र एक उपयोगकर्ता एजेंट स्ट्रिंग उपलब्ध कराते हैं जिन पर निर्भर पक्ष, पासकी को नाम देने के लिए इस्तेमाल कर सकते हैं. हालांकि, Android, iOS या डेस्कटॉप जैसे ब्राउज़र, जिन पर एक्सटेंशन की सुविधा चालू है वे तीसरे पक्ष के पासवर्ड मैनेजर के ज़रिए पासकी बनाने की सुविधा देते हैं. उपयोगकर्ता एजेंट स्ट्रिंग से यह ज़रूरी नहीं है कि पासकी उपलब्ध कराने वाली असली कंपनी की जानकारी मिले.
Google Authenticator का इस्तेमाल करके, पासकोड रजिस्ट्रेशन करने पर मिलने वाले सार्वजनिक पासकोड के क्रेडेंशियल में ग्लोबली यूनीक आइडेंटिफ़ायर (AAGUID) भी शामिल होता है. आरपी, पासकी की सेवा देने वाली कंपनी तय कर सकते हैं. साथ ही, इसका इस्तेमाल करके, उपयोगकर्ता आसानी से सही पासकी ढूंढ सकते हैं.
AAGUID की मदद से, पासकी की सेवा देने वाली कंपनी का पता लगाना
AAGUID एक यूनीक नंबर है, जो पुष्टि करने वाले के मॉडल की पहचान करता है. हालांकि, यह पुष्टि करने वाले के खास इंस्टेंस की पहचान नहीं करता है. AAGUID को, सार्वजनिक कुंजी वाले क्रेडेंशियल की पुष्टि करने वाले डेटा के हिस्से के तौर पर पाया जा सकता है.
पासकी की सुविधा देने वाली कंपनी की पहचान करने के लिए, आरपीजी AAGUID का इस्तेमाल कर सकते हैं. उदाहरण के लिए, अगर कोई उपयोगकर्ता Google Password Manager का इस्तेमाल करके, किसी Android डिवाइस पर पासकी बनाता है, तो आरपी को "ea9b8d66-4d01-1d21-3ce4-b6b48cb575d4" का AAGUID मिलेगा. आरपी, पासकी की सूची में मौजूद पासकी के बारे में जानकारी दे सकता है. इससे यह पता चलता है कि पासकी को Google Password Manager पर बनाया गया है.
AAGUID को पासकी की सेवा देने वाली कंपनी के साथ मैप करने के लिए, आरपी, एएजीयूडी के कम्यूनिटी सोर्स वाले डेटा स्टोर करने की जगह का इस्तेमाल कर सकते हैं. सूची में AAGUID को देखने पर, पासकी की सेवा देने वाली कंपनी का नाम और उसका आइकॉन svg डेटा टेक्स्ट मिल सकता है.
AAGUID को फिर से पाना, एक ऐसी सुविधा है जो ज़्यादातर WebAuthn लाइब्रेरी में उपलब्ध होती है. नीचे दिया गया उदाहरण SimpleWebAuthn का इस्तेमाल करके सर्वर साइड रजिस्ट्रेशन कोड दिखाता है:
// Import a list of AAGUIDs from a JSON file
import aaguids from './aaguids.json' with { type: 'json' };
...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
response: credential,
expectedChallenge,
expectedOrigin,
expectedRPID,
requireUserVerification: false,
});
...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || 'Unknown';
नतीजा
AAGUID एक यूनीक स्ट्रिंग है, जो पासकी बनाने वाली कंपनी की पहचान करती है. आरपी, AAGUID का इस्तेमाल कर सकते हैं, ताकि उपयोगकर्ताओं के लिए अपनी पासकी मैनेज करना आसान हो सके. पासकी की सुविधा देने वाली कंपनियों के साथ मैप करने के लिए, AAGUIDs के समुदाय से इकट्ठा किए गए डेटा स्टोर करने की जगह का इस्तेमाल किया जा सकता है.