מידע על האופן שבו Yahoo! ביפן בנו מערכת זהויות ללא סיסמה.
Yahoo! JAPAN היא אחת מחברות המדיה הגדולות ביפן, שמספקת שירותים כמו חיפוש, חדשות, מסחר אלקטרוני ואימייל. יותר מ-50 מיליון משתמשים מתחברים ל-Yahoo! שירותים ביפן מדי חודש.
במהלך השנים היו הרבה מתקפות על חשבונות משתמשים ובעיות שהובילו לאובדן גישה לחשבון. רוב הבעיות האלה קשורות לשימוש בסיסמאות לצורך אימות.
בעקבות התפתחויות טכנולוגיות בתחום האימות, Yahoo! ביפן הוחלט לעבור מאימות שמבוסס על סיסמה לאימות ללא סיסמה.
למה כדאי להשתמש בשיטה ללא סיסמה?
כ-Yahoo! ביפן מוצעים שירותי מסחר אלקטרוני ושירותים אחרים שקשורים לכסף, ויש סיכון לנזק משמעותי למשתמשים במקרה של גישה לא מורשית או אובדן חשבון.
המתקפות הנפוצות ביותר שקשורות לסיסמאות היו מתקפות של רשימות סיסמאות והונאות פישינג. אחת הסיבות לכך שהתקפות של רשימות סיסמאות נפוצות ויעילות היא ההרגל של אנשים רבים להשתמש באותה סיסמה לכמה אפליקציות ואתרים.
הנתונים הבאים הם תוצאות של סקר שנערך על ידי Yahoo! יפן.
50 %
משתמשים באותו מזהה ובאותה סיסמה בשישה אתרים או יותר
60 %
שימוש באותה סיסמה בכמה אתרים
70 %
להשתמש בסיסמה כדרך העיקרית להתחבר
משתמשים שוכחים את הסיסמאות שלהם לעיתים קרובות, וזה היה הגורם לרוב הפניות בנושא סיסמאות. היו גם פניות ממשתמשים ששכחו את מזהי הכניסה שלהם, בנוסף לסיסמאות. בשיא שלהן, הפניות האלה היוו יותר משליש מכל הפניות שקשורות לחשבון.
כשעוברים לשימוש ללא סיסמה, Yahoo! יפן שאפה לשפר לא רק את האבטחה, אלא גם את השימושיות, בלי להטיל עומס נוסף על המשתמשים.
מבחינת אבטחה, ביטול הסיסמאות מתהליך אימות המשתמשים מצמצם את הנזק שנגרם כתוצאה מהתקפות שמבוססות על רשימות. מבחינת שימושיות, מתן שיטת אימות שלא מסתמכת על זכירת סיסמאות מונע מצבים שבהם משתמש לא מצליח להיכנס לחשבון כי הוא שכח את הסיסמה.
Yahoo! יוזמות ללא סיסמאות ביפן
Yahoo! ביפן ננקטים מספר צעדים לקידום אימות ללא סיסמה, שאפשר לחלק אותם לשלוש קטגוריות רחבות:
- לספק אמצעי אימות חלופי לסיסמאות.
- השבתת הסיסמה.
- הרשמה לחשבון ללא סיסמה.
שתי היוזמות הראשונות מיועדות למשתמשים קיימים, ואילו ההרשמה ללא סיסמה מיועדת למשתמשים חדשים.
1. מתן אמצעי אימות חלופיים לסיסמאות
Yahoo! ביפן, יש חלופות לסיסמאות.
בנוסף, אנחנו מציעים גם שיטות אימות כמו אימות אימייל, סיסמה בשילוב עם סיסמה חד-פעמית (OTP) ב-SMS וסיסמה בשילוב עם סיסמה חד-פעמית באימייל.
אימות באמצעות SMS
אימות באמצעות SMS הוא מערכת שמאפשרת למשתמש רשום לקבל קוד אימות בן שש ספרות באמצעות SMS. אחרי שהמשתמש מקבל את הודעת ה-SMS, הוא יכול להזין את קוד האימות באפליקציה או באתר.
אפל מאפשרת כבר הרבה זמן למערכת iOS לקרוא הודעות SMS ולהציע קודי אימות מתוך גוף הטקסט. לאחרונה, התאפשר להשתמש בהצעות על ידי ציון הערך one-time-code במאפיין autocomplete של רכיב הקלט. ב-Chrome ב-Android, ב-Windows וב-Mac אפשר ליהנות מאותה חוויה באמצעות WebOTP API.
לדוגמה:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
שתי הגישות נועדו למנוע פישינג על ידי הכללת הדומיין בגוף ה-SMS ומתן הצעות רק לדומיין שצוין.
מידע נוסף על WebOTP API ועל autocomplete="one-time-code" זמין במאמר שיטות מומלצות לשימוש בטופס סיסמה חד-פעמית (OTP) ב-SMS.
FIDO עם WebAuthn
ב-FIDO עם WebAuthn נעשה שימוש באמצעי אימות מבוסס-חומרה כדי ליצור זוג מפתחות מוצפנים (מפתח ציבורי ומפתח פרטי) ולאמת את הבעלות. כשמשתמשים בסמארטפון כמכשיר האימות, אפשר לשלב אותו עם אימות ביומטרי (כמו חיישני טביעת אצבע או זיהוי פנים) כדי לבצע אימות דו-שלבי בשלב אחד. במקרה כזה, רק החתימה והאינדיקציה להצלחה מאימות ביומטרי נשלחים לשרת, כך שאין סיכון לגניבת נתונים ביומטריים.
בתרשים הבא מוצגת תצורת שרת-לקוח עבור FIDO. המאמת של הלקוח מאמת את המשתמש באמצעות נתונים ביומטריים וחותם על התוצאה באמצעות קריפטוגרפיה של מפתח ציבורי. המפתח הפרטי שמשמש ליצירת החתימה מאוחסן בצורה מאובטחת בסביבת מחשוב אמינה (TEE) או במיקום דומה. ספק שירותים שמשתמש ב-FIDO נקרא RP (צד מסתמך).
אחרי שהמשתמש מבצע את האימות (בדרך כלל באמצעות סריקה ביומטרית או קוד אימות), אמצעי האימות משתמש במפתח פרטי כדי לשלוח לדפדפן אות אימות חתום. לאחר מכן הדפדפן משתף את האות הזה עם האתר של ספק הזהויות.
לאחר מכן, האתר של ספק הזהויות שולח את אות האימות החתום לשרת של ספק הזהויות, שמאמת את החתימה מול המפתח הציבורי כדי להשלים את האימות.
מידע נוסף זמין בהנחיות לאימות של FIDO Alliance.
Yahoo! ביפן יש תמיכה ב-FIDO ב-Android (אפליקציה לנייד ואינטרנט), ב-iOS (אפליקציה לנייד ואינטרנט), ב-Windows (Edge, Chrome, Firefox) וב-macOS (Safari, Chrome). בתור שירות לצרכנים, אפשר להשתמש ב-FIDO כמעט בכל מכשיר, ולכן הוא מהווה אפשרות טובה לקידום אימות ללא סיסמה.
Yahoo! ביפן מומלץ למשתמשים להירשם ל-FIDO באמצעות WebAuthn, אם הם עדיין לא עברו אימות באמצעים אחרים. כשמשתמש צריך להתחבר באמצעות אותו מכשיר, הוא יכול לבצע אימות במהירות באמצעות חיישן ביומטרי.
המשתמשים צריכים להגדיר אימות FIDO בכל המכשירים שבהם הם משתמשים כדי להיכנס ל-Yahoo!. יפן.
כדי לקדם אימות ללא סיסמה ולתת מענה למשתמשים שעוברים משימוש בסיסמאות, אנחנו מספקים אמצעי אימות שונים. המשמעות היא שלמשתמשים שונים יכולות להיות הגדרות שונות של שיטות אימות, ושיטות האימות שבהן הם יכולים להשתמש עשויות להיות שונות מדפדפן לדפדפן. אנחנו מאמינים שחוויית המשתמש תהיה טובה יותר אם המשתמשים יתחברו באמצעות אותה שיטת אימות בכל פעם.
כדי לעמוד בדרישות האלה, צריך לעקוב אחרי שיטות אימות קודמות ולקשר את המידע הזה ללקוח על ידי אחסון שלו בקובצי Cookie וכו'. לאחר מכן אפשר לנתח את אופן השימוש בדפדפנים ובאפליקציות שונים לצורך אימות. המשתמש מתבקש לספק אימות מתאים על סמך ההגדרות שלו, שיטות האימות הקודמות שבהן השתמש ורמת האימות המינימלית הנדרשת.
2. השבתת סיסמה
Yahoo! ביפן, המערכת מבקשת מהמשתמשים להגדיר שיטת אימות חלופית ואז משביתה את הסיסמה שלהם כדי שלא יוכלו להשתמש בה. בנוסף להגדרת אימות חלופי, השבתת אימות הסיסמה (כך שאי אפשר להיכנס רק באמצעות סיסמה) עוזרת להגן על המשתמשים מפני התקפות שמבוססות על רשימות.
כדי לעודד את המשתמשים להשבית את הסיסמאות שלהם, נקטנו את הפעולות הבאות:
- קידום שיטות אימות חלופיות כשמשתמשים מאפסים את הסיסמאות שלהם.
- מומלץ לעודד את המשתמשים להגדיר שיטות אימות קלות לשימוש (כמו FIDO) ולהשבית את הסיסמאות במצבים שבהם נדרש אימות תכוף.
- המלצה למשתמשים להשבית את הסיסמאות שלהם לפני שהם משתמשים בשירותים בסיכון גבוה, כמו תשלומים במסחר אלקטרוני.
אם משתמש שוכח את הסיסמה שלו, הוא יכול להפעיל שחזור חשבון. בעבר היה צורך לאפס את הסיסמה. עכשיו המשתמשים יכולים לבחור להגדיר שיטת אימות אחרת, ואנחנו ממליצים להם לעשות זאת.
3. הרשמה לחשבון ללא סיסמה
משתמשים חדשים יכולים ליצור חשבון Yahoo! ללא סיסמה חשבונות ב-JAPAN. המשתמשים נדרשים קודם להירשם באמצעות אימות ב-SMS. אחרי שהמשתמש מתחבר, מומלץ להגדיר אימות FIDO.
מכיוון ש-FIDO היא הגדרה לכל מכשיר, יכול להיות שיהיה קשה לשחזר חשבון אם המכשיר יפסיק לפעול. לכן, אנחנו דורשים מהמשתמשים להשאיר את מספר הטלפון שלהם רשום, גם אחרי שהם הגדירו אימות נוסף.
אתגרים מרכזיים באימות ללא סיסמה
הסיסמאות מסתמכות על הזיכרון האנושי והן לא תלויות במכשיר. לעומת זאת, שיטות האימות שהצגנו עד עכשיו במסגרת היוזמה שלנו לביטול הסיסמאות תלויות במכשיר. הדבר הזה מעלה כמה אתגרים.
כשמשתמשים בכמה מכשירים, יש כמה בעיות שקשורות לנוחות השימוש:
- כשמשתמשים באימות באמצעות SMS כדי להתחבר למחשב, המשתמשים צריכים לבדוק את הטלפון הנייד שלהם כדי לראות אם יש הודעות SMS נכנסות. יכול להיות שזה לא נוח, כי צריך לוודא שהטלפון של המשתמש זמין וקל לגישה בכל שלב.
- ב-FIDO, במיוחד עם אמצעי אימות של הפלטפורמה, משתמש עם כמה מכשירים לא יוכל לבצע אימות במכשירים לא רשומים. המשתמשים צריכים להשלים את הרישום לכל מכשיר שהם מתכוונים להשתמש בו.
אימות FIDO קשור למכשירים ספציפיים, ולכן המכשירים צריכים להישאר בבעלות המשתמש ופעילים.
- אם חוזה השירות יבוטל, לא תהיה יותר אפשרות לשלוח הודעות SMS למספר הטלפון הרשום.
- פרוטוקול FIDO מאחסן מפתחות פרטיים במכשיר ספציפי. אם המכשיר אבד, אי אפשר להשתמש במפתחות האלה.
