تعرَّف على كيفية معالجة Yahoo! أنشأت اليابان نظامًا للهوية بدون كلمة مرور.
Yahoo! JAPAN هي إحدى أكبر شركات الإعلام في اليابان، وتقدّم خدمات مثل البحث والأخبار والتجارة الإلكترونية والبريد الإلكتروني. أكثر من 50 مليون مستخدم يسجلون الدخول إلى Yahoo! خدمات JAPAN كل شهر
على مرّ السنين، حدثت العديد من الهجمات على حسابات المستخدمين ومشاكل أدّت إلى فقدان إمكانية الوصول إلى الحسابات. وكانت معظم هذه المشاكل مرتبطة باستخدام كلمة المرور للمصادقة.
بفضل التطورات الأخيرة في تكنولوجيا المصادقة، تقدّم Yahoo! قرّرت اليابان الانتقال من المصادقة المستندة إلى كلمة المرور إلى المصادقة بدون كلمة مرور.
لماذا نستخدم ميزة "تسجيل الدخول بدون كلمة مرور"؟
بصفتك Yahoo! توفّر JAPAN خدمات التجارة الإلكترونية وخدمات أخرى متعلّقة بالمال، وبالتالي هناك خطر متزايد من إلحاق ضرر كبير بالمستخدمين في حال الوصول غير المصرّح به إلى حساباتهم أو فقدانها.
كانت الهجمات الأكثر شيوعًا المرتبطة بكلمات المرور هي هجمات قوائم كلمات المرور وعمليات التصيّد الاحتيالي. من أسباب شيوع هجمات قوائم كلمات المرور وفعاليتها هو عادة استخدام العديد من الأشخاص لكلمة المرور نفسها في عدة تطبيقات ومواقع إلكترونية.
تم الحصول على الأرقام التالية من استطلاع أجرته شركة Yahoo! اليابان
50 %
استخدام المعرّف وكلمة المرور نفسيهما في ستة مواقع إلكترونية أو أكثر
60 %
استخدام كلمة المرور نفسها على مواقع إلكترونية متعددة
70 %
استخدام كلمة مرور كطريقة أساسية لتسجيل الدخول
غالبًا ما ينسى المستخدمون كلمات المرور، ما يشكّل معظم الاستفسارات المتعلّقة بكلمات المرور. تلقّينا أيضًا استفسارات من مستخدمين نسوا معرّفات تسجيل الدخول الخاصة بهم بالإضافة إلى كلمات المرور. في ذروة هذه الطلبات، شكّلت هذه الطلبات أكثر من ثلث جميع الطلبات المتعلّقة بالحساب.
من خلال الانتقال إلى نظام تسجيل الدخول بدون كلمة مرور، توفّر Yahoo! كان هدف JAPAN هو تحسين الأمان، ولكنه سعى أيضًا إلى تحسين سهولة الاستخدام بدون فرض أي عبء إضافي على المستخدمين.
من منظور الأمان، يؤدي إزالة كلمات المرور من عملية مصادقة العميل إلى الحد من الأضرار الناتجة عن الهجمات المستندة إلى القائمة، ومن منظور سهولة الاستخدام، يؤدي توفير طريقة مصادقة لا تعتمد على تذكُّر كلمات المرور إلى منع حدوث حالات يتعذّر فيها على العميل تسجيل الدخول لأنّه نسي كلمة المرور.
Yahoo! مبادرات JAPAN بدون استخدام كلمات المرور
Yahoo! تتّخذ اليابان عددًا من الخطوات للترويج لميزة مصادقة بدون كلمة مرور، والتي يمكن تقسيمها بشكل عام إلى ثلاث فئات:
- يجب توفير وسيلة بديلة للمصادقة على كلمات المرور.
- إيقاف كلمة المرور
- تسجيل الحساب بدون كلمة مرور
تستهدف مبادرتا التسجيل بدون كلمة مرور المستخدِمين الحاليين، في حين تستهدف مبادرتا التسجيل بدون كلمة مرور المستخدِمين الجدد.
1. توفير وسيلة بديلة للمصادقة على كلمات المرور
Yahoo! تقدّم اليابان البدائل التالية لكلمات المرور.
بالإضافة إلى ذلك، نقدّم أيضًا طرق مصادقة، مثل مصادقة البريد الإلكتروني، وكلمة المرور مع كلمة المرور الصالحة لمرة واحدة عبر الرسائل القصيرة، وكلمة المرور مع كلمة المرور الصالحة لمرة واحدة عبر البريد الإلكتروني.
مصادقة الرسائل القصيرة
المصادقة عبر الرسائل القصيرة هي نظام يسمح للمستخدم المسجّل بتلقّي رمز مصادقة مكوّن من ستة أرقام عبر رسالة قصيرة. بعد أن يتلقّى المستخدم الرسالة القصيرة، يمكنه إدخال رمز المصادقة في التطبيق أو الموقع الإلكتروني.
منذ فترة طويلة، تسمح شركة Apple لنظام التشغيل iOS بقراءة الرسائل القصيرة واقتراح رموز مصادقة
من نص الرسالة. أصبح من الممكن مؤخرًا استخدام الاقتراحات من خلال تحديد "رمز صالح لمرة واحدة" في سمة autocomplete
لعنصر الإدخال. يمكن أن يوفّر Chrome على أجهزة Android وWindows وMac التجربة نفسها
باستخدام WebOTP API.
على سبيل المثال:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
تم تصميم كلتا المنهجيتين لمنع التصيّد الاحتيالي من خلال تضمين النطاق في نص الرسالة القصيرة وتقديم اقتراحات للنطاق المحدّد فقط.
لمزيد من المعلومات عن WebOTP API وautocomplete="one-time-code"
،
اطّلِع على أفضل الممارسات المتعلّقة بنموذج كلمة المرور لمرة واحدة (OTP) عبر الرسائل القصيرة.
معيار FIDO مع WebAuthn
يستخدم معيار FIDO مع WebAuthn معتمِدًا للأجهزة لإنشاء مفتاح تشفير عام وإثبات حيازته. عند استخدام هاتف ذكي كأداة مصادقة، يمكن دمجه مع المصادقة بالمقاييس الحيوية (مثل أدوات استشعار بصمة الإصبع أو التعرّف على الوجوه) لإجراء مصادقة ثنائية العوامل في خطوة واحدة. في هذه الحالة، لا يتم إرسال سوى التوقيع ومؤشر النجاح من المصادقة بالاستناد إلى المقاييس الحيوية إلى الخادم، وبالتالي لا يشكّل ذلك أي خطر لسرقة البيانات الحيوية.
يوضّح الرسم البياني التالي إعدادات الخادم والعميل لبروتوكول FIDO. يُجري مصادقة العميل للمستخدِم باستخدام المقاييس الحيوية ويوقّع على النتيجة باستخدام التشفير بالمفتاح العام. يتم تخزين المفتاح الخاص المستخدَم لإنشاء التوقيع بأمان في بيئة تنفيذ موثوقة (TEE) أو موقع مشابه. يُعرف مقدّم الخدمة الذي يستخدم FIDO باسم "الطرف الموثوق به" (RP).
لمزيد من المعلومات، يُرجى الاطّلاع على إرشادات المصادقة من تحالف FIDO.
Yahoo! تتوفّر مواصفات FIDO في اليابان على نظام التشغيل Android (التطبيقات المتوافقة مع الأجهزة الجوّالة والويب) وiOS (التطبيقات المتوافقة مع الأجهزة الجوّالة والويب) وWindows (Edge وChrome وFirefox) وmacOS (Safari وChrome). يمكن استخدام FIDO على أي جهاز تقريبًا بصفتها خدمة مخصّصة للمستهلكين، ما يجعلها خيارًا جيدًا للترويج للمصادقة بدون كلمة مرور.
Yahoo! ننصح المستخدمين في اليابان بالتسجيل في FIDO باستخدام WebAuthn، إذا لم يكن قد سبق لهم المصادقة من خلال وسائل أخرى. عندما يحتاج المستخدم إلى تسجيل الدخول بالجهاز نفسه، يمكنه المصادقة بسرعة باستخدام أداة استشعار المقاييس الحيوية.
على المستخدمين إعداد مصادقة FIDO مع جميع الأجهزة التي يستخدمونها لتسجيل الدخول إلى Yahoo! اليابان
للترويج للمصادقة بدون استخدام كلمات المرور ومراعاة المستخدمين الذين يبدّلون كلمات المرور، نوفّر وسائل متعددة للمصادقة. ويعني ذلك أنّه يمكن للمستخدمين المختلفين ضبط إعدادات مختلفة لطريقة المصادقة، وقد تختلف طرق المصادقة التي يمكنهم استخدامها من متصفح إلى آخر. نعتقد أنّه من الأفضل أن يتم تسجيل دخول المستخدمين باستخدام طريقة المصادقة نفسها في كل مرة.
لاستيفاء هذه المتطلبات، من الضروري تتبُّع methods مصادقة السابقة وربط هذه المعلومات بالعميل من خلال تخزينها في شكل ملف تعريف ارتباط وما إلى ذلك. ويمكننا بعد ذلك تحليل كيفية استخدام المتصفّحات والتطبيقات المختلفة مصادقة. يُطلب من المستخدم تقديم مصادقة مناسبة استنادًا إلى إعدادات المستخدم وطرق مصادقة المستخدم السابقة المستخدَمة والحد الأدنى من مستوى المصادقة المطلوب.
2. إيقاف كلمة المرور
Yahoo! تطلب JAPAN من المستخدمين إعداد طريقة مصادقة بديلة ثم إيقاف كلمة المرور لكي لا يمكن استخدامها. بالإضافة إلى إعداد مصادقة بديلة، يساعد إيقاف مصادقة كلمة المرور (وبالتالي جعل تسجيل الدخول باستخدام كلمة المرور فقط مستحيلًا) في حماية المستخدمين من هجمات القائمة.
لقد اتّخذنا الخطوات التالية لتشجيع المستخدمين على إيقاف كلمات المرور.
- الترويج لطرق مصادقة بديلة عندما يعيد المستخدمون ضبط كلمات المرور
- تشجيع المستخدمين على إعداد طرق مصادقة سهلة الاستخدام (مثل FIDO) وإيقاف كلمات المرور في الحالات التي تتطلّب مصادقة متكرّرة
- حثّ المستخدمين على إيقاف كلمات المرور قبل استخدام الخدمات العالية الخطورة، مثل دفعات التجارة الإلكترونية
إذا نسي أحد المستخدمين كلمة مروره، يمكنه إجراء عملية استرداد الحساب. في السابق، كان هذا الإجراء يتطلّب إعادة ضبط كلمة المرور. يمكن للمستخدمين الآن اختيار إعداد طريقة مصادقة مختلفة، ونشجّعهم على إجراء ذلك.
3- تسجيل الحساب بدون استخدام كلمة مرور
يمكن للمستخدمين الجدد إنشاء حساب Yahoo! حسابات JAPAN على المستخدمين أولاً التسجيل باستخدام مصادقة عبر الرسائل القصيرة. بعد تسجيل الدخول، ننصح العميل بإعداد مصادقة FIDO.
بما أنّ بروتوكول FIDO هو إعداد على مستوى الجهاز، قد يكون من الصعب استرداد حساب في حال تعطُّل الجهاز. لذلك، نطلب من المستخدمين إبقاء رقم هاتفهم مسجَّلاً، حتى بعد إعداد مصادقة إضافية.
التحديات الرئيسية للمصادقة بدون استخدام كلمات المرور
تعتمد كلمات المرور على الذاكرة البشرية ولا تعتمد على الجهاز. من ناحية أخرى، تعتمد methods methods المصادقة التي تم تقديمها حتى الآن في مبادرتنا "المصادقة بدون كلمات مرور" على الجهاز. ويشكّل ذلك عدة تحديات.
عند استخدام أجهزة متعددة، تظهر بعض المشاكل المتعلقة بقابلية الاستخدام:
- عند استخدام مصادقة الرسائل القصيرة SMS لتسجيل الدخول من جهاز كمبيوتر شخصي، على المستخدمين التحقّق من هاتفاتهم الجوّالة بحثًا عن رسائل SMS الواردة. قد يكون هذا غير ملائم، لأنّه يتطلب توفّر هاتف المستخدم وسهولة الوصول إليه في أي وقت.
- باستخدام بروتوكول FIDO، لا يمكن للمستخدم الذي لديه عدة أجهزة أن يُجري مصادقة على الأجهزة غير المسجَّلة، خاصةً مع مصادقة أنظمة التشغيل. يجب إكمال عملية التسجيل لكل جهاز يريد استخدامه.
ترتبط مصادقة FIDO بأجهزة معيّنة، ما يتطلّب أن تظل في حوزة المستخدم ونشطة.
- في حال إلغاء عقد الخدمة، لن يعود بإمكانك إرسال رسائل SMS إلى رقم الهاتف المسجَّل.
- تخزِّن تقنية FIDO المفاتيح الخاصة على جهاز معيّن. في حال فقدان الجهاز، لن يكون بإمكانك استخدام هذه المفاتيح.
Yahoo! تتّخذ اليابان خطوات مختلفة لحلّ هذه المشاكل.
الحل الأهم هو تشجيع المستخدمين على إعداد طرق مصادقة متعددة. ويوفر ذلك طريقة بديلة للوصول إلى الحساب في حال فقدان الأجهزة. بما أنّ مفاتيح FIDO تعتمد على الجهاز، من الممارسات الجيدة أيضًا تسجيل مفاتيح FIDO الخاصة على أجهزة متعددة.
بدلاً من ذلك، يمكن للمستخدمين استخدام WebOTP API لتمرير رموًز التحقّق عبر الرسائل القصيرة من هاتف Android إلى Chrome على جهاز كمبيوتر.
نعتقد أنّ معالجة هذه المشاكل ستصبح أكثر أهمية مع انتشار مصادقة بدون كلمات مرور.
الترويج للمصادقة بدون استخدام كلمات المرور
Yahoo! تعمل اليابان على هذه المبادرات التي لا تتطلّب كلمات مرور منذ عام 2015. بدأ ذلك من خلال الحصول على شهادة اعتماد خادم FIDO في أيار (مايو) 2015، followed by the introduction of SMS authentication, a password deactivation feature, and FIDO support for each device.
في الوقت الحالي، أوقف أكثر من 30 مليون مستخدم نشط شهريًا كلمات المرور الخاصة بهم ويستخدمون طرق مصادقة لا تعتمد على كلمات المرور. Yahoo! بدأ استخدام معيار FIDO في اليابان باستخدام متصفّح Chrome على Android، وأصبح الآن أكثر من 10 مليون مستخدم قد أعدّوا مصادقة FIDO.
نتيجةً لذلك، في اليابان، انخفضت النسبة المئوية للطلبات التي تتعلّق بنسيان معرّفات تسجيل الدخول أو كلمات المرور بنسبة% 25 مقارنةً بالفترة التي كان فيها عدد هذه الطلبات في أعلى مستوياته، وتمكّنا أيضًا من تأكيد انخفاض عمليات الوصول غير المصرّح به نتيجةً لزيادة عدد الحسابات التي لا تستخدم كلمات مرور.
وبما أنّه من السهل إعداد FIDO، يحقّق معدّل إحالات ناجحة مرتفعًا بشكلٍ خاص. في الواقع، تبيّن لليابان أنّ معيار FIDO يحقّق معدّل إحالات ناجحة أعلى من مصادقة الرسائل القصيرة.
25 %
انخفاض في طلبات بيانات الاعتماد المُنسية
74 %
نجاح المستخدمين في مصادقة FIDO
65 %
إكمال عملية إثبات الهوية عبر الرسائل القصيرة
تحقّق المصادقة باستخدام بروتوكول FIDO معدل نجاح أعلى من المصادقة عبر الرسائل القصيرة، كما أنّ متوسط مدّة المصادقة ومقدارها متوسّطًا أسرع. بالنسبة إلى كلمات المرور، تُظهر بعض المجموعات أوقات مصادقة قصيرة، ونعتقد أنّ ذلك يرجع إلى autocomplete="current-password"
المتصفّح.
إنّ أكبر مشكلة في توفير حسابات بدون كلمات مرور ليست إضافة methods مصادقة، بل نشر استخدام مصادقة. إذا لم تكن تجربة استخدام الخدمة التي لا تتطلّب كلمة مرور سهلة الاستخدام، لن يكون الانتقال إليها سهلًا.
نعتقد أنّ تحقيق أمان أفضل يتطلّب أولاً تحسين سهولة الاستخدام، ما سيتطلب ابتكارات فريدة لكل خدمة.
الخاتمة
إنّ مصادقة كلمة المرور خطيرة من حيث الأمان، كما تشكل تحديات من حيث سهولة الاستخدام. والآن بعد أن أصبحت التكنولوجيات التي توفّر مصادقة بدون كلمة مرور، مثل WebOTP API وFIDO، متاحة على نطاق أوسع، حان الوقت للبدء في العمل على المصادقة بدون كلمة مرور.
في Yahoo! اليابان، كان لهذا النهج تأثير واضح في كل من سهولة الاستخدام والأمان. ومع ذلك، لا يزال العديد من المستخدمين يستخدمون كلمات المرور، لذا سنواصل تشجيع المزيد من المستخدمين على التبديل إلى طُرق مصادقة بدون كلمات مرور. سنواصل أيضًا تحسين منتجاتنا لتحسين تجربت ا للمستخدمين في ما يتعلّق بطرق المصادقة بدون كلمات مرور.
صورة من تصوير olieman.eth على Unsplash