AEP নির্দেশিকা: ফিশিং প্রতিরোধী প্রমাণীকরণ

বিদ্যমান যেকোনো সাইন-ইন পদ্ধতির পাশাপাশি, একটি ফিশিং-প্রতিরোধী প্রমাণীকরণ পদ্ধতি প্রয়োগ করুন, বিশেষত FIDO বা WebAuthn-ভিত্তিক পাসকি, অথবা Sign in with Google-এর মতো কোনো স্বীকৃত ফেডারেটেড আইডেন্টিটি প্রোভাইডারের সিঙ্গেল সাইন-অন ব্যবহার করুন।

এই নির্দেশিকাটি পাসওয়ার্ডের একঘেয়েমি, ক্রেডেনশিয়াল স্টাফিং এবং ফিশিং-এর মতো দুর্বলতাগুলো প্রশমিত করার মাধ্যমে আপনার অ্যাপকে সুরক্ষিত করে এবং ব্যবহারকারীর সাইন-ইন প্রক্রিয়াকে সহজ করে।

প্রয়োজনীয় বাস্তবায়ন

AEP-এর জন্য যোগ্যতা অর্জন করতে হলে, আপনার অ্যাপটিকে অবশ্যই সাইন-ইন করার সময় একইভাবে সুস্পষ্টভাবে অন্তত একটি অনুমোদিত ফিশিং-প্রতিরোধী প্রমাণীকরণ পদ্ধতি (পাসকি বা কোনো অনুমোদিত সিঙ্গেল সাইন-অন প্রদানকারী) সফলভাবে প্রদান করতে হবে।

পাসকি-এর ক্ষেত্রে, ক্রেডেনশিয়াল ম্যানেজার এপিআই (Credential Manager API)-এর মাধ্যমে পাসকি তৈরি ও পুনরুদ্ধার করে এটি যাচাই করা হয়।
যেসব অ্যাপ 'সাইন-ইন উইথ গুগল' ব্যবহার করে, সেগুলোকে অবশ্যই ক্রেডেনশিয়াল ম্যানেজার এপিআই (Credential Manager API)-এর মাধ্যমে ইন্টিগ্রেট করতে হবে। যদিও অন্যান্য অনুমোদিত এসএসও (SSO) প্রোভাইডারও গ্রহণযোগ্য, 'সাইন-ইন উইথ গুগল' ব্যবহারেরই সুপারিশ করা হয়, কারণ এটি একটি আধুনিক অথেনটিকেশন ফ্লো প্রদান করে যা ব্যবহারকারীদের ফিশিং থেকে সুরক্ষিত রাখার পাশাপাশি একটি সামঞ্জস্যপূর্ণ ও ক্রস-প্ল্যাটফর্ম অভিজ্ঞতা নিশ্চিত করে।

নির্দেশিকা প্রযোজ্যতা

এই নির্দেশিকাটি নিম্নলিখিত ক্ষেত্রে প্রযোজ্য:

যেসব অ্যাপ AEP-এর জন্য যোগ্যতা অর্জন করতে চায় এবং ব্যবহারকারীর সাইন-ইন প্রয়োজন।
ফোন, ট্যাবলেট, ফোল্ডেবল, এক্সআর, ওয়্যার এবং অটো ফর্ম ফ্যাক্টর।

ছাড়

এই নির্দেশিকাটি সেইসব অ্যাপের ক্ষেত্রে প্রযোজ্য নয় যেগুলি ব্যবহারকারী প্রমাণীকরণ বা সাইন-ইন করা অবস্থা সমর্থন করে না।

এছাড়াও, যদি আপনি মনে করেন যে স্বীকৃত প্রোভাইডারদের পাশাপাশি বিকল্প ফেডারেটেড আইডেন্টিটি প্রোভাইডারদেরও বিবেচনা করা উচিত, তাহলে আপনি এখানে মূল্যায়নের জন্য সেগুলো জমা দিতে পারেন।

SSO-এর জন্য অনুমোদিত ফেডারেটেড আইডেন্টিটি প্রোভাইডার

সিঙ্গেল সাইন-অন আবশ্যকতার জন্য নিম্নলিখিত কনজিউমার ফেডারেটেড আইডেন্টিটি প্রোভাইডারগুলো গৃহীত হয়:

গুগল দিয়ে সাইন ইন করুন
অ্যাপল দিয়ে সাইন ইন করুন
মাইক্রোসফট অ্যাকাউন্ট (ভোক্তা)
শপ.অ্যাপ
অ্যামাজন লগইন
গিটহাব লগইন
ডিসকর্ড সাইন-ইন
লাইন বা কাকাও লগইন
WeChat লগইন
ফেসবুক লগইন

ফেডারেল পরিচয় ইকোসিস্টেমের বিবর্তনের সাথে সাথে এই তালিকাটি পর্যায়ক্রমে পর্যালোচনা করা হয়। মূল্যায়নের মানদণ্ডগুলো হলো:

ব্যবহারকারীর নিরাপত্তা এবং গোপনীয়তা নিয়ন্ত্রণ
ডেভেলপার এবং ইন্টিগ্রেশন অভিজ্ঞতা (নেটিভ অ্যান্ড্রয়েড ক্রেডেনশিয়াল ম্যানেজার এপিআই এবং ওপেন-স্ট্যান্ডার্ডের সাথে সামঞ্জস্যপূর্ণ)
সক্রিয় ভোক্তা পদচিহ্ন

বৈশিষ্ট্য ডকুমেন্টেশন এবং রিসোর্স

নিম্নলিখিত রিসোর্সগুলিতে ফিশিং-প্রতিরোধী প্রমাণীকরণের বাস্তবায়ন নির্দেশিকা এবং প্রযুক্তিগত বিবরণ দেওয়া হয়েছে। এই রিসোর্সগুলি শুধুমাত্র আপনার তথ্যের জন্য এবং এগুলিতে প্রোগ্রামের জন্য কোনো অতিরিক্ত আবশ্যকতা নেই।