पब्लिश होने की तारीख: 21 मई, 2026
Google I/O 2026 में, हमने एक ऐसे वेब के बारे में बात की थी जहां साइन इन करना मुश्किल नहीं है. यह एक सुरक्षित और आसान एंट्री पॉइंट होना चाहिए, जिससे लोगों को सुरक्षित महसूस हो. इस पोस्ट में, खाते के फ़्लो को ठीक करने, मुश्किलों को कम करने, और लोगों को शुरू से सुरक्षित रखने का तरीका बताया गया है.
क्विक ऐक्सेस
- आधुनिक बनाने की प्रोसेस क्यों ज़रूरी है
- आसानी से खाता बनाना
- एट्रिब्यूट की आसानी से पुष्टि करना
- आसानी से साइन-इन करने के लिए पासकी लागू करना
- पासकी को रणनीतिक तौर पर अपनाना
- पासकी मैनेज करना और खाता वापस पाने की सुविधा
आधुनिक बनाने की प्रोसेस क्यों ज़रूरी है
ज़्यादा मुश्किल प्रोसेस (जैसे, साइन-अप करने के लिए मुश्किल फ़ॉर्म, "पासवर्ड भूल गए" वाले विकल्प का बार-बार दिखना या साइन-इन बटन का बहुत ज़्यादा दिखना) से लोगों का मूड खराब हो जाता है. ये "कॉन्टेक्स्ट-स्विच किलर" होते हैं, जो उपयोगकर्ताओं को दूर ले जाते हैं. पुराने पासवर्ड और एक बार इस्तेमाल होने वाले पासवर्ड (ओटीपी) से भी लोगों को फ़िशिंग का खतरा होता है.
पुष्टि करने में लगने वाला हर एक सेकंड, उपयोगकर्ता के लिए एक मौका होता है कि वह पुष्टि करने की प्रोसेस को छोड़ दे. पुष्टि करने की प्रोसेस को मॉडर्न बनाने से, आपके सिस्टम और उपयोगकर्ताओं को सुरक्षित रखा जा सकता है. पहचान की पुष्टि करने की प्रोसेस के हर टचपॉइंट को आसान बनाकर, कन्वर्ज़न रेट को अपने-आप बढ़ाया जा सकता है. उदाहरण के लिए, पासकी लागू करने के बाद, pixiv को 99% लॉगिन सफलता दर मिली. यह पासवर्ड की तुलना में 29% बेहतर है. कमज़ोर क्रेडेंशियल का इस्तेमाल बंद करने से, चीज़ें ज़्यादा तेज़ी से और सुरक्षित तरीके से होती हैं.
आसानी से खाता बनाना
उपयोगकर्ता का आपके ऐप्लिकेशन के साथ पहला इंटरैक्शन, उसके मूड को सेट करता है. खाता बनाने की प्रोसेस को आसान बनाना, ऐप्लिकेशन को ज़्यादा से ज़्यादा लोगों तक पहुंचाने और उसे सुरक्षित बनाने की दिशा में पहला कदम है.
खाता बनाने के मुख्य तरीके के तौर पर आइडेंटिटी फ़ेडरेशन का इस्तेमाल करना
पहचान फ़ेडरेशन का इस्तेमाल करके, अपने उपयोगकर्ताओं को खाता बनाने के मुश्किल फ़ॉर्म भरने से बचाया जा सकता है. इससे उपयोगकर्ता, Google जैसे भरोसेमंद सेवा देने वाले किसी प्लैटफ़ॉर्म के ज़रिए साइन अप कर पाते हैं. इससे, साइन-अप करने का एक बेहतर और आसान अनुभव मिलता है. इससे लोग आसानी से आपके ऐप्लिकेशन में शामिल हो पाते हैं. उन्हें सामान्य रजिस्ट्रेशन की "झंझट" से नहीं गुज़रना पड़ता.