Yahoo! ביפן ננקטים צעדים שונים כדי לפתור את הבעיות האלה.
הפתרון הכי חשוב הוא לעודד את המשתמשים להגדיר כמה שיטות אימות. כך אפשר לקבל גישה לחשבון במקרה של אובדן מכשירים. מכיוון שמפתחות FIDO תלויים במכשיר, מומלץ גם לרשום מפתחות פרטיים של FIDO בכמה מכשירים.
לחלופין, המשתמשים יכולים להשתמש ב-WebOTP API כדי להעביר קודי אימות ב-SMS מטלפון Android ל-Chrome במחשב.
אנחנו מאמינים שטיפול בבעיות האלה יהפוך לחשוב עוד יותר ככל שהשימוש באימות ללא סיסמה יתרחב.
קידום אימות ללא סיסמה
Yahoo! ביפן פועלים לקידום יוזמות כאלה מאז 2015. התחלנו ברכישת אישור שרת FIDO במאי 2015, ולאחר מכן הוספנו אימות באמצעות SMS, תכונה להשבתת סיסמה ותמיכה ב-FIDO לכל מכשיר.
כיום, יותר מ-30 מיליון משתמשים פעילים בחודש כבר השביתו את הסיסמאות שלהם ומשתמשים בשיטות אימות ללא סיסמה. Yahoo! התמיכה ב-FIDO ביפן התחילה ב-Chrome ב-Android, ועכשיו יותר מ-10 מיליון משתמשים הגדירו אימות FIDO.
כתוצאה מהשינוי ב-Yahoo! ביפן, בעקבות היוזמות שלנו, אחוז הפניות שקשורות לשמות משתמש או לסיסמאות שנשכחו ירד ב-25% בהשוואה לתקופה שבה מספר הפניות האלה היה הגבוה ביותר. בנוסף, הצלחנו לאשר שבעקבות הגידול במספר החשבונות ללא סיסמה, חלה ירידה בגישה לא מורשית.
קל מאוד להגדיר את FIDO, ולכן שיעור ההמרה שלו גבוה במיוחד. למעשה, Yahoo! ביפן נמצא ששיעור ההמרות (CVR) של FIDO גבוה יותר מזה של אימות באמצעות SMS.
25 %
ירידה במספר הבקשות לשחזור פרטי כניסה שנשכחו
74 %
המשתמשים מצליחים לבצע אימות FIDO
65 %
השלמת האימות באמצעות SMS
שיעור ההצלחה של FIDO גבוה יותר מזה של אימות באמצעות SMS, וזמני האימות הממוצעים והחציוניים מהירים יותר. בנוגע לסיסמאות, בחלק מהקבוצות זמני האימות קצרים, ואנחנו חושדים שהסיבה לכך היא autocomplete="current-password" בדפדפן.
הקושי הגדול ביותר בהצעת חשבונות ללא סיסמה הוא לא הוספה של שיטות אימות, אלא הפיכת השימוש באמצעי אימות לנפוץ. אם חוויית השימוש בשירות ללא סיסמה לא תהיה ידידותית למשתמש, המעבר לא יהיה קל.
אנחנו מאמינים שכדי לשפר את האבטחה, קודם צריך לשפר את נוחות השימוש, וזה ידרוש חדשנות ייחודית לכל שירות.
סיכום
אימות באמצעות סיסמה הוא מסוכן מבחינת אבטחה, וגם יוצר בעיות מבחינת שימושיות. עכשיו, כשזמינות טכנולוגיות שתומכות באימות ללא סיסמה, כמו WebOTP API ו-FIDO, הגיע הזמן להתחיל לעבור לאימות ללא סיסמה.
ב-Yahoo! ביפן, לגישה הזו הייתה השפעה ברורה על השימושיות ועל האבטחה. עם זאת, משתמשים רבים עדיין משתמשים בסיסמאות, ולכן נמשיך לעודד יותר משתמשים לעבור לשיטות אימות ללא סיסמה. נמשיך גם לשפר את המוצרים שלנו כדי לבצע אופטימיזציה של חוויית המשתמש בשיטות אימות ללא סיסמה.
תמונה מאת olieman.eth ב-Unsplash