वेब ऑथेंटिकेशन सिस्टम की उपयोगिता: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
 
(10 intermediate revisions by 4 users not shown)
Line 1: Line 1:
वेब प्रमाणीकरण प्रणाली की उपयोगिता ऑनलाइन प्रमाणीकरण प्रणाली की दक्षता और उपयोगकर्ता स्वीकृति को संदर्भित करती है।<ref name="braz">{{cite web|url=http://0-dl.acm.org.innopac.up.ac.za/citation.cfm?id=1132768|title=सुरक्षा और उपयोगिता: उपयोगकर्ता प्रमाणीकरण विधियों का मामला|date=2006-04-18|website=ACM Digital Library|publisher=ACM New York, NY, USA|pages=199–203|language=en|ref=braz|author1=Christina Braz|author2=Jean-Marc Robert|accessdate=24 February 2016}}</ref> वेब [[प्रमाणीकरण]] प्रणालियों के उदाहरण हैं [[पासवर्डों]], [[संघीय पहचान]] (जैसे [[Google|गूगल]] [[oAuth]] 2.0, फेसबुक जोड़ना, [[Mozilla|मोज़िला]] पर्सोना), [[ईमेल]]-आधारित [[एक बार दर्ज करना]] (एसएसओ) सिस्टम (जैसे एसऐडब्लू, हैचेट), QR कोड-आधारित सिस्टम (जैसे स्नैप2पास, वेब टिकट) या वेब पर उपयोगकर्ता की पहचान को प्रमाणित करने के लिए उपयोग की जाने वाली कोई अन्य प्रणाली होता है। चूंकि वेब प्रमाणीकरण प्रणालियों की उपयोगिता एक प्रणाली का चयन करने में एक महत्वपूर्ण विचार होना चाहिए, बहुत कम वेब प्रमाणीकरण प्रणाली (पासवर्ड के अतिरिक्त) औपचारिक उपयोगिता अध्ययन या विश्लेषण के अधीन हैं।<ref name="ruoti">{{cite web|url=http://www.www2015.it/documents/proceedings/proceedings/p916.pdf|title=ऑथेंटिकेशन मेली: ए यूज़ेबिलिटी एनालिसिस ऑफ़ सेवन वेब ऑथेंटिकेशन सिस्टम्स|website=24th International World Wide Web Conference|pages=916–926|language=en|ref=ruoti|author1=Scott Ruoti|author2=Brent Roberts|author3=Kent Seamons|accessdate=2016-02-24}}</ref>
'''वेब ऑथेंटिकेशन प्रणाली''' की उपयोगिता ऑनलाइन ऑथेंटिकेशन प्रणाली की दक्षता और उपयोगकर्ता स्वीकृति को संदर्भित करती है।<ref name="braz">{{cite web|url=http://0-dl.acm.org.innopac.up.ac.za/citation.cfm?id=1132768|title=सुरक्षा और उपयोगिता: उपयोगकर्ता प्रमाणीकरण विधियों का मामला|date=2006-04-18|website=ACM Digital Library|publisher=ACM New York, NY, USA|pages=199–203|language=en|ref=braz|author1=Christina Braz|author2=Jean-Marc Robert|accessdate=24 February 2016}}</ref> वेब [[प्रमाणीकरण|ऑथेंटिकेशन]] प्रणालियों के उदाहरण हैं [[पासवर्डों]], [[संघीय पहचान]] (जैसे [[Google|गूगल]] , फेसबुक जोड़ना, [[Mozilla|मोज़िला]] पर्सोना), [[ईमेल]]-आधारित [[एक बार दर्ज करना|बार अंकित करना]] (एसएसओ) प्रणाली (जैसे एसऐडब्लू, हैचेट), QR कोड-आधारित प्रणाली (जैसे स्नैप2पास, वेब टिकट) या वेब पर उपयोगकर्ता की पहचान को प्रमाणित करने के लिए उपयोग की जाने वाली कोई अन्य प्रणाली होती है। चूंकि वेब ऑथेंटिकेशन प्रणालियों की उपयोगिता प्रणाली का चयन करने में कोई महत्वपूर्ण विचार होना चाहिए, बहुत कम वेब ऑथेंटिकेशन प्रणाली (पासवर्ड के अतिरिक्त) औपचारिक उपयोगिता अध्ययन या विश्लेषण के अधीन हैं।<ref name="ruoti">{{cite web|url=http://www.www2015.it/documents/proceedings/proceedings/p916.pdf|title=ऑथेंटिकेशन मेली: ए यूज़ेबिलिटी एनालिसिस ऑफ़ सेवन वेब ऑथेंटिकेशन सिस्टम्स|website=24th International World Wide Web Conference|pages=916–926|language=en|ref=ruoti|author1=Scott Ruoti|author2=Brent Roberts|author3=Kent Seamons|accessdate=2016-02-24}}</ref>




== उपयोगिता और उपयोगकर्ता ==
== उपयोगिता और उपयोगकर्ता ==
वेब प्रमाणीकरण प्रणाली को यथासंभव उपयोग करने योग्य होना चाहिए, जबकि [[इंटरनेट सुरक्षा]] से समझौता नहीं करना चाहिए जिसे सुनिश्चित करने की आवश्यकता है।<ref name="braz"/> अधिकृत उपयोगकर्ताओं को एक्सेस की अनुमति देते हुए सिस्टम को दुर्भावनापूर्ण उपयोगकर्ताओं द्वारा एक्सेस को प्रतिबंधित करने की आवश्यकता है। यदि प्रमाणीकरण प्रणाली में पर्याप्त सुरक्षा नहीं है, तो दुर्भावनापूर्ण उपयोगकर्ता आसानी से सिस्टम तक पहुँच प्राप्त कर सकते हैं। दूसरी ओर, यदि प्रमाणीकरण प्रणाली बहुत जटिल और प्रतिबंधात्मक है, तो एक अधिकृत उपयोगकर्ता इसका उपयोग नहीं कर पाएगा (या करना चाहता है)।<ref name="schneier-balancing-security">{{cite web|url=https://www.schneier.com/blog/archives/2009/02/balancing_secur.html|title=प्रमाणीकरण में सुरक्षा और उपयोगिता को संतुलित करना|website=Schneier on Security|ref=schneier-balancing-security|last1=Schneier|first1=Bruce|accessdate=24 February 2016}}</ref> किसी भी प्रणाली में मजबूत सुरक्षा प्राप्त की जा सकती है, लेकिन सिस्टम के उपयोगकर्ताओं द्वारा सबसे सुरक्षित प्रमाणीकरण प्रणाली को भी कमजोर किया जा सकता है, जिसे अधिकांश कंप्यूटर सुरक्षा में कमजोर लिंक के रूप में संदर्भित किया जाता है।<ref name="renaud">{{cite journal|url=https://www.researchgate.net/publication/228715024|title=वेब प्रमाणीकरण तंत्र की गुणवत्ता को मापना उपयोगिता परिप्रेक्ष्य|journal=Journal of Web Engineering|ref=qq-web-auth-use|last1=Renaud|first1=Karen|accessdate=24 February 2016|date=January 2004}}</ref>
वेब ऑथेंटिकेशन प्रणाली को यथासंभव उपयोग करने योग्य होना चाहिए, जबकि [[इंटरनेट सुरक्षा]] से समझौता नहीं करना चाहिए जिसे सुनिश्चित करने की आवश्यकता है।<ref name="braz"/> अधिकृत उपयोगकर्ताओं को एक्सेस की अनुमति देते हुए प्रणाली को दुर्भावनापूर्ण उपयोगकर्ताओं द्वारा एक्सेस को प्रतिबंधित करने की आवश्यकता है। यदि ऑथेंटिकेशन प्रणाली में पर्याप्त सुरक्षा नहीं है, तो दुर्भावनापूर्ण उपयोगकर्ता आसानी से प्रणाली तक पहुँच प्राप्त कर सकते हैं। दूसरी ओर, यदि ऑथेंटिकेशन प्रणाली बहुत जटिल और प्रतिबंधात्मक है, तो अधिकृत उपयोगकर्ता इसका उपयोग नहीं कर पाएगा (या करना चाहता है)।<ref name="schneier-balancing-security">{{cite web|url=https://www.schneier.com/blog/archives/2009/02/balancing_secur.html|title=प्रमाणीकरण में सुरक्षा और उपयोगिता को संतुलित करना|website=Schneier on Security|ref=schneier-balancing-security|last1=Schneier|first1=Bruce|accessdate=24 February 2016}}</ref> किसी भी प्रणाली में शक्तिशाली सुरक्षा प्राप्त की जा सकती है, लेकिन प्रणाली के उपयोगकर्ताओं द्वारा सबसे सुरक्षित ऑथेंटिकेशन प्रणाली को भी कमजोर किया जा सकता है, जिसे अधिकांश कंप्यूटर सुरक्षा में कमजोर लिंक के रूप में संदर्भित किया जाता है।<ref name="renaud">{{cite journal|url=https://www.researchgate.net/publication/228715024|title=वेब प्रमाणीकरण तंत्र की गुणवत्ता को मापना उपयोगिता परिप्रेक्ष्य|journal=Journal of Web Engineering|ref=qq-web-auth-use|last1=Renaud|first1=Karen|accessdate=24 February 2016|date=January 2004}}</ref>


उपयोगकर्ता असावधानी से किसी सिस्टम की सुरक्षा को बढ़ाते या घटाते हैं। यदि कोई सिस्टम प्रयोग करने योग्य नहीं है, तो सुरक्षा प्रभावित हो सकती है क्योंकि उपयोगकर्ता प्रमाणीकरण के लिए इनपुट प्रदान करने के लिए आवश्यक प्रयास को कम करने का प्रयास करेंगे, जैसे कागज पर अपना पासवर्ड लिखना। एक अधिक उपयोगी प्रणाली इसे होने से रोक सकती है। उपयोगकर्ता उन प्रणालियों से प्रमाणीकरण अनुरोधों के लिए बाध्य होने की अधिक संभावना रखते हैं जो महत्वपूर्ण हैं (जैसे ऑनलाइन बैंकिंग), कम महत्वपूर्ण प्रणालियों के विपरीत (उदाहरण के लिए एक मंच जहां उपयोगकर्ता अधिकांशतः जाते हैं) जहां इन तंत्रों को अनदेखा किया जा सकता है। जटिल प्रमाणीकरण तंत्र से नाराज होने से पहले उपयोगकर्ता केवल एक निश्चित बिंदु तक सुरक्षा उपायों को स्वीकार करते हैं।<ref name="renaud" /> वेब प्रमाणीकरण प्रणाली की उपयोगिता में एक महत्वपूर्ण कारक इस प्रकार इसके निकटतम के उपयोगकर्ता के लिए सुविधा कारक है।
उपयोगकर्ता असावधानी से किसी प्रणाली की सुरक्षा को बढ़ाते या घटाते हैं। यदि कोई प्रणाली प्रयोग करने योग्य नहीं है, तो सुरक्षा प्रभावित हो सकती है क्योंकि उपयोगकर्ता ऑथेंटिकेशन के लिए इनपुट प्रदान करने के लिए आवश्यक प्रयास को कम करने का प्रयास करेंगे, जैसे कागज पर अपना पासवर्ड लिखना। अधिक उपयोगी प्रणाली इसे होने से रोक सकती है। उपयोगकर्ता उन प्रणालियों से ऑथेंटिकेशन अनुरोधों के लिए बाध्य होने की अधिक संभावना रखते हैं जो महत्वपूर्ण हैं (जैसे ऑनलाइन बैंकिंग), कम महत्वपूर्ण प्रणालियों के विपरीत (उदाहरण के लिए मंच जहां उपयोगकर्ता अधिकांशतः जाते हैं) जहां इन तंत्रों को अनदेखा किया जा सकता है। जटिल ऑथेंटिकेशन तंत्र से दुःखी होने से पहले उपयोगकर्ता केवल निश्चित बिंदु तक सुरक्षा उपायों को स्वीकार करते हैं।<ref name="renaud" /> वेब ऑथेंटिकेशन प्रणाली की उपयोगिता में महत्वपूर्ण कारक इस प्रकार इसके निकटतम के उपयोगकर्ता के लिए सुविधा कारक है।


== प्रयोज्यता और वेब अनुप्रयोग ==
== उपयोगिता और वेब अनुप्रयोग ==
खराब उपयोगिता और कई सुरक्षा चिंताओं के होने पर भी वेब<ref name="renaud"/> अनुप्रयोगों के लिए पसंदीदा वेब प्रमाणीकरण प्रणाली पासवर्ड है।<ref name="bonneau">{{Cite conference|title=पासवर्ड बदलने की खोज: वेब प्रमाणीकरण योजनाओं के तुलनात्मक मूल्यांकन के लिए एक रूपरेखा|last1=Bonneau|first1=Joseph|last2=Herley|first2=Cormac|year=2012|publisher=University of Cambridge Computer Laboratory|issn=1476-2986|last3=van Oorschot|first3=Paul C.|last4=Stajano|first4=Frank|url=http://research-srv.microsoft.com/pubs/161585/QuestToReplacePasswords.pdf|doi=10.1109/SP.2012.44|journal=2012 IEEE Symposium on Security and Privacy}}</ref> इस व्यापक रूप से उपयोग की जाने वाली प्रणाली में सामान्यतः ऐसे तंत्र होते हैं जिनका उद्देश्य सुरक्षा को बढ़ाना था (उदाहरण के लिए उपयोगकर्ताओं को उच्च एन्ट्रॉपी पासवर्ड की आवश्यकता होती है) लेकिन पासवर्ड सिस्टम कम उपयोग करने योग्य और असावधानी से कम सुरक्षित होने का कारण बनता है।<ref name="sundararaman">{{Cite conference|url=https://www.acsac.org/2005/papers/198.pdf|title=केक लो और इसे भी खाओ - पाठ-पासवर्ड आधारित प्रमाणीकरण प्रणाली में उपयोगिता को प्रभावित करना|journal=Proceedings of the ... Annual Computer Security Applications Conference|last1=Sundararaman|first1=Jeyaraman|last2=Topkara|first2=Umut|conference=21st Annual Computer Security Applications Conference (ACSAC'05)|location=Tucson, AZ|publisher=IEEE|doi=10.1109/CSAC.2005.28|isbn=0-7695-2461-3
वेब अनुप्रयोगों के लिए पसंदीदा वेब प्रमाणीकरण प्रणाली पासवर्ड है,<ref name="renaud"/> इसकी खराब उपयोगिता और कई सुरक्षा चिंताओं के अतिरिक्त इसे व्यापक रूप से उपयोग की जाने वाली प्रणाली में सामान्यतः ऐसे तंत्र होते हैं<ref name="bonneau">{{Cite conference|title=पासवर्ड बदलने की खोज: वेब प्रमाणीकरण योजनाओं के तुलनात्मक मूल्यांकन के लिए एक रूपरेखा|last1=Bonneau|first1=Joseph|last2=Herley|first2=Cormac|year=2012|publisher=University of Cambridge Computer Laboratory|issn=1476-2986|last3=van Oorschot|first3=Paul C.|last4=Stajano|first4=Frank|url=http://research-srv.microsoft.com/pubs/161585/QuestToReplacePasswords.pdf|doi=10.1109/SP.2012.44|journal=2012 IEEE Symposium on Security and Privacy}}</ref> जिनका उद्देश्य सुरक्षा (उदाहरण के लिए उपयोगकर्ताओं को उच्च एन्ट्रॉपी पासवर्ड की आवश्यकता होती है) को बढ़ाना था, लेकिन पासवर्ड प्रणाली कम उपयोग करने योग्य और असावधानी से कम सुरक्षित होने का कारण बनता है।<ref name="sundararaman">{{Cite conference|url=https://www.acsac.org/2005/papers/198.pdf|title=केक लो और इसे भी खाओ - पाठ-पासवर्ड आधारित प्रमाणीकरण प्रणाली में उपयोगिता को प्रभावित करना|journal=Proceedings of the ... Annual Computer Security Applications Conference|last1=Sundararaman|first1=Jeyaraman|last2=Topkara|first2=Umut|conference=21st Annual Computer Security Applications Conference (ACSAC'05)|location=Tucson, AZ|publisher=IEEE|doi=10.1109/CSAC.2005.28|isbn=0-7695-2461-3
|issn=1063-9527}}</ref> ऐसा इसलिए है क्योंकि उपयोगकर्ताओं को ये उच्च एन्ट्रॉपी पासवर्ड याद रखने में कठिन लगते हैं।<ref name="feng-ma">{{Cite conference|title=वेब-आधारित अनुप्रयोग में तीन प्रमाणीकरण विधियों की उपयोगिता का मूल्यांकन|last1=Ma|first1=Y|last2=Feng|first2=J|date=2011|conference=2011 9th International Conference on Software Engineering Research, Management and Applications (SERA)|location=Baltimore, MD|publisher=IEEE|pages=81–88|doi=10.1109/SERA.2011.18|isbn=978-1-4577-1028-5}}</ref> एप्लिकेशन निर्माताओं को उपयोगकर्ता की जरूरतों को ध्यान में रखते हुए अधिक प्रयोग करने योग्य प्रमाणीकरण प्रणाली विकसित करने के लिए एक आदर्श बदलाव करने की आवश्यकता है।<ref name="bonneau"/> सर्वव्यापी पासवर्ड आधारित प्रणालियों को अधिक उपयोगी (और संभवतः अधिक सुरक्षित) प्रणालियों के साथ बदलने से एप्लिकेशन के मालिकों और इसके उपयोगकर्ताओं दोनों के लिए बड़े लाभ हो सकते हैं।
|issn=1063-9527}}</ref> ऐसा इसलिए है क्योंकि उपयोगकर्ताओं को ये उच्च एन्ट्रॉपी पासवर्ड याद रखने में जटिल लगते हैं।<ref name="feng-ma">{{Cite conference|title=वेब-आधारित अनुप्रयोग में तीन प्रमाणीकरण विधियों की उपयोगिता का मूल्यांकन|last1=Ma|first1=Y|last2=Feng|first2=J|date=2011|conference=2011 9th International Conference on Software Engineering Research, Management and Applications (SERA)|location=Baltimore, MD|publisher=IEEE|pages=81–88|doi=10.1109/SERA.2011.18|isbn=978-1-4577-1028-5}}</ref> एप्लिकेशन निर्माताओं को उपयोगकर्ता की अवश्यकताओ को ध्यान में रखते हुए अधिक प्रयोग करने योग्य ऑथेंटिकेशन प्रणाली विकसित करने के लिए आदर्श बदलाव करने की आवश्यकता है।<ref name="bonneau"/> सर्वव्यापी पासवर्ड आधारित प्रणालियों को अधिक उपयोगी (और संभवतः अधिक सुरक्षित) प्रणालियों के साथ बदलने से एप्लिकेशन के स्वामित्वों और इसके उपयोगकर्ताओं दोनों के लिए बड़े लाभ हो सकते हैं।


== माप ==
==== माप ====
वेब प्रमाणीकरण प्रणाली की प्रयोज्यता को मापने के लिए, कोई "उपयोगिता-तैनाती-सुरक्षा" या "यूडीएस" संरचना<ref name="bonneau"/> या एक मानक मीट्रिक जैसे सिस्टम उपयोगिता पैमाने का उपयोग कर सकता है।<ref name="ruoti"/> यूडीएस संरचना तीन व्यापक श्रेणियों को देखता है, अर्थात् उपयोगिता तैनाती और वेब प्रमाणीकरण प्रणाली की सुरक्षा और फिर परीक्षण प्रणाली को श्रेणियों के एक (या अधिक) से जुड़े विशिष्ट लाभ की प्रस्तुति या प्रस्तुति नहीं करने के रूप में दरें निर्धारित करता है। एक प्रमाणीकरण प्रणाली को तब प्रयोज्य तैनाती और सुरक्षा की श्रेणियों के अन्दर एक विशिष्ट लाभ की प्रस्तुति या प्रस्तुति नहीं करने के रूप में वर्गीकृत किया जाता है।<ref name="bonneau"/>
वेब ऑथेंटिकेशन प्रणाली की उपयोगिता को मापने के लिए, कोई "उपयोगिता-तैनाती-सुरक्षा" या "यूडीएस" संरचना<ref name="bonneau" /> या मानक मीट्रिक का उपयोग कर सकता है, जैसे प्रणाली उपयोगिता पैमाने।<ref name="ruoti" /> यूडीएस संरचना तीन व्यापक श्रेणियों को देखता है, अर्थात् उपयोगिता तैनाती और वेब ऑथेंटिकेशन प्रणाली की सुरक्षा और फिर परीक्षण प्रणाली को श्रेणियों के (या अधिक) से जुड़े विशिष्ट लाभ की प्रस्तुति या प्रस्तुति नहीं करने के रूप में दरें निर्धारित करता है। ऑथेंटिकेशन प्रणाली को तब प्रयोज्य तैनाती और सुरक्षा की श्रेणियों के अन्दर विशिष्ट लाभ की प्रस्तुति या प्रस्तुति नहीं करने के रूप में वर्गीकृत किया जाता है।<ref name="bonneau" />


वेब प्रमाणीकरण प्रणालियों की प्रयोज्यता को मापने से वेब प्रमाणीकरण प्रणाली के औपचारिक मूल्यांकन की अनुमति मिलेगी और दूसरों के सापेक्ष सिस्टम की श्रेणी निर्धारित होगी। जबकि वेब प्रमाणीकरण प्रणाली के बारे में बहुत सारे शोध वर्तमान में किए जा रहे हैं, यह सुरक्षा पर ध्यान केंद्रित करता है यह शोध उपयोगिता के आधार पर नही हो रहे है।<ref name="braz"/> तुलनीय मीट्रिक या तकनीक का उपयोग करके प्रयोज्यता के लिए भविष्य के अनुसंधान का औपचारिक रूप से मूल्यांकन किया जाना चाहिए। यह विभिन्न प्रमाणीकरण प्रणालियों की तुलना करने में सक्षम होगा, साथ ही यह निर्धारित करेगा कि प्रमाणीकरण प्रणाली न्यूनतम उपयोगिता बेंचमार्क को पूरा करती है या नहीं करती है।<ref name="ruoti"/>
वेब ऑथेंटिकेशन प्रणालियों की उपयोगिता को मापने से वेब ऑथेंटिकेशन प्रणाली के औपचारिक मूल्यांकन की अनुमति मिलेगी और दूसरों के सापेक्ष प्रणाली की श्रेणी निर्धारित होगी। जबकि वेब ऑथेंटिकेशन प्रणाली के बारे में बहुत सारे शोध वर्तमान में किए जा रहे हैं, यह सुरक्षा पर ध्यान केंद्रित करता है यह शोध उपयोगिता के आधार पर नही हो रहे है।<ref name="braz" /> तुलनीय मीट्रिक या तकनीक का उपयोग करके उपयोगिता के लिए भविष्य के अनुसंधान का औपचारिक रूप से मूल्यांकन किया जाना चाहिए। यह विभिन्न ऑथेंटिकेशन प्रणालियों की तुलना करने में सक्षम होगा, साथ ही यह निर्धारित करेगा कि ऑथेंटिकेशन प्रणाली न्यूनतम उपयोगिता बेंचमार्क को पूरा करती है या नहीं करती है।<ref name="ruoti" />




== किस वेब प्रमाणीकरण प्रणाली को चुनना है ==
यह पाया गया है कि सुरक्षा विशेषज्ञ [[कंप्यूटर सुरक्षा]] पर अधिक ध्यान केंद्रित करते हैं और वेब प्रमाणीकरण प्रणाली के उपयोगिता पद्धति पर कम ध्यान देते हैं।<ref name="bonneau"/> यह समस्याग्रस्त है क्योंकि सिस्टम की सुरक्षा और इसके उपयोग में आसानी के बीच संतुलन होना आवश्यक है


2015 में किया गया एक अध्ययन<ref name="ruoti" /> जिसमे पाया गया कि उपयोगकर्ता एकल साइन-ऑन (जैसे कि गूगल और फेसबुक द्वारा प्रदान किए गए) आधारित सिस्टम पसंद करते हैं। उपयोगकर्ताओं ने इन प्रणालियों को पसंद किया क्योंकि उन्होंने उन्हें तेज़ और उपयोग करने में सुविधाजनक पाया।<ref name="ruoti" /> एकल साइन-ऑन आधारित प्रणालियों के परिणामस्वरूप उपयोगिता और सुरक्षा दोनों में पर्याप्त सुधार हुए हैं।<ref name="bonneau" /> एसएसओ उपयोगकर्ताओं को कई उपयोगकर्ता नाम और पासवर्ड याद रखने की आवश्यकता के साथ-साथ खुद को प्रमाणित करने के लिए आवश्यक समय को कम करता है, जिससे सिस्टम की उपयोगिता में सुधार होता है।
== किस वेब ऑथेंटिकेशन प्रणाली को चुनना है ==
यह पाया गया है कि सुरक्षा विशेषज्ञ [[कंप्यूटर सुरक्षा]] पर अधिक ध्यान केंद्रित करते हैं और वेब ऑथेंटिकेशन प्रणाली के उपयोगिता पद्धति पर कम ध्यान देते हैं।<ref name="bonneau"/> यह जटिल है क्योंकि प्रणाली की सुरक्षा और इसके उपयोग में आसानी के बीच संतुलन होना आवश्यक है
 
2015 में किया गया अध्ययन<ref name="ruoti" /> जिसमे पाया गया कि उपयोगकर्ता एकल साइन-ऑन (जैसे कि गूगल और फेसबुक द्वारा प्रदान किए गए) आधारित प्रणाली पसंद करते हैं। उपयोगकर्ताओं ने इन प्रणालियों को पसंद किया क्योंकि उन्होंने उन्हें तेज़ और उपयोग करने में सुविधाजनक पाया।<ref name="ruoti" /> एकल साइन-ऑन आधारित प्रणालियों के परिणामस्वरूप उपयोगिता और सुरक्षा दोनों में पर्याप्त सुधार हुए हैं।<ref name="bonneau" /> एसएसओ उपयोगकर्ताओं को कई उपयोगकर्ता नाम और पासवर्ड याद रखने की आवश्यकता के साथ-साथ स्वयं को प्रमाणित करने के लिए आवश्यक समय को कम करता है, जिससे प्रणाली की उपयोगिता में सुधार होता है।


=== अन्य महत्वपूर्ण विचार ===
=== अन्य महत्वपूर्ण विचार ===
* उपयोगकर्ता उन प्रणालियों को पसंद करते हैं जो जटिल नहीं हैं और उपयोग करने और समझने के लिए न्यूनतम प्रयास की आवश्यकता होती है।<ref name="ruoti"/>
* उपयोगकर्ता उन प्रणालियों को पसंद करते हैं जो जटिल नहीं हैं और उपयोग करने और समझने के लिए न्यूनतम प्रयास की आवश्यकता होती है।<ref name="ruoti"/>
*उपयोगकर्ता [[बॉयोमीट्रिक्स]] और फोन-आधारित प्रमाणीकरण प्रणाली का उपयोग करने का आनंद लेते हैं। चूँकि, इस प्रकार के सिस्टम को कार्य करने के लिए बाहरी उपकरणों की आवश्यकता होती है, उपयोगकर्ताओं से उच्च स्तर की सहभागिता और डिवाइस के अनुपलब्ध होने या विफल होने पर फॉल बैक मैकेनिज्म की आवश्यकता होती है - जिससे उपयोगिता कम हो सकती है<ref name="ruoti" />
*उपयोगकर्ता [[बॉयोमीट्रिक्स]] और फोन-आधारित ऑथेंटिकेशन प्रणाली का उपयोग करने का आनंद लेते हैं। चूँकि, इस प्रकार के प्रणाली को कार्य करने के लिए बाहरी उपकरणों की आवश्यकता होती है, उपयोगकर्ताओं से उच्च स्तर की सहभागिता और डिवाइस के अनुपलब्ध होने या विफल होने पर फॉल बैक मैकेनिज्म की आवश्यकता होती है - जिससे उपयोगिता कम हो सकती है<ref name="ruoti" />
*कई वेब अनुप्रयोगों द्वारा उपयोग की जाने वाली वर्तमान पासवर्ड प्रणाली का उपयोग करके बेहतर उपयोगिता के लिए बढ़ाया जा सकता है:
*कई वेब अनुप्रयोगों द्वारा उपयोग की जाने वाली वर्तमान पासवर्ड प्रणाली का उपयोग करके बेहतर उपयोगिता के लिए बढ़ाया जा सकता है:
*पासवर्ड के अतिरिक्त यादगार स्मृति चिन्ह।<ref name="sundararaman" />
*पासवर्ड के अतिरिक्त यादगार स्मृति चिन्ह।<ref name="sundararaman" />
*पासवर्ड प्रमाणीकरण के लिए पासवर्ड के विकल्प प्रमाणीकरण को अधिक उपयोगी बनाने के लिए।<ref name="feng-ma" />
*पासवर्ड ऑथेंटिकेशन के लिए पासवर्ड के विकल्प ऑथेंटिकेशन को अधिक उपयोगी बनाने के लिए।<ref name="feng-ma" />




== भविष्य का काम ==
== भविष्य का काम ==
उपयोगिता अधिक से अधिक महत्वपूर्ण हो जाएगी क्योंकि अधिक से अधिक एप्लिकेशन ऑनलाइन चलते हैं और मजबूत और विश्वसनीय प्रमाणीकरण प्रणालियों की आवश्यकता होती है जो प्रयोग करने योग्य और सुरक्षित दोनों हैं। इसे प्राप्त करने के संभावित विधियों के रूप में प्रमाणीकरण प्रणालियों<ref name="chuang">{{Cite book|title=वित्तीय क्रिप्टोग्राफी और डेटा सुरक्षा|publisher=Springer Berlin Heidelberg|year=2013|isbn=978-3-642-41320-9|pages=1–16}}</ref> में ब्रेनवेव्स का उपयोग प्रस्तावित किया गया है। चूँकि अधिक शोध और उपयोगिता में अध्ययन की आवश्यकता है।
उपयोगिता अधिक से अधिक महत्वपूर्ण हो जाएगी क्योंकि अधिक से अधिक एप्लिकेशन ऑनलाइन चलते हैं और शक्तिशाली और विश्वसनीय ऑथेंटिकेशन प्रणालियों की आवश्यकता होती है जो प्रयोग करने योग्य और सुरक्षित दोनों हैं। इसे प्राप्त करने के संभावित विधियों के रूप में ऑथेंटिकेशन प्रणालियों<ref name="chuang">{{Cite book|title=वित्तीय क्रिप्टोग्राफी और डेटा सुरक्षा|publisher=Springer Berlin Heidelberg|year=2013|isbn=978-3-642-41320-9|pages=1–16}}</ref> में ब्रेनवेव्स का उपयोग प्रस्तावित किया गया है। चूँकि अधिक शोध और उपयोगिता में अध्ययन की आवश्यकता है।


== यह भी देखें ==
== यह भी देखें ==
Line 60: Line 61:
* {{cite book|title=Financial Cryptography and Data Security|chapter=I Think, Therefore, I Am: Usability and Security of Authentication Using Brainwaves|doi=10.1007/978-3-642-41320-9_1|author1=John Chuang|author2=Hamilton Nguyen|author3=Charles Wang|author4=Benjamin Johnson|pages=1–16|series=Lecture Notes in Computer Science|volume=7862|publisher=Springer Berlin Heidelberg|isbn=978-3-642-41319-3|issn=0302-9743|year=2013|citeseerx=10.1.1.359.9402}}
* {{cite book|title=Financial Cryptography and Data Security|chapter=I Think, Therefore, I Am: Usability and Security of Authentication Using Brainwaves|doi=10.1007/978-3-642-41320-9_1|author1=John Chuang|author2=Hamilton Nguyen|author3=Charles Wang|author4=Benjamin Johnson|pages=1–16|series=Lecture Notes in Computer Science|volume=7862|publisher=Springer Berlin Heidelberg|isbn=978-3-642-41319-3|issn=0302-9743|year=2013|citeseerx=10.1.1.359.9402}}
* {{cite book|chapter=Usability and User Authentication: Pectoral Password vs PIN|chapter-url=https://books.google.com/books?id=SCIxOaZTvgIC&q=usability+AND+authentication&pg=PA240|title=Contemporary Ergonomics, 2003|author=Paul T. McCabe|isbn=9780203455869|year=2002|publisher=CRC Press}}
* {{cite book|chapter=Usability and User Authentication: Pectoral Password vs PIN|chapter-url=https://books.google.com/books?id=SCIxOaZTvgIC&q=usability+AND+authentication&pg=PA240|title=Contemporary Ergonomics, 2003|author=Paul T. McCabe|isbn=9780203455869|year=2002|publisher=CRC Press}}
[[Category:उपयोगिता]]
[[Category: कंप्यूटर अभिगम नियंत्रण]]


[[Category: Machine Translated Page]]
[[Category:CS1 English-language sources (en)]]
[[Category:Created On 16/12/2022]]
[[Category:Created On 16/12/2022]]
[[Category:Lua-based templates]]
[[Category:Machine Translated Page]]
[[Category:Multi-column templates]]
[[Category:Pages using div col with small parameter]]
[[Category:Pages with script errors]]
[[Category:Templates Vigyan Ready]]
[[Category:Templates that add a tracking category]]
[[Category:Templates using TemplateData]]
[[Category:Templates using under-protected Lua modules]]
[[Category:Wikipedia fully protected templates|Div col]]
[[Category:उपयोगिता]]
[[Category:कंप्यूटर अभिगम नियंत्रण]]

Latest revision as of 15:21, 28 January 2023

वेब ऑथेंटिकेशन प्रणाली की उपयोगिता ऑनलाइन ऑथेंटिकेशन प्रणाली की दक्षता और उपयोगकर्ता स्वीकृति को संदर्भित करती है।[1] वेब ऑथेंटिकेशन प्रणालियों के उदाहरण हैं पासवर्डों, संघीय पहचान (जैसे गूगल , फेसबुक जोड़ना, मोज़िला पर्सोना), ईमेल-आधारित बार अंकित करना (एसएसओ) प्रणाली (जैसे एसऐडब्लू, हैचेट), QR कोड-आधारित प्रणाली (जैसे स्नैप2पास, वेब टिकट) या वेब पर उपयोगकर्ता की पहचान को प्रमाणित करने के लिए उपयोग की जाने वाली कोई अन्य प्रणाली होती है। चूंकि वेब ऑथेंटिकेशन प्रणालियों की उपयोगिता प्रणाली का चयन करने में कोई महत्वपूर्ण विचार होना चाहिए, बहुत कम वेब ऑथेंटिकेशन प्रणाली (पासवर्ड के अतिरिक्त) औपचारिक उपयोगिता अध्ययन या विश्लेषण के अधीन हैं।[2]


उपयोगिता और उपयोगकर्ता

वेब ऑथेंटिकेशन प्रणाली को यथासंभव उपयोग करने योग्य होना चाहिए, जबकि इंटरनेट सुरक्षा से समझौता नहीं करना चाहिए जिसे सुनिश्चित करने की आवश्यकता है।[1] अधिकृत उपयोगकर्ताओं को एक्सेस की अनुमति देते हुए प्रणाली को दुर्भावनापूर्ण उपयोगकर्ताओं द्वारा एक्सेस को प्रतिबंधित करने की आवश्यकता है। यदि ऑथेंटिकेशन प्रणाली में पर्याप्त सुरक्षा नहीं है, तो दुर्भावनापूर्ण उपयोगकर्ता आसानी से प्रणाली तक पहुँच प्राप्त कर सकते हैं। दूसरी ओर, यदि ऑथेंटिकेशन प्रणाली बहुत जटिल और प्रतिबंधात्मक है, तो अधिकृत उपयोगकर्ता इसका उपयोग नहीं कर पाएगा (या करना चाहता है)।[3] किसी भी प्रणाली में शक्तिशाली सुरक्षा प्राप्त की जा सकती है, लेकिन प्रणाली के उपयोगकर्ताओं द्वारा सबसे सुरक्षित ऑथेंटिकेशन प्रणाली को भी कमजोर किया जा सकता है, जिसे अधिकांश कंप्यूटर सुरक्षा में कमजोर लिंक के रूप में संदर्भित किया जाता है।[4]

उपयोगकर्ता असावधानी से किसी प्रणाली की सुरक्षा को बढ़ाते या घटाते हैं। यदि कोई प्रणाली प्रयोग करने योग्य नहीं है, तो सुरक्षा प्रभावित हो सकती है क्योंकि उपयोगकर्ता ऑथेंटिकेशन के लिए इनपुट प्रदान करने के लिए आवश्यक प्रयास को कम करने का प्रयास करेंगे, जैसे कागज पर अपना पासवर्ड लिखना। अधिक उपयोगी प्रणाली इसे होने से रोक सकती है। उपयोगकर्ता उन प्रणालियों से ऑथेंटिकेशन अनुरोधों के लिए बाध्य होने की अधिक संभावना रखते हैं जो महत्वपूर्ण हैं (जैसे ऑनलाइन बैंकिंग), कम महत्वपूर्ण प्रणालियों के विपरीत (उदाहरण के लिए मंच जहां उपयोगकर्ता अधिकांशतः जाते हैं) जहां इन तंत्रों को अनदेखा किया जा सकता है। जटिल ऑथेंटिकेशन तंत्र से दुःखी होने से पहले उपयोगकर्ता केवल निश्चित बिंदु तक सुरक्षा उपायों को स्वीकार करते हैं।[4] वेब ऑथेंटिकेशन प्रणाली की उपयोगिता में महत्वपूर्ण कारक इस प्रकार इसके निकटतम के उपयोगकर्ता के लिए सुविधा कारक है।

उपयोगिता और वेब अनुप्रयोग

वेब अनुप्रयोगों के लिए पसंदीदा वेब प्रमाणीकरण प्रणाली पासवर्ड है,[4] इसकी खराब उपयोगिता और कई सुरक्षा चिंताओं के अतिरिक्त इसे व्यापक रूप से उपयोग की जाने वाली प्रणाली में सामान्यतः ऐसे तंत्र होते हैं[5] जिनका उद्देश्य सुरक्षा (उदाहरण के लिए उपयोगकर्ताओं को उच्च एन्ट्रॉपी पासवर्ड की आवश्यकता होती है) को बढ़ाना था, लेकिन पासवर्ड प्रणाली कम उपयोग करने योग्य और असावधानी से कम सुरक्षित होने का कारण बनता है।[6] ऐसा इसलिए है क्योंकि उपयोगकर्ताओं को ये उच्च एन्ट्रॉपी पासवर्ड याद रखने में जटिल लगते हैं।[7] एप्लिकेशन निर्माताओं को उपयोगकर्ता की अवश्यकताओ को ध्यान में रखते हुए अधिक प्रयोग करने योग्य ऑथेंटिकेशन प्रणाली विकसित करने के लिए आदर्श बदलाव करने की आवश्यकता है।[5] सर्वव्यापी पासवर्ड आधारित प्रणालियों को अधिक उपयोगी (और संभवतः अधिक सुरक्षित) प्रणालियों के साथ बदलने से एप्लिकेशन के स्वामित्वों और इसके उपयोगकर्ताओं दोनों के लिए बड़े लाभ हो सकते हैं।

माप

वेब ऑथेंटिकेशन प्रणाली की उपयोगिता को मापने के लिए, कोई "उपयोगिता-तैनाती-सुरक्षा" या "यूडीएस" संरचना[5] या मानक मीट्रिक का उपयोग कर सकता है, जैसे प्रणाली उपयोगिता पैमाने।[2] यूडीएस संरचना तीन व्यापक श्रेणियों को देखता है, अर्थात् उपयोगिता तैनाती और वेब ऑथेंटिकेशन प्रणाली की सुरक्षा और फिर परीक्षण प्रणाली को श्रेणियों के (या अधिक) से जुड़े विशिष्ट लाभ की प्रस्तुति या प्रस्तुति नहीं करने के रूप में दरें निर्धारित करता है। ऑथेंटिकेशन प्रणाली को तब प्रयोज्य तैनाती और सुरक्षा की श्रेणियों के अन्दर विशिष्ट लाभ की प्रस्तुति या प्रस्तुति नहीं करने के रूप में वर्गीकृत किया जाता है।[5]

वेब ऑथेंटिकेशन प्रणालियों की उपयोगिता को मापने से वेब ऑथेंटिकेशन प्रणाली के औपचारिक मूल्यांकन की अनुमति मिलेगी और दूसरों के सापेक्ष प्रणाली की श्रेणी निर्धारित होगी। जबकि वेब ऑथेंटिकेशन प्रणाली के बारे में बहुत सारे शोध वर्तमान में किए जा रहे हैं, यह सुरक्षा पर ध्यान केंद्रित करता है यह शोध उपयोगिता के आधार पर नही हो रहे है।[1] तुलनीय मीट्रिक या तकनीक का उपयोग करके उपयोगिता के लिए भविष्य के अनुसंधान का औपचारिक रूप से मूल्यांकन किया जाना चाहिए। यह विभिन्न ऑथेंटिकेशन प्रणालियों की तुलना करने में सक्षम होगा, साथ ही यह निर्धारित करेगा कि ऑथेंटिकेशन प्रणाली न्यूनतम उपयोगिता बेंचमार्क को पूरा करती है या नहीं करती है।[2]


किस वेब ऑथेंटिकेशन प्रणाली को चुनना है

यह पाया गया है कि सुरक्षा विशेषज्ञ कंप्यूटर सुरक्षा पर अधिक ध्यान केंद्रित करते हैं और वेब ऑथेंटिकेशन प्रणाली के उपयोगिता पद्धति पर कम ध्यान देते हैं।[5] यह जटिल है क्योंकि प्रणाली की सुरक्षा और इसके उपयोग में आसानी के बीच संतुलन होना आवश्यक है

2015 में किया गया अध्ययन[2] जिसमे पाया गया कि उपयोगकर्ता एकल साइन-ऑन (जैसे कि गूगल और फेसबुक द्वारा प्रदान किए गए) आधारित प्रणाली पसंद करते हैं। उपयोगकर्ताओं ने इन प्रणालियों को पसंद किया क्योंकि उन्होंने उन्हें तेज़ और उपयोग करने में सुविधाजनक पाया।[2] एकल साइन-ऑन आधारित प्रणालियों के परिणामस्वरूप उपयोगिता और सुरक्षा दोनों में पर्याप्त सुधार हुए हैं।[5] एसएसओ उपयोगकर्ताओं को कई उपयोगकर्ता नाम और पासवर्ड याद रखने की आवश्यकता के साथ-साथ स्वयं को प्रमाणित करने के लिए आवश्यक समय को कम करता है, जिससे प्रणाली की उपयोगिता में सुधार होता है।

अन्य महत्वपूर्ण विचार

  • उपयोगकर्ता उन प्रणालियों को पसंद करते हैं जो जटिल नहीं हैं और उपयोग करने और समझने के लिए न्यूनतम प्रयास की आवश्यकता होती है।[2]
  • उपयोगकर्ता बॉयोमीट्रिक्स और फोन-आधारित ऑथेंटिकेशन प्रणाली का उपयोग करने का आनंद लेते हैं। चूँकि, इस प्रकार के प्रणाली को कार्य करने के लिए बाहरी उपकरणों की आवश्यकता होती है, उपयोगकर्ताओं से उच्च स्तर की सहभागिता और डिवाइस के अनुपलब्ध होने या विफल होने पर फॉल बैक मैकेनिज्म की आवश्यकता होती है - जिससे उपयोगिता कम हो सकती है[2]
  • कई वेब अनुप्रयोगों द्वारा उपयोग की जाने वाली वर्तमान पासवर्ड प्रणाली का उपयोग करके बेहतर उपयोगिता के लिए बढ़ाया जा सकता है:
  • पासवर्ड के अतिरिक्त यादगार स्मृति चिन्ह।[6]
  • पासवर्ड ऑथेंटिकेशन के लिए पासवर्ड के विकल्प ऑथेंटिकेशन को अधिक उपयोगी बनाने के लिए।[7]


भविष्य का काम

उपयोगिता अधिक से अधिक महत्वपूर्ण हो जाएगी क्योंकि अधिक से अधिक एप्लिकेशन ऑनलाइन चलते हैं और शक्तिशाली और विश्वसनीय ऑथेंटिकेशन प्रणालियों की आवश्यकता होती है जो प्रयोग करने योग्य और सुरक्षित दोनों हैं। इसे प्राप्त करने के संभावित विधियों के रूप में ऑथेंटिकेशन प्रणालियों[8] में ब्रेनवेव्स का उपयोग प्रस्तावित किया गया है। चूँकि अधिक शोध और उपयोगिता में अध्ययन की आवश्यकता है।

यह भी देखें


संदर्भ

  1. 1.0 1.1 1.2 Christina Braz; Jean-Marc Robert (2006-04-18). "सुरक्षा और उपयोगिता: उपयोगकर्ता प्रमाणीकरण विधियों का मामला". ACM Digital Library (in English). ACM New York, NY, USA. pp. 199–203. Retrieved 24 February 2016.
  2. 2.0 2.1 2.2 2.3 2.4 2.5 2.6 Scott Ruoti; Brent Roberts; Kent Seamons. "ऑथेंटिकेशन मेली: ए यूज़ेबिलिटी एनालिसिस ऑफ़ सेवन वेब ऑथेंटिकेशन सिस्टम्स" (PDF). 24th International World Wide Web Conference (in English). pp. 916–926. Retrieved 2016-02-24.
  3. Schneier, Bruce. "प्रमाणीकरण में सुरक्षा और उपयोगिता को संतुलित करना". Schneier on Security. Retrieved 24 February 2016.
  4. 4.0 4.1 4.2 Renaud, Karen (January 2004). "वेब प्रमाणीकरण तंत्र की गुणवत्ता को मापना उपयोगिता परिप्रेक्ष्य". Journal of Web Engineering. Retrieved 24 February 2016.
  5. 5.0 5.1 5.2 5.3 5.4 5.5 Bonneau, Joseph; Herley, Cormac; van Oorschot, Paul C.; Stajano, Frank (2012). पासवर्ड बदलने की खोज: वेब प्रमाणीकरण योजनाओं के तुलनात्मक मूल्यांकन के लिए एक रूपरेखा (PDF). 2012 IEEE Symposium on Security and Privacy. University of Cambridge Computer Laboratory. doi:10.1109/SP.2012.44. ISSN 1476-2986.
  6. 6.0 6.1 Sundararaman, Jeyaraman; Topkara, Umut. केक लो और इसे भी खाओ - पाठ-पासवर्ड आधारित प्रमाणीकरण प्रणाली में उपयोगिता को प्रभावित करना (PDF). 21st Annual Computer Security Applications Conference (ACSAC'05). Proceedings of the ... Annual Computer Security Applications Conference. Tucson, AZ: IEEE. doi:10.1109/CSAC.2005.28. ISBN 0-7695-2461-3. ISSN 1063-9527.
  7. 7.0 7.1 Ma, Y; Feng, J (2011). वेब-आधारित अनुप्रयोग में तीन प्रमाणीकरण विधियों की उपयोगिता का मूल्यांकन. 2011 9th International Conference on Software Engineering Research, Management and Applications (SERA). Baltimore, MD: IEEE. pp. 81–88. doi:10.1109/SERA.2011.18. ISBN 978-1-4577-1028-5.
  8. वित्तीय क्रिप्टोग्राफी और डेटा सुरक्षा. Springer Berlin Heidelberg. 2013. pp. 1–16. ISBN 978-3-642-41320-9.


अग्रिम पठन