पासवर्ड की हर कहानी का अंत एक ही जैसा होता है: आपका राज़ किसी के पास कहीं रखा था, और वह उसे गँवा बैठा।
साल कोई भी हो, फ़र्क नहीं पड़ता। शुरुआत में वह किसी साझा कंप्यूटर की सादी टेक्स्ट फ़ाइल में पड़ा रहता था और सिस्टम से बस इतना कहना काफ़ी था कि उसे छाप दो। 1979 में Morris और Thompson ने बताया कि हैश में नमक कैसे मिलाया जाए और उसकी गणना कैसे महँगी की जाए, ताकि चुराई हुई सूची तुरंत पासवर्ड की सूची में न बदल जाए — यह बहुत बड़ा सुधार था। फिर आए कंपोज़िशन के नियम, जिनकी वजह से हम सब आख़िर में एक चिह्न ठोकने लगे। लेकिन इतने सालों में समस्या की शक्ल एक मिलीमीटर भी नहीं हिली: एक राज़ है, आप उसे जानते हैं, सर्वर उसे जाँच सकता है, इसलिए सर्वर के पास गँवाने को कुछ है।
तब से हमने जो कुछ किया, वह बस इतना था कि उस राज़ को और लंबा, और अटपटा, और नमकीन, और तोड़ने में धीमा बनाते रहे। इससे पहले वाला सवाल किसी ने नहीं पूछा: और अगर कोई साझा राज़ होता ही नहीं तो?
1976 यह ख़याल कि एक चाबी के दो टुकड़े हो सकते हैं
1976 में Whitfield Diffie और Martin Hellman ने New Directions in Cryptography छापा। विचार इतना सीधा था कि लगभग अपमानजनक लगे: एक चाबी को दो ऐसे टुकड़ों में बाँटा जा सकता है जो आपस में बदले नहीं जा सकते। एक टुकड़ा आप ढोल पीटकर सबको बाँट दीजिए; दूसरा घर की चौखट नहीं लाँघता। जो आप प्राइवेट से हस्ताक्षर करते हैं, वह पब्लिक से जाँचा जाता है, पर पब्लिक से कुछ भी हस्ताक्षर नहीं होता।
अब इसे दोबारा पढ़िए, सर्वर के बारे में सोचते हुए: साइट को अब ऐसा कुछ रखने की ज़रूरत ही नहीं जिससे अंदर घुसा जा सके। सिर्फ़ वह आधा हिस्सा, जो कोई ताला नहीं खोलता।
इस ख़याल को आपके बैंक की स्क्रीन तक पहुँचने में लगभग आधी सदी लग गई — यह हमारे उद्योग के हक़ में कोई अच्छी गवाही नहीं है। क्लाइंट सर्टिफ़िकेट मौजूद थे और काम भी करते थे; जो मौजूद नहीं था वह था उन्हें इस्तेमाल करने का ऐसा तरीक़ा जिसके लिए एम.टेक. की डिग्री न चाहिए। क्रिप्टोग्राफ़ी हल हो चुकी थी। इस्तेमाल की आसानी नहीं।
2013 कोई तो आख़िरकार राज़ी हुआ
2013 में FIDO Alliance बना — एक औद्योगिक गठजोड़, जिसका घोषित और ज़रा भी विनम्र न लगने वाला मक़सद था: पासवर्ड पर निर्भरता घटाना। अहम बात तकनीक नहीं थी — वह तो पहले से थी — अहम यह था कि निर्माता, ब्राउज़र और सेवाएँ एक ही मेज़ पर बैठकर एक ही प्रोटोकॉल पर सहमत हुए। सुनने में यह दफ़्तरी कार्रवाई लगती है और यही चीज़ कम पड़ रही थी: कोई प्रमाणीकरण तरीक़ा जो सिर्फ़ एक ब्राउज़र और एक सेवा में चले, वह तरीक़ा नहीं होता, वह क़िस्सा होता है।
2019 ब्राउज़र क्रिप्टोग्राफ़ी करना सीख गया
मार्च 2019 में WebAuthn W3C की सिफ़ारिश बन गया। सीधी भाषा में: अब कोई भी पन्ना ब्राउज़र से कह सकता था — एक मानक API के ज़रिए, बिना किसी प्लगइन या ड्राइवर के — कि चाबियों का एक जोड़ा बनाओ और उससे हस्ताक्षर करो।
बिना किसी सजावट के प्रक्रिया यह है। जब आप रजिस्टर करते हैं, आपका डिवाइस उसी साइट के लिए चाबियों का एक नया जोड़ा बनाता है। पब्लिक वाली भेज देता है। प्राइवेट अपने पास रखता है, ख़ुद डिवाइस की हिफ़ाज़त में, आपकी उँगली, आपके चेहरे या उसके PIN से बंद। जब आप लौटते हैं, साइट आपको एक रैंडम चुनौती भेजती है, आपका डिवाइस उस पर हस्ताक्षर करता है, और साइट पहले से रखी पब्लिक की से हस्ताक्षर जाँच लेती है।
ग़ौर कीजिए कि क्या नहीं होता: कोई राज़ सफ़र नहीं करता। सर्वर के पास आपकी प्राइवेट की कभी थी ही नहीं, इसलिए वह उसे गँवा भी नहीं सकता। कल को उसका पूरा डेटाबेस लीक हो जाए, तो हाथ लगेगी पब्लिक कीज़ की एक सूची — कमोबेश टेलीफ़ोन डायरेक्टरी चुराने जैसा। न कोई हैश जिसे GPU से गुज़ारा जाए, न कोई शब्दकोश जिसे आज़माया जाए। बात मुश्किल होने की नहीं है: बात यह है कि वहाँ कुछ है ही नहीं जिसकी कोई क़ीमत हो।
साइड इफ़ेक्ट मूल विचार से भी बड़ा निकला
जब आपका डिवाइस चाबियों का वह जोड़ा बनाता है, तो उसे डोमेन से बाँध देता है।
aapkabank.in के लिए रखी गई चाबी सिर्फ़ aapkabank.in को ही पेश होती है। यह
कोई नीति नहीं है, न चेतावनी, न पते वाली पट्टी में कोई लाल निशान: बात यह है कि
aapkabank-suraksha.com के लिए चाबी है ही नहीं। ब्राउज़र उसे ढूँढ नहीं पाता,
क्योंकि वह कभी बनी ही नहीं।
इससे फ़िशिंग ख़त्म हो जाती है। कम नहीं होती: उसका ज़रिया ही नहीं बचता। फ़िशिंग का पूरा धंधा इसी पर टिका है कि आप अपना पासवर्ड ग़लत साइट पर टाइप कर सकते हैं, और हम सालों से इसे यूज़र ट्रेनिंग और जागरूकता अभियानों से ठीक करने की कोशिश कर रहे हैं। वह सब लक्षण का इलाज था। आपकी आँख मिलते-जुलते URL से धोखा खा जाती है; आपका फ़ोन नहीं खाता। वह पढ़ता नहीं: वह स्ट्रिंग मिलाता है।
साथ ही यह उस दूसरे महापाप — दोबारा इस्तेमाल — का भी काम तमाम कर देता है। हर साइट की अपनी चाबियों की जोड़ी। चाहकर भी दोबारा इस्तेमाल करने को कुछ बचता ही नहीं।
2022 तीनों बड़े मियाँ सुलह पर दस्तख़त करते हैं
मई 2022 में Apple, Google और Microsoft ने संयुक्त रूप से घोषणा की कि वे अपने प्लेटफ़ॉर्म और ब्राउज़रों में FIDO क्रेडेंशियल्स — यानी पासकी — का समर्थन बढ़ाएँगे।
यही वह मोड़ था जिसने इसे एक तकनीकी नोट से बदलकर ऐसी चीज़ बना दिया जो आप अपनी माँ को समझा सकें। तब तक WebAuthn का मतलब लगभग हमेशा एक भौतिक USB चाबी होता था: बढ़िया चीज़, और कुल तीन लोगों के लिए। पासकी वहीं रहती है जहाँ फ़ोन पहले से आपके हाथ में है, और चेहरा दिखाते ही खुल जाती है।
जो ठीक नहीं होता
अब बारीक अक्षरों वाली शर्तें, क्योंकि यह उद्योग अगले कुछ साल यही दिखावा करने में बिताएगा कि ये हैं ही नहीं।
रिकवरी अब भी कमज़ोर कड़ी है। छेद ग़ायब नहीं हुआ: बस जगह बदल गई। डिवाइस खो जाए तो किसी को तय करना पड़ेगा कि आप ही आप हैं, और यह फ़ैसला लगभग हमेशा ईमेल से, SMS से या किसी कॉल सेंटर में बैठे इंसान से बात करके होता है। वह इंसान ठीक वही निशाना है जो पहले था। आपने मुख्य दरवाज़े पर कवच चढ़ा दिया और पिछला दरवाज़ा जहाँ था वहीं है।
सिंक आपको एक इकोसिस्टम से बाँध देता है। पासकी इसलिए आरामदेह हैं क्योंकि आपका प्लेटफ़ॉर्म उन्हें आपके सारे उपकरणों में नक़ल कर देता है। यह कहने का दूसरा तरीक़ा यह है कि आपकी चाबियाँ किसी एक कंपनी के गुच्छे में रहती हैं। वहाँ से निकलना नामुमकिन नहीं है, पर एक बटन दबाने जैसा भी नहीं। आपने याद रखने की समस्या को किसी का होकर रह जाने की समस्या से बदल लिया।
और फ़ोन खो जाने पर भी आपको अंदर तो जाना ही है। व्यवहार में इसका मतलब यह है कि शायद ही किसी साइट ने पासवर्ड हटाया हो: उसने उसे “लॉग इन करने में दिक़्क़त?” के पीछे छिपा दिया है। जब तक वह लिंक मौजूद है, तब तक पासवर्ड है, और वह उतना ही बुरा है जितना हमेशा था। ज़ंजीर उस सबसे कमज़ोर तरीक़े पर टूटती है जिसे आप स्वीकार करते हैं, उस सबसे शानदार तरीक़े पर नहीं जो आप पेश करते हैं।
तब तक क्या करें
जहाँ भी पासकी मिले, चालू कर दीजिए, और शुरुआत वहीं से कीजिए जहाँ गिरने पर सबसे ज़्यादा चोट लगेगी: ईमेल, बैंक, वह खाता जिससे आप बाक़ी सबमें घुसते हैं। यह उन गिनी-चुनी सुरक्षा बेहतरियों में से है जो ऊपर से आपका काम भी घटा देती हैं।
और ख़ुद को धोखा मत दीजिए: सालों तक आपके पास पासवर्ड रहेंगे ही, कम से कम प्लान बी के तौर पर। वे लंबे हों, हर साइट पर अलग हों और किसी मैनेजर में रखे हों। अगर आपको ऐसा चाहिए जो आपके दिमाग़ से बाहर न निकले, तो जनरेटर इस्तेमाल कीजिए; और यह जानना हो कि आपका मौजूदा पासवर्ड कुछ झेल भी पाएगा या नहीं, तो उसे चेकर से गुज़ार दीजिए।
पहरेदार का वही पुराना सवाल — अपना है या पराया? — के पास आख़िरकार एक अलग जवाब है। दशकों तक हमने जवाब में एक शब्द बोला, जिसे कोई भी सुन सकता था। अब हम एक हस्ताक्षर से जवाब देते हैं, जो सिर्फ़ आपका डिवाइस कर सकता है, और वह शब्द कभी वजूद में आता ही नहीं। यह पहली बार है जब हमने शब्द नहीं, सवाल बदला है।
स्रोत: W. Diffie और M. Hellman, “New Directions in Cryptography”, IEEE Transactions on Information Theory, 1976 · R. Morris और K. Thompson, “Password Security: A Case History”, Communications of the ACM, 1979 · FIDO Alliance, 2013 में गठित · “Web Authentication: An API for accessing Public Key Credentials”, W3C की सिफ़ारिश, मार्च 2019 · पासकी समर्थन पर Apple, Google और Microsoft की संयुक्त घोषणा, मई 2022।