फ़ेडरेशन का मतलब है कि उपयोगकर्ताओं को अपना नाम या ईमेल पता मैन्युअल तरीके से टाइप नहीं करना पड़ता. चूंकि, सेवा देने वाली कंपनी ने पहले ही उनकी पुष्टि कर ली है, इसलिए आपको उनकी पुष्टि करने के लिए, बार-बार एक ही प्रोसेस को दोहराने की ज़रूरत नहीं है. इससे आपको ज़्यादा लोगों तक पहुंचने में मदद मिलेगी.
इसके अलावा, फ़ेडरेटेड आइडेंटिटी सॉल्यूशन अपनाने से, आपको किसी खास आईडीपी (आइडेंटिटी प्रोवाइडर) के सुरक्षा स्तर का फ़ायदा मिलता है. आईडीपी, पहचान और सुरक्षा के मामले में विशेषज्ञ होते हैं. इसलिए, उनके इन्फ़्रास्ट्रक्चर का इस्तेमाल करने से, पुष्टि करने की सुविधा को शुरू से बनाने का जोखिम खत्म हो जाता है.
Federated Credential Management (FedCM) API का इस्तेमाल करना
अगर आप IdP के तौर पर काम करते हैं, तो हमारा सुझाव है कि आप FedCM API का इस्तेमाल करें. यह ब्राउज़र के यूज़र इंटरफ़ेस (यूआई) के ज़रिए इंटरैक्शन को मैनेज करता है. इससे निजता की सुरक्षा होती है, क्योंकि यह ट्रैकिंग को रोकता है. साथ ही, उपयोगकर्ताओं को एक टैप में साइन इन करने की सुविधा देता है. इसके अलावा, यह सिर्फ़ काम के खातों को दिखाकर यूज़र इंटरफ़ेस (यूआई) को साफ़-सुथरा बनाता है.
"फ़ेडरेट करें और फिर अपग्रेड करें" पैटर्न
फ़ेडरेट-फिर-अपग्रेड करने की सुविधा, फ़ेडरेशन की स्पीड को पासकी की लंबी अवधि की सुरक्षा के साथ जोड़ती है. अगर फ़ेडरेटेड साइन-अप के तुरंत बाद पासकी बनाने का अनुरोध किया जाता है, तो उपयोगकर्ता का अगला लॉगिन, पहले दिन से ही फ़िशिंग से सुरक्षित होता है.
ऑटोमैटिक भरने की सुविधा के लिए फ़ॉर्म ऑप्टिमाइज़ करना
अगर मैन्युअल फ़ॉर्म ज़रूरी हैं, तो जानकारी देने वाले name और id एट्रिब्यूट का इस्तेमाल करें. साथ ही, autocomplete एट्रिब्यूट की सही वैल्यू का इस्तेमाल करें, ताकि ब्राउज़र उपयोगकर्ता के लिए फ़ील्ड भर सके. इससे साइन-अप करने की प्रोसेस के दौरान, टाइपिंग में होने वाली गड़बड़ियों की संभावना कम हो जाती है. साथ ही, लोगों को कम मेहनत करनी पड़ती है. फ़ॉर्म को ऑप्टिमाइज़ करने के बारे में ज़्यादा जानने के लिए, साइन-अप फ़ॉर्म के सबसे सही तरीके देखें.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
एट्रिब्यूट की आसानी से पुष्टि करने की सुविधा
ईमेल में मौजूद कोड की जांच करने के लिए, लोगों को ऐप्लिकेशन से बाहर ले जाने पर कन्वर्ज़न रेट कम हो जाते हैं. इस कॉन्टेक्स्ट स्विच की वजह से, लोग भटक जाते हैं और कभी वापस नहीं आते.
ईमेल पते की पुष्टि करने वाले प्रोटोकॉल (ईवीपी) की ज़रूरी शर्तें पूरी करना
ईमेल की पुष्टि करने का प्रोटोकॉल (ईवीपी) एक नई सुविधा है. इसकी मदद से, आपका ऐप्लिकेशन सीधे तौर पर ब्राउज़र से पुष्टि किया गया ईमेल पता पा सकता है.
