Pelajari cara Yahoo! Jepang membangun sistem identitas tanpa sandi.
Yahoo! JAPAN adalah salah satu perusahaan media terbesar di Jepang, yang menyediakan layanan seperti penelusuran, berita, e-commerce, dan email. Lebih dari 50 juta pengguna login ke Yahoo! JAPAN setiap bulan.
Selama bertahun-tahun, ada banyak serangan terhadap akun pengguna dan masalah yang menyebabkan hilangnya akses akun. Sebagian besar masalah ini terkait dengan penggunaan sandi untuk autentikasi.
Dengan kemajuan terbaru dalam teknologi autentikasi, Yahoo! JAPAN telah memutuskan untuk beralih dari autentikasi berbasis sandi ke autentikasi tanpa sandi.
Mengapa tanpa sandi?
Sebagai Yahoo! JAPAN menawarkan e-commerce dan layanan terkait uang lainnya, ada risiko kerugian signifikan bagi pengguna jika terjadi akses tidak sah atau kehilangan akun.
Serangan paling umum terkait sandi adalah serangan daftar sandi dan penipuan phishing. Salah satu alasan serangan daftar sandi umum dan efektif adalah kebiasaan banyak orang menggunakan sandi yang sama untuk beberapa aplikasi dan situs.
Angka-angka berikut adalah hasil survei yang dilakukan oleh Yahoo! JAPAN.
50 %
menggunakan ID dan sandi yang sama di enam situs atau lebih
60 %
Menggunakan sandi yang sama di beberapa situs
70 %
menggunakan sandi sebagai cara utama untuk login
Pengguna sering lupa sandi mereka, yang menyebabkan sebagian besar pertanyaan terkait sandi. Ada juga pertanyaan dari pengguna yang lupa ID login dan sandi mereka. Pada puncaknya, pertanyaan ini menyumbang lebih dari sepertiga dari semua pertanyaan terkait akun.
Dengan login tanpa sandi, Yahoo! JAPAN bertujuan untuk meningkatkan tidak hanya keamanan, tetapi juga kegunaan, tanpa membebani pengguna.
Dari perspektif keamanan, menghilangkan sandi dari proses autentikasi pengguna akan mengurangi kerusakan akibat serangan berbasis daftar, dan dari perspektif kegunaan, menyediakan metode autentikasi yang tidak bergantung pada mengingat sandi akan mencegah situasi saat pengguna tidak dapat login karena lupa sandi.
Yahoo! Inisiatif tanpa sandi di Jepang
Yahoo! JAPAN mengambil sejumlah langkah untuk mempromosikan autentikasi tanpa sandi, yang dapat dibagi secara luas menjadi tiga kategori:
- Menyediakan cara autentikasi alternatif selain sandi.
- Penonaktifan sandi.
- Pendaftaran akun tanpa sandi.
Dua inisiatif pertama ditujukan untuk pengguna lama, sedangkan pendaftaran tanpa sandi ditujukan untuk pengguna baru.
1. Menyediakan cara autentikasi alternatif selain sandi
Yahoo! JAPAN menawarkan alternatif berikut untuk menggantikan sandi.
Selain itu, kami juga menawarkan metode autentikasi seperti autentikasi email, sandi yang dikombinasikan dengan OTP SMS (sandi sekali pakai), dan sandi yang dikombinasikan dengan OTP email.
Autentikasi SMS
Autentikasi SMS adalah sistem yang memungkinkan pengguna terdaftar menerima kode autentikasi enam digit melalui SMS. Setelah menerima SMS, pengguna dapat memasukkan kode autentikasi di aplikasi atau situs.
Apple telah lama mengizinkan iOS membaca pesan SMS dan menyarankan kode autentikasi dari isi teks. Baru-baru ini, saran dapat digunakan dengan
menentukan "one-time-code" dalam atribut autocomplete elemen
input. Chrome di Android, Windows, dan Mac dapat memberikan pengalaman yang sama
menggunakan WebOTP API.
Contoh:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Kedua pendekatan ini dirancang untuk mencegah phishing dengan menyertakan domain dalam isi SMS dan memberikan saran hanya untuk domain yang ditentukan.
Untuk mengetahui informasi selengkapnya tentang WebOTP API dan autocomplete="one-time-code", lihat praktik terbaik formulir OTP SMS.
FIDO dengan WebAuthn
FIDO dengan WebAuthn menggunakan pengautentikasi hardware untuk membuat pasangan sandi kunci publik dan membuktikan kepemilikan. Jika digunakan sebagai pengautentikasi, smartphone dapat digabungkan dengan autentikasi biometrik (seperti sensor sidik jari atau pengenalan wajah) untuk melakukan autentikasi dua faktor satu langkah. Dalam hal ini, hanya tanda tangan dan indikasi keberhasilan dari autentikasi biometrik yang dikirim ke server, sehingga tidak ada risiko pencurian data biometrik.
Diagram berikut menunjukkan konfigurasi server-klien untuk FIDO. Autentikator klien mengautentikasi pengguna dengan biometrik dan menandatangani hasilnya menggunakan kriptografi kunci publik. Kunci pribadi yang digunakan untuk membuat tanda tangan disimpan dengan aman di TEE (Trusted Execution Environment) atau lokasi serupa. Penyedia layanan yang menggunakan FIDO disebut RP (pihak tepercaya).
Setelah pengguna melakukan autentikasi (biasanya dengan pemindaian biometrik atau PIN), pengautentikasi menggunakan kunci pribadi untuk mengirim sinyal verifikasi yang ditandatangani ke browser. Kemudian, browser membagikan sinyal tersebut ke situs RP.
Situs RP kemudian mengirimkan sinyal verifikasi yang ditandatangani ke server RP, yang memverifikasi tanda tangan terhadap kunci publik untuk menyelesaikan autentikasi.
Untuk mengetahui informasi selengkapnya, baca pedoman autentikasi dari FIDO Alliance.
Yahoo! JAPAN mendukung FIDO di Android (aplikasi seluler dan web), iOS (aplikasi seluler dan web), Windows (Edge, Chrome, Firefox), dan macOS (Safari, Chrome). Sebagai layanan konsumen, FIDO dapat digunakan di hampir semua perangkat, sehingga menjadikannya opsi yang baik untuk mempromosikan autentikasi tanpa sandi.
Yahoo! JAPAN merekomendasikan agar pengguna mendaftar ke FIDO dengan WebAuthn, jika mereka belum diautentikasi melalui cara lain. Saat pengguna perlu login dengan perangkat yang sama, mereka dapat mengautentikasi dengan cepat menggunakan sensor biometrik.
Pengguna harus menyiapkan autentikasi FIDO dengan semua perangkat yang mereka gunakan untuk login ke Yahoo! JAPAN.
Untuk mempromosikan autentikasi tanpa sandi dan mempertimbangkan pengguna yang beralih dari sandi, kami menyediakan beberapa cara autentikasi. Artinya, pengguna yang berbeda dapat memiliki setelan metode autentikasi yang berbeda, dan metode autentikasi yang dapat mereka gunakan mungkin berbeda dari browser ke browser. Kami yakin bahwa pengalaman akan lebih baik jika pengguna login menggunakan metode autentikasi yang sama setiap kali.
Untuk memenuhi persyaratan ini, Anda harus melacak metode autentikasi sebelumnya dan menautkan informasi ini ke klien dengan menyimpannya dalam bentuk cookie, dll. Kemudian, kita dapat menganalisis cara penggunaan berbagai browser dan aplikasi untuk autentikasi. Pengguna diminta untuk memberikan otentikasi yang sesuai berdasarkan setelan pengguna, metode otentikasi sebelumnya yang digunakan, dan tingkat otentikasi minimum yang diperlukan.
2. Penonaktifan sandi
Yahoo! JAPAN meminta pengguna untuk menyiapkan metode autentikasi alternatif dan kemudian menonaktifkan sandi mereka agar tidak dapat digunakan. Selain menyiapkan autentikasi alternatif, menonaktifkan autentikasi sandi (sehingga membuat login hanya dengan sandi menjadi tidak mungkin) membantu melindungi pengguna dari serangan berbasis daftar.
Kami telah melakukan langkah-langkah berikut untuk mendorong pengguna menonaktifkan sandi mereka.
- Mempromosikan metode autentikasi alternatif saat pengguna menyetel ulang sandi mereka.
- Mendorong pengguna untuk menyiapkan metode autentikasi yang mudah digunakan (seperti FIDO) dan menonaktifkan sandi untuk situasi yang memerlukan autentikasi sering.
- Mendesak pengguna untuk menonaktifkan sandi mereka sebelum menggunakan layanan berisiko tinggi, seperti pembayaran e-commerce.
Jika pengguna lupa sandi, mereka dapat menjalankan pemulihan akun. Sebelumnya, proses ini melibatkan reset sandi. Sekarang, pengguna dapat memilih untuk menyiapkan metode autentikasi yang berbeda, dan kami mendorong mereka untuk melakukannya.
3. Pendaftaran akun tanpa sandi
Pengguna baru dapat membuat Yahoo! bebas sandi JAPAN. Pengguna harus mendaftar terlebih dahulu dengan autentikasi SMS. Setelah pengguna login, kami menganjurkan pengguna untuk menyiapkan autentikasi FIDO.
Karena FIDO adalah setelan per perangkat, akun dapat sulit dipulihkan jika perangkat tidak dapat dioperasikan. Oleh karena itu, kami mewajibkan pengguna untuk tetap mendaftarkan nomor telepon mereka, meskipun setelah mereka menyiapkan autentikasi tambahan.
Tantangan utama untuk autentikasi tanpa sandi
Sandi mengandalkan memori manusia dan tidak bergantung pada perangkat. Di sisi lain, metode autentikasi yang diperkenalkan sejauh ini dalam inisiatif tanpa sandi kami bergantung pada perangkat. Hal ini menimbulkan beberapa tantangan.
Saat beberapa perangkat digunakan, ada beberapa masalah terkait kegunaan:
- Saat menggunakan autentikasi SMS untuk login dari PC, pengguna harus memeriksa ponsel mereka untuk melihat pesan SMS yang masuk. Hal ini mungkin merepotkan, karena mengharuskan ponsel pengguna tersedia dan mudah diakses kapan saja.
- Dengan FIDO, terutama dengan pengautentikasi platform, pengguna dengan beberapa perangkat tidak akan dapat melakukan autentikasi di perangkat yang tidak terdaftar. Pendaftaran harus diselesaikan untuk setiap perangkat yang ingin digunakan.
Autentikasi FIDO terikat ke perangkat tertentu, yang mengharuskan perangkat tersebut tetap berada dalam kepemilikan pengguna dan aktif.
- Jika kontrak layanan dibatalkan, pesan SMS tidak akan dapat dikirim lagi ke nomor telepon yang terdaftar.
- FIDO menyimpan kunci pribadi di perangkat tertentu. Jika perangkat hilang, kunci tersebut tidak dapat digunakan.
Yahoo! JEPANG mengambil berbagai langkah untuk mengatasi masalah ini.
Solusi terpenting adalah mendorong pengguna untuk menyiapkan beberapa metode autentikasi. Hal ini memberikan akses akun alternatif saat perangkat hilang. Karena kunci FIDO bergantung pada perangkat, sebaiknya Anda juga mendaftarkan kunci pribadi FIDO di beberapa perangkat.
Atau, pengguna dapat menggunakan WebOTP API untuk meneruskan kode verifikasi SMS dari ponsel Android ke Chrome di PC.
Kami yakin bahwa penanganan masalah ini akan menjadi lebih penting seiring dengan penyebaran autentikasi tanpa sandi.
Mempromosikan autentikasi tanpa sandi
Yahoo! JAPAN telah mengerjakan inisiatif tanpa sandi ini sejak tahun 2015. Hal ini dimulai dengan akuisisi sertifikasi server FIDO pada Mei 2015, diikuti dengan pengenalan autentikasi SMS, fitur penonaktifan sandi, dan dukungan FIDO untuk setiap perangkat.
Saat ini, lebih dari 30 juta pengguna aktif bulanan telah menonaktifkan sandi mereka dan menggunakan metode autentikasi non-sandi. Yahoo! Dukungan JEPANG untuk FIDO dimulai dengan Chrome di Android, dan kini lebih dari 10 juta pengguna telah menyiapkan autentikasi FIDO.
Akibat dari Yahoo! JAPAN, persentase pertanyaan yang melibatkan ID login atau sandi yang terlupa telah menurun sebesar 25% dibandingkan dengan periode saat jumlah pertanyaan tersebut berada pada titik tertinggi, dan kami juga dapat mengonfirmasi bahwa akses tidak sah telah menurun sebagai akibat dari peningkatan jumlah akun tanpa sandi.
Karena FIDO sangat mudah disiapkan, FIDO memiliki rasio konversi yang sangat tinggi. Faktanya, Yahoo! JAPAN mendapati bahwa FIDO memiliki CVR yang lebih tinggi daripada autentikasi SMS.
25 %
Penurunan permintaan untuk kredensial yang terlupa
74 %
Pengguna berhasil melakukan autentikasi FIDO
65 %
Berhasil dengan verifikasi SMS
FIDO memiliki rasio keberhasilan yang lebih tinggi daripada autentikasi SMS, serta waktu autentikasi rata-rata dan median yang lebih cepat. Untuk sandi, beberapa grup memiliki waktu autentikasi yang singkat, dan kami menduga hal ini disebabkan oleh autocomplete="current-password" browser.
Kesulitan terbesar dalam menawarkan akun tanpa sandi bukan penambahan metode autentikasi, tetapi memopulerkan penggunaan pengautentikasi. Jika pengalaman menggunakan layanan tanpa sandi tidak mudah digunakan, transisinya tidak akan mudah.
Kami percaya bahwa untuk mencapai keamanan yang lebih baik, kami harus meningkatkan kegunaan terlebih dahulu, yang akan memerlukan inovasi unik untuk setiap layanan.
Kesimpulan
Otentikasi sandi berisiko dalam hal keamanan, dan juga menimbulkan tantangan dalam hal kegunaan. Sekarang, setelah teknologi yang mendukung autentikasi non-sandi, seperti WebOTP API dan FIDO, tersedia lebih luas, saatnya mulai berupaya mewujudkan autentikasi tanpa sandi.
Di Yahoo! JEPANG, pendekatan ini telah memberikan efek yang jelas pada kegunaan dan keamanan. Namun, banyak pengguna masih menggunakan sandi, jadi kami akan terus mendorong lebih banyak pengguna untuk beralih ke metode autentikasi tanpa sandi. Kami juga akan terus meningkatkan kualitas produk kami untuk mengoptimalkan pengalaman pengguna terkait metode autentikasi tanpa sandi.
Foto oleh olieman.eth di Unsplash