स्नेहा झा
काठमाडौं । केही वर्षअघिसम्म हामी सबै अनलाइन खाताको सुरक्षा एउटै भरपर्दो साधन, पासवर्डमा निर्भर थियौँ । तर पासवर्ड आफैँमा कमजोर पक्ष बनिरहेको थियो । प्रयोगकर्ता सजिलो र एउटै पासवर्ड धेरै ठाउँमा प्रयोग गर्थे, फिसिङ आक्रमणले ती पासवर्ड सजिलै चोर्थ्यो, र सर्भर ह्याक भएपछि करोडौँ पासवर्ड ह्यास सार्वजनिक हुन्थ्यो । यही पीडाबाट मुक्ति दिने एउटा मौन क्रान्ति अहिले विश्वभर फैलिँदै छ, पासवर्डरहित साइन-इन, जसलाई हामी पासकी (passkey) प्रविधिका रूपमा चिन्छौँ । एप्पल, गुगल, माइक्रोसफ्ट लगायत सबै प्रमुख प्लेटफर्मले पासकी प्रयोगमा ल्याइसकेका छन् । अब पासवर्डरहित भविष्य “नयाँ सामान्य” बन्ने पक्का छ । कसरी ? आउनुहोस्, बुझौँ ।
पहिले पासवर्डकै पीडा सम्झौँ । एउटा सामान्य प्रयोगकर्ताले दर्जनौँ वेबसाइटका लागि बलियो, बेग्ला-बेग्लै पासवर्ड याद राख्नुपर्ने बाध्यता छ । यसले पासवर्ड म्यानेजरको सहारा लिनुपरे पनि मूल समस्या उस्तै रहन्छ, कतै न कतै एउटा “साझा रहस्य” (सिमित शब्द वा स्ट्रिङ) सर्भर र प्रयोगकर्ताबीच साटिन्छ । फिसिङ पेजले त्यो रहस्य सजिलै खोस्न सक्छ, र सर्भरबाट चोरिएको ह्यासलाई क्र्याक गरेर मूल पासवर्ड भेट्टाउन सकिन्छ । यी सबै कमजोरी हटाउनकै लागि फिडो (FIDO) एलायन्सले पब्लिक कि क्रिप्टोग्राफीमा आधारित एउटा नयाँ मानक बनायो; पासकी ।
पासकी भनेको के हो ? यो एउटा क्रिप्टोग्राफिक पेयर्ड-की हो, जुन तपाईंको डिभाइसभित्र मात्र बस्छ । जब तपाईं कुनै अनलाइन सेवामा पासकी दर्ता गर्नुहुन्छ, तपाईंको फोन वा कम्प्युटरको पासवर्ड म्यानेजर (वा क्रेडेन्सियल म्यानेजर) ले एउटा प्राइभेट कि र पब्लिक कि (Public key) बनाउँछ । निजी कुञ्जी डिभाइसमै सुरक्षित रहन्छ, सार्वजनिक कुञ्जी भने सेवा प्रदायकको सर्भरमा पठाइन्छ । यो प्राइभेट कि कहिल्यै सर्भरमा जाँदैन, न त कुनै रहस्य शब्द नै आदान–प्रदान हुन्छ । त्यसैले सर्भर ह्याक भएपनि पासवर्डजस्तो चोर्न मिल्ने कुनै ह्यास हुँदैन, केवल पब्लिक कि मात्र हुन्छ जसबाट निजी कुञ्जी निकाल्न गणितीय रूपमा असम्भव छ ।
अब साइन-इनको क्षणलाई हेरौँ । तपाईंले वेबसाइट खोल्नुभयो, पासकीले साइन–इन गर्ने विकल्प देखा पर्छ । तपाईंले कुन खाता प्रयोग गर्ने भनी छान्नुहुन्छ, अनि फोनको फिंगरप्रिन्ट, अनुहार पहिचान वा लोकल पिनले अनलक गर्नुहुन्छ । पर्दा पछाडि सर्भरले एउटा यादृच्छिक च्यालेन्ज (random challenge) डिभाइसमा पठाउँछ । पासवर्ड म्यानेजरले तपाईंको स्वीकृति (बायोमेट्रिक्स वा पिन) पाएपछि मात्र त्यो च्यालेन्जलाई उपयुक्त निजी कुञ्जीले साइन गर्छ र साइन इन च्यालेन्ज सर्भरमा फर्काइन्छ । सर्भरले आफूसँग भएको पब्लिक किले सो हस्ताक्षर प्रमाणित गरेपछि मात्र साइन-इन पूरा हुन्छ । प्रयोगकर्ताको बायोमेट्रिक डेटा कहिल्यै डिभाइसबाहिर जाँदैन, यो पक्का ग्यारेन्टी हो ।
यो प्रविधि किन द्रुत रूपमा “नयाँ सामान्य” बन्दै छ, त्यसका थुप्रै कारण छन् :
१. फिसिङ प्रतिरोध : पासकी एउटा खास डोमेन (जस्तै example.com) सँग मात्र जोडिएको हुन्छ । नक्कली साइटमा पासकी कामै गर्दैन, किनकि ब्राउजर र अपरेटिङ सिस्टमले वास्तविक डोमेन जाँच गर्छन् । प्रयोगकर्ताले अन्जानमा पासकी टाइप गर्नुपर्ने अवस्था नै रहँदैन ।
२. सर्भरमा गोप्य भण्डारको अन्त्य : अनलाइन सेवासँग अब पासवर्ड ह्यास रहँदैन । डाटा चुहावट हुँदा आक्रमणकारीले लाखौँ पासवर्ड क्र्याक गर्न सक्ने खतरा समाप्त हुन्छ । सर्भरमा केवल पब्लिक कि हुन्छ, जुन सार्वजनिक हुँदा पनि खाता सुरक्षित रहन्छ ।
३. अद्वितीयता र निजता : प्रत्येक डोमेन र खाताका लागि छुट्टै पासकी बन्छ । फरक-फरक सेवाहरूले मिलेर प्रयोगकर्तालाई ट्र्याक गर्न सक्दैनन् । निजी कुञ्जी सधैँ डिभाइसमै रहन्छ; बायोमेट्रिक वा पिनबाट डिभाइस अनलक गर्ने प्रक्रिया पनि स्थानीय रूपमा मात्र हुन्छ ।
४. सहज अनुभव : अब लामो पासवर्ड याद गर्नुपर्दैन, रिसेट गर्नुपर्दैन । केवल औँलाले छोएपछि वा अनुहार हेरेपछि साइन–इन तत्काल हुन्छ । एउटै डिभाइसबाट अर्कोमा पासकी सिंक गर्न सकिन्छ; एप्पलको आइक्लाउड किचेन, गुगल पासवर्ड म्यानेजर वा माइक्रोसफ्टको क्रेडेन्सियल म्यानेजरमा पासकीहरू स्वतः सिंक हुन्छन् । यदि प्रयोगकर्ताले हार्डवेर सिक्योरिटी कि (जस्तै युबिको) रोज्यो भने निजी कुञ्जी त्यही सुरक्षा साधनमा भौतिक रूपमा रहन्छ, सिंक हुँदैन । यसले थप एटेस्टेसन सिग्नल पनि दिन्छ जसले उपकरण निर्माता र प्रमाणीकरण स्तर पुष्टि गर्न सर्भरलाई मद्दत गर्छ ।
५. ठुला प्रविधि कम्पनीको पूर्ण समर्थन : फिडो एलायन्सको मापदण्डलाई एप्पल, गुगल, माइक्रोसफ्ट र सयौँ अन्य सेवाले अपनाइसकेका छन् । एन्ड्रोइड, आइओएस, विन्डोज, म्याकओएस सबैमा पासकीको लागि बिल्ट–इन सपोर्ट छ । यसले उद्योग नै पासवर्डरहिततर्फ उन्मुख भएको स्पष्ट संकेत दिन्छ ।
यसरी पासवर्डरहित साइन–इन दिनानुदिन विस्तार भइरहेको छ । सुरक्षा र सहजता दुवैले भरिएको यो प्रणाली पासवर्डका पुराना समस्या हटाउन सक्षम छ । प्रयोगकर्ताले अब पासवर्ड भुल्ने, रिसेट गर्ने र फिसिङको डरबाट मुक्त भएर डिजिटल जीवन बिताउन सक्नेछन् । त्यसैले पासकी बिस्तारै “नयाँ सामान्य” मात्र होइन, आधुनिक इन्टरनेटको मेरुदण्ड बन्ने निश्चित छ ।
