Découvrez comment Yahoo! Le Japon a créé un système d'identité sans mot de passe.
Yahoo! JAPAN est l'une des plus grandes entreprises de médias au Japon. Elle propose des services tels que la recherche, l'actualité, l'e-commerce et l'e-mail. Plus de 50 millions d'utilisateurs se connectent à Yahoo!. JAPAN chaque mois.
Au fil des ans, de nombreuses attaques ont été perpétrées contre des comptes utilisateur et des problèmes ont entraîné la perte d'accès à des comptes. La plupart de ces problèmes étaient liés à l'utilisation de mots de passe pour l'authentification.
Grâce aux récentes avancées technologiques en matière d'authentification, Yahoo! JAPAN a décidé de passer de l'authentification par mot de passe à l'authentification sans mot de passe.
Pourquoi l'authentification sans mot de passe ?
Étant donné que Yahoo! JAPAN propose des services d'e-commerce et d'autres services liés à l'argent, il existe un risque de préjudice important pour les utilisateurs en cas d'accès non autorisé ou de perte de compte.
Les attaques les plus courantes liées aux mots de passe étaient les attaques par liste de mots de passe et les tentatives d'hameçonnage. Les attaques par liste de mots de passe sont courantes et efficaces, car de nombreuses personnes ont l'habitude d'utiliser le même mot de passe pour plusieurs applications et sites Web.
Les chiffres suivants sont les résultats d'une enquête menée par Yahoo!. JAPON.
50 %
utiliser le même identifiant et le même mot de passe sur au moins six sites ;
60 %
Utiliser le même mot de passe sur plusieurs sites
70 %
utiliser un mot de passe comme méthode de connexion principale ;
Les utilisateurs oublient souvent leurs mots de passe, ce qui représente la majorité des demandes liées aux mots de passe. Nous avons également reçu des demandes d'utilisateurs qui avaient oublié leurs identifiants de connexion et leurs mots de passe. À leur apogée, ces demandes représentaient plus d'un tiers de toutes les demandes liées aux comptes.
En passant à l'authentification sans mot de passe, Yahoo! L'objectif de JAPAN était d'améliorer non seulement la sécurité, mais aussi la facilité d'utilisation, sans imposer de charge supplémentaire aux utilisateurs.
D'un point de vue de la sécurité, l'élimination des mots de passe du processus d'authentification des utilisateurs réduit les dommages causés par les attaques basées sur des listes. D'un point de vue de la facilité d'utilisation, la fourniture d'une méthode d'authentification qui ne repose pas sur la mémorisation de mots de passe évite les situations où un utilisateur ne peut pas se connecter parce qu'il a oublié son mot de passe.
Yahoo! Initiatives de Yahoo! Japan en faveur de l'authentification sans mot de passe
Yahoo! Le JAPON prend un certain nombre de mesures pour promouvoir l'authentification sans mot de passe, qui peuvent être divisées en trois catégories :
- Fournissez un autre moyen d'authentification que les mots de passe.
- Désactivation du mot de passe.
- Enregistrement de compte sans mot de passe.
Les deux premières initiatives s'adressent aux utilisateurs existants, tandis que l'inscription sans mot de passe s'adresse aux nouveaux utilisateurs.
1. Fournir un moyen d'authentification autre que les mots de passe
Yahoo! JAPAN propose les alternatives suivantes aux mots de passe.
Nous proposons également des méthodes d'authentification telles que l'authentification par e-mail, le mot de passe associé à un code OTP (mot de passe à usage unique) par SMS et le mot de passe associé à un code OTP par e-mail.
Authentification par SMS
L'authentification par SMS est un système qui permet à un utilisateur enregistré de recevoir un code d'authentification à six chiffres par SMS. Une fois que l'utilisateur a reçu le SMS, il peut saisir le code d'authentification dans l'application ou sur le site Web.
Apple autorise depuis longtemps iOS à lire les messages et à suggérer des codes d'authentification à partir du corps du texte. Depuis peu, il est possible d'utiliser des suggestions en spécifiant "one-time-code" dans l'attribut autocomplete de l'élément input. Chrome sur Android, Windows et Mac peut offrir la même expérience à l'aide de l'API WebOTP.
Exemple :
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Les deux approches sont conçues pour prévenir l'hameçonnage en incluant le domaine dans le corps du SMS et en ne fournissant des suggestions que pour le domaine spécifié.
Pour en savoir plus sur l'API WebOTP et autocomplete="one-time-code", consultez les bonnes pratiques concernant les formulaires de code OTP par SMS.
FIDO avec WebAuthn
FIDO avec WebAuthn utilise un authentificateur matériel pour générer une paire de clés de chiffrement publiques et prouver la possession. Lorsqu'un smartphone est utilisé comme authentificateur, il peut être combiné à l'authentification biométrique (capteurs d'empreinte digitale ou reconnaissance faciale, par exemple) pour effectuer une authentification à deux facteurs en une seule étape. Dans ce cas, seuls la signature et l'indication de réussite de l'authentification biométrique sont envoyées au serveur. Il n'y a donc aucun risque de vol de données biométriques.
Le schéma suivant illustre la configuration client-serveur pour FIDO. L'authentificateur client authentifie l'utilisateur à l'aide de données biométriques et signe le résultat à l'aide de la cryptographie à clé publique. La clé privée utilisée pour créer la signature est stockée de manière sécurisée dans un TEE (Trusted Execution Environment) ou un emplacement similaire. Un fournisseur de services qui utilise FIDO est appelé RP (relying party).
Une fois l'utilisateur authentifié (généralement à l'aide d'un scan biométrique ou d'un code), l'authentificateur utilise une clé privée pour envoyer un signal de validation signé au navigateur. Le navigateur partage ensuite ce signal avec le site Web du RP.
Le site Web du RP envoie ensuite le signal de validation signé au serveur du RP, qui valide la signature par rapport à la clé publique pour terminer l'authentification.
Pour en savoir plus, consultez les consignes d'authentification de la FIDO Alliance.
Yahoo! JAPON : FIDO est compatible avec Android (application mobile et Web), iOS (application mobile et Web), Windows (Edge, Chrome, Firefox) et macOS (Safari, Chrome). En tant que service destiné aux consommateurs, FIDO peut être utilisé sur presque tous les appareils, ce qui en fait une bonne option pour promouvoir l'authentification sans mot de passe.
Yahoo! JAPAN recommande aux utilisateurs de s'inscrire à FIDO avec WebAuthn, s'ils ne se sont pas déjà authentifiés par d'autres moyens. Lorsqu'un utilisateur doit se connecter avec le même appareil, il peut s'authentifier rapidement à l'aide d'un capteur biométrique.
Les utilisateurs doivent configurer l'authentification FIDO sur tous les appareils qu'ils utilisent pour se connecter à Yahoo!. JAPON.
Pour promouvoir l'authentification sans mot de passe et tenir compte des utilisateurs qui abandonnent les mots de passe, nous proposons plusieurs moyens d'authentification. Cela signifie que différents utilisateurs peuvent avoir des paramètres de méthode d'authentification différents, et que les méthodes d'authentification qu'ils peuvent utiliser peuvent varier d'un navigateur à l'autre. Nous pensons qu'il est préférable que les utilisateurs se connectent à chaque fois avec la même méthode d'authentification.
Pour répondre à ces exigences, il est nécessaire de suivre les méthodes d'authentification précédentes et d'associer ces informations au client en les stockant sous forme de cookies, etc. Nous pouvons ensuite analyser la façon dont les différents navigateurs et applications sont utilisés pour l'authentification. L'utilisateur est invité à fournir une authentification appropriée en fonction de ses paramètres, des méthodes d'authentification précédentes utilisées et du niveau d'authentification minimal requis.
2. Désactivation du mot de passe
Yahoo! JAPAN demande aux utilisateurs de configurer une autre méthode d'authentification, puis de désactiver leur mot de passe pour qu'il ne puisse pas être utilisé. En plus de configurer une authentification alternative, la désactivation de l'authentification par mot de passe (qui empêche donc la connexion avec un mot de passe uniquement) permet de protéger les utilisateurs contre les attaques par liste.
Nous avons pris les mesures suivantes pour encourager les utilisateurs à désactiver leurs mots de passe.
- Promouvoir d'autres méthodes d'authentification lorsque les utilisateurs réinitialisent leur mot de passe.
- Encouragez les utilisateurs à configurer des méthodes d'authentification faciles à utiliser (comme FIDO) et à désactiver les mots de passe pour les situations qui nécessitent une authentification fréquente.
- Inviter les utilisateurs à désactiver leurs mots de passe avant d'utiliser des services à haut risque, tels que les paiements d'e-commerce.
Si un utilisateur oublie son mot de passe, il peut récupérer son compte. Auparavant, cela impliquait de réinitialiser le mot de passe. Les utilisateurs peuvent désormais choisir de configurer une autre méthode d'authentification, et nous les encourageons à le faire.
3. Création d'un compte sans mot de passe
Les nouveaux utilisateurs peuvent créer un compte Yahoo! sans mot de passe. JAPAN. Les utilisateurs doivent d'abord s'inscrire avec une authentification par SMS. Une fois qu'il s'est connecté, nous encourageons l'utilisateur à configurer l'authentification FIDO.
Étant donné que FIDO est un paramètre par appareil, il peut être difficile de récupérer un compte si l'appareil devient inutilisable. Nous demandons donc aux utilisateurs de conserver leur numéro de téléphone enregistré, même après avoir configuré une authentification supplémentaire.
Principaux défis de l'authentification sans mot de passe
Les mots de passe reposent sur la mémoire humaine et sont indépendants des appareils. En revanche, les méthodes d'authentification introduites jusqu'à présent dans notre initiative sans mot de passe dépendent de l'appareil. Cela pose plusieurs problèmes.
Lorsque plusieurs appareils sont utilisés, certains problèmes d'usabilité peuvent se produire :
- Lorsqu'ils utilisent l'authentification par SMS pour se connecter depuis un ordinateur, les utilisateurs doivent vérifier si des SMS sont arrivés sur leur téléphone mobile. Cela peut être gênant, car le téléphone de l'utilisateur doit être disponible et facilement accessible à tout moment.
- Avec FIDO, en particulier avec les authentificateurs de plate-forme, un utilisateur disposant de plusieurs appareils ne pourra pas s'authentifier sur les appareils non enregistrés. L'inscription doit être effectuée pour chaque appareil qu'il compte utiliser.
L'authentification FIDO est liée à des appareils spécifiques, qui doivent rester en la possession de l'utilisateur et actifs.
- Si le contrat de service est résilié, il ne sera plus possible d'envoyer de messages SMS au numéro de téléphone enregistré.
- FIDO stocke les clés privées sur un appareil spécifique. Si l'appareil est perdu, ces clés sont inutilisables.
Yahoo! JAPAN prend diverses mesures pour résoudre ces problèmes.
La solution la plus importante consiste à encourager les utilisateurs à configurer plusieurs méthodes d'authentification. Cela permet d'accéder à votre compte d'une autre manière en cas de perte de vos appareils. Comme les clés FIDO dépendent de l'appareil, il est également recommandé d'enregistrer les clés privées FIDO sur plusieurs appareils.
Les utilisateurs peuvent également utiliser l'API WebOTP pour transmettre les codes de validation par SMS d'un téléphone Android à Chrome sur un PC.
Nous pensons qu'il sera encore plus important de résoudre ces problèmes à mesure que l'authentification sans mot de passe se généralisera.
Promouvoir l'authentification sans mot de passe
Yahoo! Le JAPON travaille sur ces initiatives sans mot de passe depuis 2015. Cela a commencé par l'obtention de la certification du serveur FIDO en mai 2015, suivie de l'introduction de l'authentification par SMS, d'une fonctionnalité de désactivation des mots de passe et de la prise en charge de FIDO pour chaque appareil.
Aujourd'hui, plus de 30 millions d'utilisateurs actifs mensuels ont déjà désactivé leurs mots de passe et utilisent des méthodes d'authentification sans mot de passe. Yahoo! Au JAPON, la prise en charge de FIDO a commencé avec Chrome sur Android, et plus de 10 millions d'utilisateurs ont désormais configuré l'authentification FIDO.
Suite à la décision de Yahoo! JAPAN, le pourcentage de demandes concernant des identifiants ou des mots de passe oubliés a diminué de 25 % par rapport à la période où le nombre de ces demandes était le plus élevé. Nous avons également pu confirmer que les accès non autorisés ont diminué en raison de l'augmentation du nombre de comptes sans mot de passe.
Comme FIDO est très facile à configurer, son taux de conversion est particulièrement élevé. En effet, Yahoo! JAPAN a constaté que le taux de conversion de FIDO est plus élevé que celui de l'authentification par SMS.
25 %
Diminution des demandes d'identifiants oubliés
74 %
Les utilisateurs réussissent l'authentification FIDO
65%
Réussir la validation par SMS
FIDO présente un taux de réussite plus élevé que l'authentification par SMS, ainsi que des temps d'authentification moyens et médians plus rapides. En ce qui concerne les mots de passe, certains groupes ont des temps d'authentification courts, et nous pensons que cela est dû à autocomplete="current-password" du navigateur.
La plus grande difficulté pour proposer des comptes sans mot de passe n'est pas l'ajout de méthodes d'authentification, mais la popularisation de l'utilisation des authentificateurs. Si l'expérience d'utilisation d'un service sans mot de passe n'est pas conviviale, la transition ne sera pas facile.
Nous pensons que pour améliorer la sécurité, nous devons d'abord améliorer la facilité d'utilisation, ce qui nécessitera des innovations uniques pour chaque service.
Conclusion
L'authentification par mot de passe est risquée en termes de sécurité et pose également des problèmes en termes d'usabilité. Maintenant que les technologies prenant en charge l'authentification sans mot de passe, telles que l'API WebOTP et FIDO, sont plus largement disponibles, il est temps de commencer à travailler sur l'authentification sans mot de passe.
Chez Yahoo!, Au JAPON, cette approche a eu un effet certain sur l'usabilité et la sécurité. Toutefois, de nombreux utilisateurs utilisent encore des mots de passe. Nous continuerons donc à les encourager à passer à des méthodes d'authentification sans mot de passe. Nous continuerons également d'améliorer nos produits pour optimiser l'expérience utilisateur avec les méthodes d'authentification sans mot de passe.
Photo par olieman.eth sur Unsplash