इस सुविधा का इस्तेमाल करने के लिए, autocomplete="email-verification-token" एट्रिब्यूट और challenge के साथ एक छिपा हुआ इनपुट फ़ील्ड जोड़ें. ब्राउज़र, इनपुट से ईमेल डोमेन को पार्स करता है. इसके बाद, ईमेल जारी करने वाले से अनुरोध करता है कि वह पुष्टि करे कि उपयोगकर्ता के पास इस ईमेल का ऐक्सेस है. पुष्टि हो जाने के बाद, ब्राउज़र पुष्टि किए गए ईमेल का दावा दिखाता है. आपका बैकएंड इसकी तुरंत पुष्टि कर सकता है. उपयोगकर्ता के लिए, यह प्रोसेस आसानी से पूरी हो जाती है. ईमेल से पुष्टि होने के बाद, उन्हें सिर्फ़ एक सूचना दिखती है.
ईवीपी की मदद से, साइन इन, साइन अप, और पासवर्ड रीसेट करने के लिए, लोगों को होने वाली मुश्किलों को दूर किया जा सकता है. जैसे, मैजिक लिंक या ईमेल पर भेजे गए ओटीपी.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
ध्यान दें कि ईमेल की सेवा देने वाली हर कंपनी को, ईवीपी की सुविधा देने का फ़ैसला खुद लेना होता है. ईवीपी की सुविधा देने वाली कंपनी से संपर्क करके पता करें कि वह इस सुविधा को लॉन्च करने का प्लान बना रही है या नहीं. अगर आपके पास कस्टम डोमेन है, तो उसे ईमेल की सेवा देने वाली किसी कंपनी से कनेक्ट किया जा सकता है. इससे ईवीपी की सुविधा भी काम करेगी.
यह सुविधा अब भी एक्सपेरिमेंट के तौर पर उपलब्ध है. इसलिए, हम चाहते हैं कि आप इस सुविधा के बारे में अपने सुझाव/राय दें या शिकायत करें. इसके लिए, GitHub रिपॉज़िटरी पर जाएं.
Digital Credentials API
कानूनी नाम या उम्र जैसी संवेदनशील जानकारी के लिए, Digital Credentials API, उपयोगकर्ता के वॉलेट से पुष्टि किया गया डेटा पाने का तरीका उपलब्ध कराता है. इसके लिए, ब्राउज़र की मदद से चुनिंदा जानकारी ज़ाहिर करने की सुविधा का इस्तेमाल किया जाता है. इसका मतलब है कि किसी व्यक्ति की निजता बनाए रखते हुए, यह पुष्टि की जा सकती है कि वह किसी तय उम्र से ज़्यादा है. इसके लिए, आपको उसकी पूरी जन्म तारीख या कानूनी नाम नहीं मिलता.
Digital Credentials API: Secure and private identity on the web लेख पढ़ें.
आसानी से साइन इन करने के लिए, पासकी लागू करना
पासकी, सिर्फ़ पासवर्ड का विकल्प नहीं हैं. ये फ़िशिंग को रोकने वाली पुष्टि के लिए, एक बुनियादी बदलाव हैं.
इमीडिएट यूज़र इंटरफ़ेस (यूआई) मोड
Chrome 149 से, इमीडिएट यूज़र इंटरफ़ेस (यूआई) मोड उपलब्ध है. इससे वेबसाइट को क्रेडेंशियल की जांच करने की अनुमति मिलती है. ऐसा तब होता है, जब कोई उपयोगकर्ता आपकी साइट पर जाता है. अगर पासवर्ड मैनेजर में पासकी या पासवर्ड मौजूद है, तो ब्राउज़र तुरंत साइन-इन डायलॉग में उपलब्ध खातों की सूची के साथ फ़्लो को मैनेज करता है.
इससे उपयोगकर्ता को साइन इन करने का तरीका चुनने की ज़रूरत नहीं पड़ती. चुने गए खाते के लिए क्रेडेंशियल को पहले से उपलब्ध कराकर, "एक टैप" की सुविधा दी जाती है. इससे उपयोगकर्ता को आसानी से लॉगिन करने में मदद मिलती है.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
लॉगिन के लिए, तुरंत दिखने वाला यूज़र इंटरफ़ेस (यूआई) मोड देखें.
पासकी के फ़ॉर्म में ऑटोमैटिक भरने की सुविधा: पासकी पर स्विच करते समय, फ़ॉर्म में ऑटोमैटिक भरने की सुविधा का इस्तेमाल करें
किसी वेबसाइट पर पासवर्ड से पासकी पर स्विच करने वाले उपयोगकर्ताओं के लिए, पासकी फ़ॉर्म में अपने-आप जानकारी भरने की सुविधा उपलब्ध है. इससे इनपुट फ़ील्ड पर फ़ोकस करने पर, पासकी ऑटोमैटिक भरने की सुविधा से मिलने वाले सुझावों में दिखती हैं. इसका मतलब है कि अगर किसी उपयोगकर्ता के पास पहले से ही पासकी है, तो साइन-इन फ़ॉर्म में उपयोगकर्ता नाम वाले फ़ील्ड पर फ़ोकस करते ही, उसे पासकी का इस्तेमाल करने का विकल्प दिखेगा. अगर वे ऐसा नहीं करते हैं, तो भी सेव किए गए पासवर्ड का इस्तेमाल किया जा सकता है.
इसे चालू करने के लिए, अपने उपयोगकर्ता नाम वाले फ़ील्ड को autocomplete="username webauthn" के साथ एनोटेट करें. साथ ही, जब navigator.credentials.get() को कॉल करें, तब mediation की वैल्यू को 'conditional' पर सेट करें.
बिना पासवर्ड के टेक्नोलॉजी का इस्तेमाल करने की सुविधा पर स्विच करने के दौरान, यह एक अहम पुल का काम करता है. ऐसा इसलिए, क्योंकि यह उपयोगकर्ताओं को उनके जाने-पहचाने इंटरफ़ेस में पासकी के बारे में जानकारी देता है.
पासकी की मदद से पुष्टि करने की चेकलिस्ट देखें.
पासकी को रणनीति के तहत अपनाना
अक्सर, अडॉप्शन का समय तय करना ज़रूरी होता है. किसी उपयोगकर्ता को सही समय पर पासकी सेट अप करने के लिए प्रॉम्प्ट करने से, पासकी सेट अप करने की संभावना काफ़ी बढ़ जाती है.
पासकी अपने-आप बनने की सुविधा
कोई भी व्यक्ति, लॉगिन करने का नया तरीका सेट अप करने के लिए, अपनी सुरक्षा सेटिंग में जाकर जानकारी नहीं ढूंढना चाहता. पासवर्ड का इस्तेमाल करने वाले मौजूदा उपयोगकर्ताओं को पासकी पर अपग्रेड करने के लिए, आपको कब और कैसे सूचना देनी चाहिए?
ऐसे में, पासकी अपने-आप बनने की सुविधा काम आती है. कंडीशनल क्रिएट की सुविधा की मदद से, ब्राउज़र पासवर्ड का इस्तेमाल करने वाले लोगों को पासकी पर अपने-आप अपग्रेड कर सकता है. ऐसा तब होता है, जब कोई व्यक्ति अपने पासवर्ड मैनेजर से लॉग इन करता है.
navigator.credentials.create() एपीआई को mediation: 'conditional' पास करने पर, ब्राउज़र एक नई पासकी जनरेट करता है. यह एपीआई, उपयोगकर्ता के हाल ही में पासवर्ड मैनेजर में सेव किए गए पासवर्ड का इस्तेमाल करके साइन-इन करने पर ट्रिगर होता है. इससे उपयोगकर्ता को अतिरिक्त सेटअप स्क्रीन पर जाने के लिए मजबूर नहीं किया जाता.
बिना किसी रुकावट के एनरोलमेंट का मतलब है कि लोगों को अपनी सुरक्षा को बेहतर बनाने के लिए, सोच-समझकर फ़ैसला नहीं लेना पड़ता. यह प्रोसेस अपने-आप होती है. इससे, उपयोगकर्ताओं को बिना किसी अतिरिक्त प्रयास के सुरक्षित रखा जाता है. उदाहरण के लिए, adidas को इस ज़ीरो-प्रॉम्प्ट रणनीति का इस्तेमाल करने से, पासकी बनाने वालों की संख्या में 8% की बढ़ोतरी देखने को मिली.
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
पासकी रजिस्टर करने की चेकलिस्ट देखें
पासकी मैनेजमेंट और मुश्किल परिस्थितियों में भी रिकवर करने की सुविधा
उपयोगकर्ताओं के लिए यह ज़रूरी है कि उनके क्रेडेंशियल, सभी डिवाइसों, वेबसाइटों, और सेवाओं पर आसानी से उपलब्ध हों. साथ ही, उन्हें मैनेज करने और यह पक्का करने में मदद मिलती है कि डिवाइस खो जाने या चोरी हो जाने पर, वे अपने खातों को वापस पा सकें.
क्रॉस-प्लैटफ़ॉर्म पर एक जैसा डेटा
अगर आपके पास एक से ज़्यादा प्रॉपर्टी हैं (उदाहरण के लिए, Android ऐप्लिकेशन और वेबसाइट या एक से ज़्यादा वेबसाइटें) और वे एक ही लॉगिन सिस्टम का इस्तेमाल करती हैं, तो अपने उपयोगकर्ताओं के लिए अनुभव को बेहतर बनाया जा सकता है. आसानी से क्रेडेंशियल शेयर करने की सुविधा की मदद से, पासवर्ड मैनेजर आपकी सभी प्रॉपर्टी पर उपयोगकर्ता को सही क्रेडेंशियल का सुझाव दे सकते हैं.
क्रेडेंशियल शेयर करने की सुविधा में दो टेक्नोलॉजी शामिल हैं: पासवर्ड के लिए Digital Asset Links और पासकी के लिए Related Origin Requests.
डिजिटल ऐसेट लिंक का इस्तेमाल करने से, यह पक्का किया जा सकता है कि वेब पर बनाए गए पासवर्ड, आपके Android ऐप्लिकेशन में उपलब्ध हों. साथ ही, यह भी पक्का किया जा सकता है कि Android ऐप्लिकेशन में बनाए गए पासवर्ड, वेब पर उपलब्ध हों. इससे पासवर्ड मैनेजर, आपके उन अलग-अलग डोमेन के लिए पहले से सेव किए गए क्रेडेंशियल का सुझाव दे सकते हैं जिनमें एक ही पुष्टि करने वाला बैकएंड शेयर किया जाता है.
मिलते-जुलते ऑरिजिन से किए गए अनुरोध का इस्तेमाल करके, अपने उपयोगकर्ता के क्रेडेंशियल मैनेजर के ज़रिए अलग-अलग डोमेन और ऐप्लिकेशन पर पासकी उपलब्ध कराएं.
यह एक और तरीका है, जिससे उपयोगकर्ताओं के लिए साइन-इन करने की प्रक्रिया को आसान बनाया जा सकता है.
उपयोगकर्ताओं को पासकी मैनेज करने वाला पेज उपलब्ध कराना
हमारा सुझाव है कि पासकी का बेहतर अनुभव देने के लिए, पासकी मैनेज करने वाला एक अलग पेज बनाएं. इसमें पासकी जारी करने वाली कंपनी के नाम, पासकी इस्तेमाल करने के समय, और कंट्रोल से जुड़ी जानकारी शामिल होनी चाहिए. इससे उपयोगकर्ताओं को अपनी सेटिंग को भरोसे के साथ मैनेज करने में मदद मिलती है. पारदर्शिता से भरोसा बढ़ता है.
पासकी मैनेज करने से जुड़ी चेकलिस्ट देखें.
खाता वापस पाने की बेहतर सुविधा
डिवाइस खो सकते हैं या अपग्रेड किए जा सकते हैं. पासकी, सुरक्षा के लिहाज़ से बेहतर होती हैं. ऐसा इसलिए, क्योंकि ये हार्डवेयर-लेवल की सुरक्षा का इस्तेमाल करती हैं. साथ ही, इन्हें आम तौर पर क्लाउड में सिंक किया जाता है, ताकि उपयोगकर्ता इन्हें किसी नए डिवाइस पर वापस पा सकें. हालांकि, पुष्टि किए गए ईमेल पते जैसे फ़ॉलबैक का इस्तेमाल करने से, यह पक्का किया जा सकता है कि आपके उपयोगकर्ताओं को कभी भी अपने डिजिटल जीवन का ऐक्सेस न खोना पड़े.
किसी व्यक्ति को सहायता डेस्क कॉल के लिए होल्ड पर रखने के बजाय, यह साबित किया जा सकता है कि वह मालिक है. इसके लिए, उन सिग्नल का इस्तेमाल करें जिन पर आपको पहले से भरोसा है. जैसे, आइडेंटिटी फ़ेडरेशन या ईमेल की पुष्टि.
इन सिग्नल को रिकवरी की रणनीति में शामिल करके, तुरंत ऐक्सेस वापस पाया जा सकता है. वापस आने पर, तुरंत एक नई पासकी रजिस्टर करें, ताकि उन्हें फ़िशिंग से फिर से सुरक्षित किया जा सके.
डीबीएससी की मदद से सेशन को सुरक्षित करना
उपयोगकर्ताओं को खाते के हैक होने से बचाने के लिए, उनकी सेशन कुकी को सुरक्षित रखना सुरक्षा की एक और ज़रूरी लेयर है. डिवाइस बाउंड सेशन क्रेडेंशियल (डीबीएससी) की मदद से, सेशन को हार्डवेयर से बाइंड किया जा सकता है. इससे सेशन हाइजैकिंग का खतरा कम हो जाता है. ऐसा इसलिए, क्योंकि कुकी चोरी हो जाने पर भी, सिर्फ़ वही डिवाइस कुकी को फिर से जारी करने का अनुरोध कर सकता है. इससे आपके सेशन में सुरक्षा की एक और लेयर जुड़ जाती है.
डीबीएससी, एक्सपेरिमेंट के तौर पर उपलब्ध एक सुविधा है. अब यह Windows पर उपलब्ध है. इस अपडेट के बारे में ज़्यादा जानने के लिए, Windows पर डिवाइस बाउंड सेशन के क्रेडेंशियल से जुड़ी सूचना पढ़ें. हम macOS पर भी डीबीएससी की सुविधा उपलब्ध कराने के लिए काम कर रहे हैं.
पासकी से जुड़ी एजेंट की स्किल
हमने मॉडर्न वेब गाइडेंस प्रोजेक्ट में, पासकी से जुड़ी ऐसी स्किल शामिल की हैं जिनमें इस पोस्ट में बताए गए कई पहलुओं को शामिल किया गया है. हम जल्द ही पासकी से जुड़ी खास बातों के बारे में एक ब्लॉग पोस्ट पब्लिश करेंगे.
क्या आप पुष्टि करने की सुविधा को बेहतर बनाने के लिए तैयार हैं?
ज़्यादा जानकारी देने वाली हमारी गाइड देखें और आज ही अपग्रेड करना शुरू करें: