पासकी, डिजिटल क्रेडेंशियल वगैरह की मदद से पुष्टि करने के तरीके को बेहतर बनाना

पब्लिश किया गया: 21 मई, 2026

हमने Google I/O 2026 में, वेब के लिए एक नए एक्सटेंशन को लॉन्च किया था, जिसे हमने "HTTPS everywhere" नाम दिया था. इस एक्सटेंशन की मदद से, वेब पर साइन इन करना आसान हो जाता है. यह एक सुरक्षित और आसान एंट्री पॉइंट होना चाहिए, जिससे लोगों को सुरक्षित महसूस हो. इस पोस्ट में, खाता बनाने की प्रोसेस को ठीक करने, उसमें आने वाली मुश्किलों को कम करने, और लोगों को शुरू से ही सुरक्षित रखने के बारे में बताया गया है.

क्विक ऐक्सेस

मॉडर्नाइज़ेशन क्यों ज़रूरी है

खाता बनाने की मुश्किल प्रोसेस (जैसे, साइन-अप के उलझे हुए फ़ॉर्म, "पासवर्ड भूल गए" वाला परेशान करने वाला लूप या साइन-इन बटन की लंबी सूची) लोगों को परेशान कर सकती है. ये "कॉन्टेक्स्ट-स्विच किलर" हैं, जिनकी वजह से लोग आपकी साइट या ऐप्लिकेशन का इस्तेमाल करना छोड़ सकते हैं. पुराने पासवर्ड और एक बार इस्तेमाल किए जा सकने वाले पासवर्ड (ओटीपी) की वजह से भी, लोग फ़िशिंग के शिकार हो सकते हैं.

खाता बनाने की प्रोसेस में आने वाली हर मुश्किल की वजह से, लोग आपकी साइट या ऐप्लिकेशन का इस्तेमाल करना छोड़ सकते हैं. पुष्टि करने की प्रोसेस को मॉडर्नाइज़ करने से, आपके सिस्टम और उपयोगकर्ताओं को सुरक्षा मिलती है. पहचान की पुष्टि करने की प्रोसेस के हर टचपॉइंट को आसान बनाने से, कन्वर्ज़न रेट अपने-आप बढ़ जाते हैं. उदाहरण के लिए, pixiv ने पासकी की सुविधा लागू करने के बाद, 99% लॉगिन सफलता दर हासिल की. यह पासवर्ड की तुलना में 29% बेहतर है. कमज़ोर क्रेडेंशियल के बजाय, पासकी का इस्तेमाल करने से, साइन-इन की प्रोसेस तेज़ और सुरक्षित हो जाती है.

खाता बनाने की प्रोसेस को आसान बनाना

उपयोगकर्ता जब पहली बार आपके ऐप्लिकेशन से इंटरैक्ट करता है, तो उसका अनुभव कैसा होता है, यह बहुत मायने रखता है. खाता बनाने की प्रोसेस को आसान बनाना, ऐप्लिकेशन को ज़्यादा लोगों तक पहुंचाने और सुरक्षा को बेहतर बनाने की दिशा में पहला कदम है.

पहचान फ़ेडरेशन को खाता बनाने के मुख्य तरीके के तौर पर इस्तेमाल करना

पहचान फ़ेडरेशन का इस्तेमाल करके, उपयोगकर्ताओं को खाता बनाने के मुश्किल फ़ॉर्म भरने से बचाया जा सकता है. इसकी मदद से, लोग Google जैसे भरोसेमंद सेवा देने वाली कंपनी की मदद से साइन अप कर सकते हैं. इससे, साइन-अप का बेहतर और आसान अनुभव मिलता है. साथ ही, लोग सामान्य रजिस्ट्रेशन की "मुश्किल" प्रोसेस के बिना, आपके ऐप्लिकेशन का इस्तेमाल कर पाते हैं.

फ़ेडरेशन का मतलब है कि उपयोगकर्ताओं को अपना नाम या ईमेल पता मैन्युअल तरीके से टाइप नहीं करना पड़ता. सेवा देने वाली कंपनी ने पहले ही उनकी पहचान की पुष्टि कर ली होती है. इसलिए, उन्हें अलग से पुष्टि करने के लिए, बार-बार एक ही प्रोसेस को दोहराने की ज़रूरत नहीं होती. इससे, ज़्यादा लोग आपके ऐप्लिकेशन का इस्तेमाल कर पाते हैं.

इसके अलावा, फ़ेडरेटेड आइडेंटिटी सॉल्यूशन को अपनाने से, आपको आईडीपी (आइडेंटिटी प्रोवाइडर) के सुरक्षा लेवल का फ़ायदा मिलता है. आईडीपी, पहचान और सुरक्षा के मामले में विशेषज्ञ होते हैं. इसलिए, उनके इन्फ़्रास्ट्रक्चर पर भरोसा करने से, पुष्टि करने की प्रोसेस को शुरू से बनाने का जोखिम खत्म हो जाता है.

Federated Credential Management (FedCM) API को अपनाना

अगर आप आईडीपी के तौर पर काम करते हैं, तो हमारा सुझाव है कि आप FedCM API को अपनाएं. यह ब्राउज़र के यूज़र इंटरफ़ेस (यूआई) के ज़रिए इंटरैक्शन को मैनेज करता है. इससे, उपयोगकर्ताओं को एक टैप से साइन-इन करने की सुविधा मिलती है. साथ ही, ट्रैकिंग को रोककर निजता को सुरक्षित रखा जाता है. इसके अलावा, सिर्फ़ काम के खाते दिखाकर यूज़र इंटरफ़ेस (यूआई) को साफ़-सुथरा रखा जाता है.

डेस्कटॉप पर FedCM साइन-इन का चालू मोड डायलॉग. इसमें उपयोगकर्ता से अपने खाते से साइन इन करने के लिए कहा जा रहा है. डायलॉग बॉक्स में, ब्रैंडिंग आइकॉन होता है. साथ ही, इसमें ये विकल्प होते हैं: IdP से मिले मौजूदा खाते से RP में लॉग इन करें, कोई दूसरा खाता चुनें या रद्द करें. डायलॉग बॉक्स बीच में होता है और यह पैसिव मोड वाले डायलॉग बॉक्स से बड़ा होता है.
FedCM: ऐक्टिव मोड यूज़र इंटरफ़ेस (यूआई) डायलॉग. FedCM के उपलब्ध यूज़र इंटरफ़ेस (यूआई) मोड के बारे में ज़्यादा जानें.

"फ़ेडरेट-देन-अपग्रेड" पैटर्न

फ़ेडरेट-देन-अपग्रेड, फ़ेडरेशन की स्पीड को पासकी की लंबी अवधि वाली सुरक्षा के साथ जोड़ता है. अगर फ़ेडरेटेड साइन-अप के तुरंत बाद, पासकी के लिए प्रॉम्प्ट किया जाता है, तो उपयोगकर्ता का अगला लॉगिन, पहले दिन से ही फ़िशिंग से सुरक्षित हो जाता है.

फ़ॉर्म को ऑटोमैटिक तरीके से भरने की सुविधा के लिए ऑप्टिमाइज़ करना

अगर मैन्युअल तरीके से फ़ॉर्म भरने की ज़रूरत है, तो name और id एट्रिब्यूट के बारे में जानकारी दें. साथ ही, autocomplete की सही वैल्यू का इस्तेमाल करें, ताकि ब्राउज़र उपयोगकर्ता के लिए फ़ील्ड भर सके. इससे, साइन-अप की प्रोसेस के दौरान, लोगों को कम सोचना पड़ता है और टाइपिंग की गलतियां होने की संभावना कम हो जाती है. फ़ॉर्म को ऑप्टिमाइज़ करने के बारे में ज़्यादा जानकारी के लिए, हमारे साइन-अप फ़ॉर्म के सबसे सही तरीके देखें.

<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">

<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">

एट्रिब्यूट की पुष्टि करने की प्रोसेस को आसान बनाना

उपयोगकर्ताओं को अपने ईमेल में कोड देखने के लिए, आपके ऐप्लिकेशन से बाहर जाने के लिए कहना, कन्वर्ज़न रेट को कम कर सकता है. कॉन्टेक्स्ट स्विच करने की वजह से, लोग भ्रमित हो जाते हैं और कभी वापस नहीं आते.

ईमेल पते की पुष्टि करने के प्रोटोकॉल (ईवीपी) के बारे में जानकारी

ईमेल पते की पुष्टि करने का प्रोटोकॉल ईमेल पते की पुष्टि करने का प्रोटोकॉल (ईवीपी) एक नई सुविधा है. इसकी मदद से, आपका ऐप्लिकेशन सीधे ब्राउज़र के ज़रिए, पुष्टि किया गया ईमेल पता हासिल कर सकता है.

इस सुविधा का इस्तेमाल करने के लिए, autocomplete="email-verification-token" एट्रिब्यूट और challenge के साथ, एक छिपा हुआ इनपुट फ़ील्ड जोड़ें. ब्राउज़र, इनपुट से ईमेल डोमेन को पार्स करता है और ईमेल जारी करने वाली कंपनी से अनुरोध करता है कि वह पुष्टि करे कि उपयोगकर्ता के पास इस ईमेल का कंट्रोल है. पुष्टि होने के बाद, ब्राउज़र, पुष्टि किए गए ईमेल का दावा दिखाता है. आपका बैकएंड इसकी तुरंत पुष्टि कर सकता है. उपयोगकर्ता के लिए, यह प्रोसेस आसानी से पूरी हो जाती है. उन्हें सिर्फ़ ईमेल की पुष्टि होने पर एक सूचना दिखती है.

ईवीपी की मदद से, साइन-इन, साइन-अप, और पासवर्ड रीसेट करने के लिए, लोगों को परेशान करने वाली प्रोसेस (जैसे, मैजिक लिंक या ईमेल ओटीपी) की ज़रूरत नहीं पड़ती.

<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">

ध्यान दें कि ईवीपी की सुविधा उपलब्ध कराना, ईमेल सेवा देने वाली कंपनियों पर निर्भर करता है. यह देखने के लिए कि आपकी ईमेल सेवा देने वाली कंपनी, ईवीपी की सुविधा उपलब्ध कराती है या नहीं, उनसे संपर्क करें. अगर आपके पास कोई कस्टम डोमेन है, तो उसे ईवीपी की सुविधा उपलब्ध कराने वाली ईमेल सेवा देने वाली कंपनी से कनेक्ट किया जा सकता है.

यह सुविधा अभी एक्सपेरिमेंट के तौर पर उपलब्ध है. इसलिए, GitHub repository में इस सुविधा के बारे में अपने सुझाव/राय दें या कोई समस्या आने पर शिकायत करें. इससे हमें इस सुविधा को बेहतर बनाने में मदद मिलेगी.

ईमेल पते की पुष्टि करने के प्रोटोकॉल (ईवीपी) की प्रोसेस का उदाहरण.

Digital Credentials API

संवेदनशील जानकारी के लिए, जैसे कि कानूनी नाम या उम्र, Digital Credentials API की मदद से, उपयोगकर्ता के वॉलेट से पुष्टि किया गया डेटा पाने का अनुरोध किया जा सकता है. इसके लिए, चुनिंदा जानकारी का खुलासा करने की सुविधा का इस्तेमाल करके, ब्राउज़र की मदद ली जाती है. इसका मतलब है कि उपयोगकर्ता की पूरी जन्म तारीख या कानूनी नाम की जानकारी पाए बिना, यह पुष्टि की जा सकती है कि उपयोगकर्ता की उम्र तय सीमा से ज़्यादा है. इससे, उपयोगकर्ता की निजता बनी रहती है.

Digital Credentials API: वेब पर पहचान की पुष्टि करने का सुरक्षित और निजी तरीका देखें.

आसानी से साइन-इन करने के लिए, पासकी की सुविधा लागू करना

पासकी, सिर्फ़ पासवर्ड का विकल्प नहीं है. यह फ़िशिंग से सुरक्षित पुष्टि करने की प्रोसेस की ओर एक बड़ा बदलाव है.

इमीडिएट यूज़र इंटरफ़ेस (यूआई) मोड

Chrome 149 से, इमीडिएट यूज़र इंटरफ़ेस (यूआई) मोड उपलब्ध है. इससे, वेबसाइट यह जांच सकती है कि उपयोगकर्ता के आपकी साइट पर आते ही, उसके क्रेडेंशियल उपलब्ध हैं या नहीं. अगर पासवर्ड मैनेजर में पासकी या पासवर्ड उपलब्ध है, तो ब्राउज़र तुरंत साइन-इन डायलॉग में उपलब्ध खातों की सूची के साथ, प्रोसेस को मैनेज करता है.

इससे, उपयोगकर्ता को साइन-इन का तरीका चुनने की ज़रूरत नहीं पड़ती. चुने गए खाते के लिए, क्रेडेंशियल को पहले से उपलब्ध कराकर, "एक टैप" वाला आसान अनुभव दिया जा सकता है. लोगों को यह अनुभव बहुत पसंद आता है.

const credential = await navigator.credentials.get({
  password: true,
  uiMode: 'immediate',
  publicKey: publicKeyObject,
});

लॉगिन के लिए, इमीडिएट यूज़र इंटरफ़ेस (यूआई) मोड देखें.

पासकी फ़ॉर्म को ऑटोमैटिक तरीके से भरने की सुविधा: पासवर्ड से पासकी पर माइग्रेट करते समय, फ़ॉर्म को ऑटोमैटिक तरीके से भरने की सुविधा का इस्तेमाल करना

पासवर्ड से पासकी पर माइग्रेट करने वाली वेबसाइटों के उपयोगकर्ताओं के लिए, पासकी फ़ॉर्म को ऑटोमैटिक तरीके से भरने की सुविधा उपलब्ध है. इससे, इनपुट फ़ील्ड पर फ़ोकस करने पर, पासकी, ऑटोमैटिक तरीके से भरने के सुझावों में दिखती हैं. इसका मतलब है कि अगर किसी उपयोगकर्ता के पास पहले से कोई पासकी है, तो साइन-इन फ़ॉर्म में उपयोगकर्ता नाम वाले फ़ील्ड पर फ़ोकस करते ही, वह पासकी दिख जाएगी. अगर उपयोगकर्ता के पास पासकी नहीं है, तो वह सेव किए गए पासवर्ड का इस्तेमाल कर सकता है.

फ़ॉर्म को ऑटोमैटिक तरीके से भरने की सुविधा की मदद से, पासकी चुनने का उदाहरण.

इसे चालू करने के लिए, अपने उपयोगकर्ता नाम वाले फ़ील्ड में autocomplete="username webauthn" एनोटेशन जोड़ें. साथ ही, mediation की वैल्यू को 'conditional' पर सेट करें जब आप navigator.credentials.get() को कॉल करें.

यह सुविधा, पासवर्ड के बिना साइन-इन करने की सुविधा पर माइग्रेट करने के दौरान, एक अहम पुल का काम करती है. इसकी मदद से, उपयोगकर्ता पासकी के बारे में जान पाते हैं. साथ ही, उन्हें एक जाना-पहचाना इंटरफ़ेस मिलता है.

पासकी की मदद से पुष्टि करने की प्रोसेस से जुड़ी चेकलिस्ट देखें.

पासकी की सुविधा को लागू करने के लिए रणनीति बनाना

पासकी की सुविधा को लागू करने के लिए, सही समय चुनना ज़रूरी है. सही समय पर उपयोगकर्ता को पासकी की सुविधा के बारे में बताने से, पासकी का इस्तेमाल करने की संभावना बढ़ सकती है.

पासकी अपने-आप जनरेट होने की सुविधा

कोई भी व्यक्ति, लॉगिन का नया तरीका सेट अप करने के लिए, अपनी सुरक्षा सेटिंग में जाकर जानकारी नहीं ढूंढना चाहता. पासवर्ड का इस्तेमाल करने वाले मौजूदा उपयोगकर्ताओं को, पासकी पर अपग्रेड करने के लिए कब और कैसे प्रॉम्प्ट किया जाना चाहिए?

ऐसे में, पासकी अपने-आप जनरेट होने की सुविधा काम आती है. कंडीशनल क्रिएट की मदद से, ब्राउज़र, पासवर्ड का इस्तेमाल करने वाले उपयोगकर्ताओं को पासकी पर अपने-आप अपग्रेड कर सकता है. ऐसा तब होता है, जब कोई उपयोगकर्ता अपने पासवर्ड मैनेजर से लॉगिन करता है.

कंडीशनल क्रिएट के साथ, पासकी के लिए अनुरोध करने की प्रोसेस.

mediation: 'conditional' को navigator.credentials.create() API पास करने पर, ब्राउज़र, पासकी को अपने-आप जनरेट करता है. इसके लिए, उपयोगकर्ता को सेटअप की अतिरिक्त स्क्रीन पर जाने की ज़रूरत नहीं पड़ती. यह API तब ट्रिगर होता है, जब उपयोगकर्ता हाल ही में पासवर्ड मैनेजर में सेव किए गए पासवर्ड का इस्तेमाल करके, सफलतापूर्वक साइन-इन करता है.

बिना किसी मुश्किल के एनरोलमेंट का मतलब है कि उपयोगकर्ताओं को अपनी सुरक्षा को बेहतर बनाने के लिए, कोई खास कार्रवाई नहीं करनी पड़ती. यह प्रोसेस अपने-आप होती है. इससे, उपयोगकर्ताओं को बिना किसी अतिरिक्त प्रयास के सुरक्षा मिलती है. उदाहरण के लिए, adidas ने इस रणनीति का इस्तेमाल करके, पासकी बनाने की दर में 8% की बढ़ोतरी हासिल की.

await navigator.credentials.create({
  mediation: 'conditional',
  publicKey: { ... },
});

पासकी रजिस्ट्रेशन चेकलिस्ट देखें

पासकी मैनेज करना और खाता वापस पाने की सुविधा को बेहतर बनाना

यह ज़रूरी है कि उपयोगकर्ताओं के क्रेडेंशियल, डिवाइसों, वेबसाइटों, और सेवाओं पर आसानी से उपलब्ध हों. साथ ही, उन्हें मैनेज किया जा सके और यह पक्का किया जा सके कि डिवाइस खो जाने या चोरी हो जाने पर, वे अपने खाते वापस पा सकें.

क्रॉस-प्लैटफ़ॉर्म पर एक जैसा अनुभव

अगर आपके पास एक से ज़्यादा प्रॉपर्टी हैं (उदाहरण के लिए, Android ऐप्लिकेशन और वेबसाइट या एक से ज़्यादा वेबसाइट) और वे सभी एक ही लॉगिन सिस्टम का इस्तेमाल करती हैं, तो अपने उपयोगकर्ताओं के लिए अनुभव को बेहतर बनाया जा सकता है. क्रेडेंशियल शेयर करने की आसान सुविधा की मदद से, पासवर्ड मैनेजर, आपकी सभी प्रॉपर्टी पर आपके उपयोगकर्ता को सही क्रेडेंशियल का सुझाव दे सकते हैं.

क्रेडेंशियल शेयर करने की आसान सुविधा में दो टेक्नोलॉजी शामिल हैं: पासवर्ड के लिए Digital Asset Links और पासकी के लिए Related Origin Requests.

Digital Asset Links का इस्तेमाल करने से, वेब पर बनाए गए पासवर्ड आपके Android ऐप्लिकेशन में उपलब्ध होते हैं. साथ ही, Android ऐप्लिकेशन में बनाए गए पासवर्ड वेब पर उपलब्ध होते हैं. इससे, पासवर्ड मैनेजर, आपके अलग-अलग डोमेन पर पहले से सेव किए गए क्रेडेंशियल का सुझाव दे सकते हैं. ये डोमेन, एक ही पुष्टि करने वाले बैकएंड का इस्तेमाल करते हैं.

Related Origin Requests का इस्तेमाल करके, अपने उपयोगकर्ता के क्रेडेंशियल मैनेजर के ज़रिए, अलग-अलग डोमेन और ऐप्लिकेशन पर पासकी उपलब्ध कराएं.

यह एक और तरीका है, जिससे अपने उपयोगकर्ताओं के लिए साइन-इन के अनुभव को बेहतर बनाया जा सकता है.

उपयोगकर्ताओं को पासकी मैनेज करने वाला पेज उपलब्ध कराना

पासकी मैनेज करने वाले पेज का उदाहरण. इसमें सबसे सही तरीके दिखाए गए हैं.

पासकी का बेहतर अनुभव देने के लिए, हमारा सुझाव है कि पासकी मैनेज करने के लिए एक अलग पेज बनाएं. इसमें, सेवा देने वाली कंपनियों के नाम, इस्तेमाल के समय, और कंट्रोल की जानकारी साफ़ तौर पर दिखनी चाहिए. इससे, उपयोगकर्ताओं को अपनी सेटिंग मैनेज करने में मदद मिलती है. पारदर्शिता से लोगों का भरोसा बढ़ता है.

पासकी मैनेज करने की चेकलिस्ट देखें.

खाता वापस पाने की सुविधा को बेहतर बनाना

डिवाइस खो सकते हैं या अपग्रेड किए जा सकते हैं. पासकी, सुरक्षा के मामले में बेहतर होती हैं, क्योंकि इनमें हार्डवेयर-लेवल की सुरक्षा का इस्तेमाल किया जाता है. साथ ही, इन्हें आम तौर पर क्लाउड में सिंक किया जाता है. इससे, उपयोगकर्ता इन्हें नए डिवाइस पर वापस ला सकते हैं. हालांकि, पुष्टि किए गए ईमेल पते जैसे फ़ॉल बैक का इस्तेमाल करने से, यह पक्का किया जा सकता है कि आपके उपयोगकर्ता, अपने डिजिटल लाइफ़ को कभी भी ऐक्सेस न कर पाएं.

हेल्प डेस्क पर कॉल करने के लिए, किसी व्यक्ति को इंतज़ार कराने के बजाय, यह पुष्टि की जा सकती है कि वह व्यक्ति, खाता वापस पाने का अनुरोध करने वाला व्यक्ति ही है. इसके लिए, उन सिग्नल का इस्तेमाल किया जा सकता है जिन पर आपको भरोसा है. जैसे, आइडेंटिटी फ़ेडरेशन या ईमेल पते की पुष्टि.

इन सिग्नल को खाता वापस पाने की रणनीति में शामिल करके, तुरंत ऐक्सेस वापस दिया जा सकता है. खाता वापस पाने के बाद, तुरंत एक नई पासकी रजिस्टर करें, ताकि उपयोगकर्ता को फिर से फ़िशिंग से बचाया जा सके.

डीबीएससी की मदद से सेशन को सुरक्षित रखना

उपयोगकर्ताओं को खाता हैक होने से बचाने के लिए, उनके सेशन कुकी को सुरक्षित रखना, सुरक्षा की एक और अहम लेयर है. डिवाइस बाउंड सेशन क्रेडेंशियल (डीबीएससी) की मदद से, सेशन को हार्डवेयर से बाइंड किया जा सकता है. इससे, सेशन हैक होने की संभावना कम हो जाती है, क्योंकि अगर कुकी चोरी हो जाती है, तो सिर्फ़ वही डिवाइस कुकी को फिर से जारी करने का अनुरोध कर सकता है. इससे, आपके सेशन में सुरक्षा की एक और लेयर जुड़ जाती है.

डीबीएससी, एक्सपेरिमेंट के तौर पर उपलब्ध एक सुविधा है. यह अब Windows पर उपलब्ध है. इस अपडेट के बारे में ज़्यादा जानने के लिए, Windows पर डिवाइस बाउंड सेशन क्रेडेंशियल की सुविधा उपलब्ध होने की सूचना देखें. हम macOS पर भी डीबीएससी की सुविधा उपलब्ध कराने के लिए काम कर रहे हैं.

पासकी एजेंट की स्किल

हमने Modern Web Guidance प्रोजेक्ट में, पासकी की स्किल शामिल की हैं. इनमें इस पोस्ट में बताए गए कई पहलुओं को शामिल किया गया है. हम जल्द ही पासकी की स्किल के बारे में एक ब्लॉग पोस्ट पब्लिश करेंगे.

क्या आप पुष्टि करने की प्रोसेस के आने वाले समय के लिए तैयार हैं?

ज़्यादा जानकारी वाली हमारी गाइड देखें और आज ही मॉडर्नाइज़ेशन शुरू करें: