Passkeys – अंडर द हूड
Non-resident vs. resident keys / passkeys
- Non-resident WebAuthn/U2F keys एक single secret से server-stored handle का उपयोग करके per-site keypairs बनाते हैं; token लगभग stateless रहता है, “unlimited” sites को support कर सकता है, और यह leak नहीं करता कि इसका उपयोग कहाँ हुआ।
- Resident keys (“discoverable credentials” / passkeys) को username-less login सक्षम करने के लिए authenticator पर per-site entries store करनी होती हैं, जिससे capacity limits (dozens से लेकर कुछ hundred slots) और संभावित privacy issues (authenticator से यह query किया जा सकता है कि किसी domain के लिए account मौजूद है या नहीं) पैदा होते हैं।
- कई commenters का तर्क है कि passkeys, strong unique passwords + hardware 2FA की तुलना में downgrade हैं, खासकर जब sites non-resident WebAuthn support drop कर देती हैं।
Security vs. usability trade-offs
- कमजोर या reused passwords वाले users के लिए passkeys को एक major upgrade माना जाता है (phishing resistance, password leaks नहीं)।
- security-conscious users जो पहले से hardware keys और password managers इस्तेमाल कर रहे हैं, उनके लिए passkeys flexibility या security कम कर सकते हैं (single factor, syncable, limited attestation)।
- कुछ लोग नोट करते हैं कि आप non-resident keys के साथ dummy handles भेजकर account enumeration रोक सकते हैं, इसलिए “पहले passwords चाहिए” पूरी तरह सही नहीं है।
Hardware tokens vs. synced passkeys
- Hardware keys: strong isolation, attestation, physical presence, PINs, regulated / high-value environments के लिए अच्छा fit; लेकिन cost, key-loss risk, user key management, और limited resident storage वास्तविक समस्याएँ हैं।
- Phones/secure enclaves पर cloud sync वाले passkeys को general population के लिए एकमात्र scalable option माना जाता है; अधिकांश users अलग tokens या backups manage नहीं करेंगे।
- चिंता है कि FIDO/WebAuthn का काम increasingly platform passkeys के लिए optimized हो रहा है, जिससे roaming hardware authenticators second-class बन रहे हैं।
Ecosystem fragmentation & UX
- Browser और OS support inconsistent है (जैसे Firefox mobile, Chrome flags, UA sniffing); कुछ sites WebAuthn को गलत तरीके से handle करती हैं, roaming keys restrict करती हैं, या UX flows का misuse करती हैं।
- Password managers अब passkeys को increasingly support कर रहे हैं (desktop और mobile), लेकिन integration और flows (जैसे prompts, autofill, browser fallback) अभी भी rough हैं।
- basic “use your face/fingerprint to log in” समझाना आसान है; recovery, cross-platform moves, और कब passwords अभी भी required हैं, यह समझाना hard और under-specified माना जाता है।
Attestation and control
- Hardware tokens strong attestation देते हैं; कुछ regulated sectors इस पर निर्भर करते हैं।
- Major platform passkey implementations ने synced credentials के लिए attestation को disabled या limited कर दिया है, जिससे ऐसे use cases frustrate होते हैं।
- अन्य लोग तर्क देते हैं कि attestation की कमी user freedom और DRM-like control के खिलाफ लाभकारी है, और enterprise control तथा user autonomy के बीच एक fundamental tension को उजागर करती है।