איך Yahoo! ביפן פיתחו מערכת זהויות ללא סיסמה.
Yahoo! JAPAN היא אחת מחברות המדיה הגדולות ביותר ביפן, שמספקת שירותים כמו חיפוש, חדשות, מסחר אלקטרוני ואימייל. יותר מ-50 מיליון משתמשים נכנסים ל-Yahoo! שירותים ביפן מדי חודש.
במהלך השנים היו הרבה התקפות על חשבונות משתמשים ובעיות שהובילו לאובדן הגישה לחשבון. רוב הבעיות האלה היו קשורות לשימוש בסיסמה לאימות.
בעקבות ההתקדמות האחרונה בטכנולוגיית האימות, Yahoo! ביפן החליטו לעבור מאימות מבוסס-סיסמה לאימות ללא סיסמה.
למה ללא סיסמה?
כ-Yahoo! JAPAN מציע מסחר אלקטרוני ושירותים אחרים שקשורים לכסף, ולכן יש סיכון לנזק משמעותי למשתמשים במקרה של גישה לא מורשית או אובדן חשבון.
ההתקפות הנפוצות ביותר שקשורות לסיסמאות היו התקפות על רשימות סיסמאות ותרמיות פישינג. אחת הסיבות לכך שהתקפות על רשימות סיסמאות נפוצות ויעילות היא הנטייה של אנשים רבים להשתמש באותה סיסמה בכמה אפליקציות ואתרים.
הנתונים הבאים הם תוצאות של סקר שנערך על ידי Yahoo!. יפן.
50 %
להשתמש באותו מזהה ובאותה סיסמה בשישה אתרים או יותר
60 %
שימוש באותה סיסמה בכמה אתרים
70 %
להשתמש בסיסמה כדרך הראשית לכניסה
משתמשים שוכחים את הסיסמאות שלהם לעיתים קרובות, וזו הייתה הסיבה לרוב הבקשות שקשורות לסיסמאות. היו גם פניות ממשתמשים ששכחו את מזהי ההתחברות בנוסף לסיסמאות שלהם. בשיא, הבקשות האלה היוו יותר משליש מכל הבקשות שקשורות לחשבון.
בזכות המעבר לשימוש ללא סיסמה, Yahoo! מטרת JAPAN הייתה לשפר לא רק את האבטחה, אלא גם את נוחות השימוש, בלי להכביד על המשתמשים.
מבחינת אבטחה, הסרת הסיסמאות מתהליך האימות של המשתמשים מפחיתה את הנזק מתקיפות שמבוססות על רשימות. מבחינת נוחות השימוש, מתן שיטת אימות שלא מסתמכת על זכירה של סיסמאות מונע מצבים שבהם משתמש לא יכול להתחבר כי הוא שכח את הסיסמה.
Yahoo! יוזמות ללא סיסמאות ביפן
Yahoo! ביפן ננקטים כמה צעדים כדי לקדם אימות ללא סיסמה, שאפשר לחלק לשלושה סוגים:
- לספק אמצעי אימות חלופי לסיסמאות.
- השבתת הסיסמה.
- רישום חשבון ללא סיסמה.
שתי היוזמות הראשונות מיועדות למשתמשים קיימים, והרישום ללא סיסמה מיועד למשתמשים חדשים.
1. מתן אמצעי אימות חלופי לסיסמאות
Yahoo! ביפן יש את החלופות הבאות לסיסמאות.
בנוסף, אנחנו מציעים גם שיטות אימות כמו אימות באימייל, סיסמה בשילוב עם סיסמה חד-פעמית (OTP) ב-SMS וסיסמה בשילוב עם סיסמה חד-פעמית (OTP) באימייל.
אימות באמצעות SMS
אימות באמצעות SMS הוא מערכת שמאפשרת למשתמש רשום לקבל קוד אימות בן שישה ספרות באמצעות SMS. אחרי שהמשתמש יקבל את הודעת ה-SMS, הוא יוכל להזין את קוד האימות באפליקציה או באתר.
כבר מזמן Apple מאפשרת ל-iOS לקרוא הודעות SMS ולהציע קודי אימות מתוך תוכן הטקסט. לאחרונה, אפשר להשתמש בהצעות על ידי ציון 'one-time-code' במאפיין autocomplete
של רכיב הקלט. ב-Chrome ל-Android, ל-Windows ול-Mac אפשר ליהנות מאותה חוויה באמצעות WebOTP API.
לדוגמה:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
שתי הגישות נועדו למנוע פישינג על ידי הכללת הדומיין בגוף הודעת ה-SMS ומתן הצעות רק לדומיין שצוין.
מידע נוסף על WebOTP API ו-autocomplete="one-time-code"
זמין במאמר שיטות מומלצות לשימוש בטופס של סיסמה חד-פעמית (OTP) ב-SMS.
FIDO עם WebAuthn
ב-FIDO עם WebAuthn נעשה שימוש במאמת חומרה כדי ליצור זוג מפתחות הצפנה ציבוריים ולהוכיח בעלות. כשמשתמשים בסמארטפון בתור המאמת, אפשר לשלב אותו באימות ביומטרי (כמו חיישני טביעות אצבע או זיהוי פנים) כדי לבצע אימות דו-שלבי בשלב אחד. במקרה כזה, רק החתימה והאישור על הצלחת האימות הביומטרי נשלחים לשרת, כך שאין סיכון לגניבה של נתונים ביומטריים.
בתרשים הבא מוצגת ההגדרה של השרת-הלקוח ל-FIDO. אימות הלקוח מאמת את המשתמש באמצעות נתונים ביומטריים וחותם על התוצאה באמצעות קריפטוגרפיה של מפתח ציבורי. המפתח הפרטי שמשמש ליצירת החתימה מאוחסן באופן מאובטח ב-TEE (סביבת מחשוב אמינה) או במיקום דומה. ספק שירות שמשתמש ב-FIDO נקרא RP (צד נסמך).
למידע נוסף, קראו את ההנחיות לאימות של FIDO Alliance.
Yahoo! ביפן יש תמיכה ב-FIDO ב-Android (באפליקציה לנייד ובאינטרנט), ב-iOS (באפליקציה לנייד ובאינטרנט), ב-Windows (ב-Edge, ב-Chrome וב-Firefox) וב-macOS (ב-Safari וב-Chrome). כשירות לצרכנים, אפשר להשתמש ב-FIDO כמעט בכל מכשיר, ולכן הוא אופציה טובה לקידום אימות ללא סיסמה.
Yahoo! ביפן ממליצים למשתמשים להירשם ל-FIDO באמצעות WebAuthn, אם הם עדיין לא אימתו את עצמם באמצעים אחרים. כשמשתמש צריך להתחבר באמצעות אותו מכשיר, הוא יכול לבצע אימות מהיר באמצעות חיישן ביומטרי.
המשתמשים צריכים להגדיר אימות FIDO בכל המכשירים שבהם הם משתמשים כדי להתחבר ל-Yahoo!. יפן.
כדי לקדם אימות ללא סיסמה ולכבד משתמשים שעוברים מתהליך של ביטול השימוש בסיסמאות, אנחנו מספקים כמה אמצעי אימות. כלומר, למשתמשים שונים יכולות להיות הגדרות שונות של שיטות אימות, ושיטות האימות שבהן הם יכולים להשתמש עשויות להשתנות מדפדפן לדפדפן. אנחנו מאמינים שחוויית השימוש תהיה טובה יותר אם המשתמשים ייכנסו לחשבון באמצעות אותה שיטת אימות בכל פעם.
כדי לעמוד בדרישות האלה, צריך לעקוב אחרי שיטות אימות קודמות ולקשר את המידע הזה ללקוח על ידי אחסון שלו בצורת קובצי cookie וכו'. לאחר מכן נוכל לנתח את האופן שבו דפדפנים ואפליקציות שונים משמשים לאימות. המשתמש מתבקש לספק אימות מתאים על סמך ההגדרות של המשתמש, שיטות האימות הקודמות שהיו בשימוש ורמת האימות המינימלית הנדרשת.
2. השבתת סיסמה
Yahoo! ביפן, המשתמשים מתבקשים להגדיר שיטת אימות חלופית ואז להשבית את הסיסמה שלהם כדי שלא ניתן יהיה להשתמש בה. בנוסף להגדרת אימות חלופי, השבתת אימות באמצעות סיסמה (כך שלא ניתן להיכנס לחשבון באמצעות סיסמה בלבד) עוזרת להגן על המשתמשים מפני התקפות שמבוססות על רשימות.
כדי לעודד משתמשים להשבית את הסיסמאות שלהם, נקטנו את הצעדים הבאים:
- קידום שיטות אימות חלופיות כשמשתמשים מאפסים את הסיסמאות שלהם.
- מומלץ לעודד משתמשים להגדיר שיטות אימות פשוטות לשימוש (כמו FIDO) ולהשבית סיסמאות במצבים שבהם נדרש אימות תדיר.
- מומלץ לבקש מהמשתמשים להשבית את הסיסמאות שלהם לפני שהם משתמשים בשירותים בסיכון גבוה, כמו תשלומים במסחר אלקטרוני.
אם משתמש שוכח את הסיסמה, הוא יכול להפעיל שחזור חשבון. בעבר, הפעולה הזו כללה איפוס סיסמה. עכשיו המשתמשים יכולים לבחור להגדיר שיטת אימות אחרת, ואנחנו ממליצים להם לעשות זאת.
3. רישום חשבון ללא סיסמה
משתמשים חדשים יכולים ליצור חשבון Yahoo! ללא סיסמה. חשבונות JAPAN. המשתמשים נדרשים קודם להירשם באמצעות אימות באמצעות SMS. אחרי שהמשתמשים מתחברים, מומלץ להם להגדיר אימות FIDO.
מכיוון ש-FIDO הוא הגדרה לכל מכשיר, יכול להיות שיהיה קשה לשחזר חשבון אם המכשיר לא יפעל. לכן אנחנו דורשים מהמשתמשים להשאיר את מספר הטלפון שלהם רשום, גם אחרי שהם מגדירים אימות נוסף.
האתגרים העיקריים באימות ללא סיסמה
סיסמאות תלויות בזיכרון האנושי והן לא תלויות במכשיר. לעומת זאת, שיטות האימות שהשקנו עד כה במסגרת היוזמה שלנו לשימוש ללא סיסמה תלויות במכשיר. יש לכך כמה אתגרים.
כשמשתמשים בכמה מכשירים, יש כמה בעיות שקשורות לנוחות השימוש:
- כשמשתמשים באימות באמצעות SMS כדי להתחבר מהמחשב, המשתמשים צריכים לבדוק אם יש הודעות SMS נכנסות בטלפון הנייד. יכול להיות שהשיטה הזו לא תהיה נוחה, כי הטלפון של המשתמש צריך להיות זמין וקל לגשת אליו בכל שלב.
- באמצעות FIDO, במיוחד עם מאמתי פלטפורמה, משתמש עם כמה מכשירים לא יוכל לבצע אימות במכשירים לא רשומים. צריך להשלים את תהליך הרישום לכל מכשיר שבו הם מתכוונים להשתמש.
אימות FIDO מקושר למכשירים ספציפיים, כך שהם צריכים להישאר בבעלות המשתמש ולהיות פעילים.
- אם חוזה השירות יבוטל, לא תהיה יותר אפשרות לשלוח הודעות SMS למספר הטלפון הרשום.
- FIDO מאחסן מפתחות פרטיים במכשיר ספציפי. אם המכשיר יאבד, לא תוכלו להשתמש במפתחות האלה.
Yahoo! יפן מבצעת פעולות שונות כדי לטפל בבעיות האלה.
הפתרון החשוב ביותר הוא לעודד את המשתמשים להגדיר כמה שיטות אימות. כך תוכלו לגשת לחשבון באופן חלופי במקרה של אובדן המכשירים. מכיוון שמפתחות FIDO תלויים במכשיר, מומלץ גם לרשום מפתחות פרטיים של FIDO במספר מכשירים.
לחלופין, המשתמשים יכולים להשתמש ב-WebOTP API כדי להעביר קודי אימות מסוג SMS מטלפון Android ל-Chrome במחשב.
אנחנו מאמינים שהטיפול בבעיות האלה יהפוך לחשוב עוד יותר ככל שהשימוש באימות ללא סיסמה יתרחב.
קידום אימות ללא סיסמה
Yahoo! JAPAN עובדת על היוזמות האלה ללא סיסמה מאז 2015. התהליך הזה התחיל עם קבלת אישור השרת של FIDO במאי 2015, ואחריו הוספנו את התכונות הבאות: אימות באמצעות SMS, תכונת השבתת סיסמה ותמיכה ב-FIDO בכל מכשיר.
נכון להיום, יותר מ-30 מיליון משתמשים פעילים בחודש כבר השביתו את הסיסמאות שלהם והם משתמשים בשיטות אימות ללא סיסמה. Yahoo! התמיכה ב-FIDO ביפן התחילה ב-Chrome ל-Android, וכיום יותר מ-10 מיליון משתמשים הגדרו אימות FIDO.
כתוצאה מ-Yahoo! JAPAN, אחוז הבקשות שקשורות לפרטים אישיים להתחברות או לסיסמאות שנשכחו ירד ב-25% בהשוואה לתקופה שבה מספר הבקשות האלה היה הגבוה ביותר. כמו כן, הצלחנו לאשר שהגישה הלא מורשית ירדה כתוצאה מהעלייה במספר החשבונות ללא סיסמה.
מכיוון שקל מאוד להגדיר את FIDO, שיעור ההמרה שלו גבוה במיוחד. למעשה, Yahoo! ביפן גילו ששיעור ההמרות (CVR) של FIDO גבוה יותר מזה של אימות באמצעות SMS.
25 %
ירידה במספר הבקשות לשחזור פרטי כניסה
74 %
משתמשים מצליחים לבצע אימות באמצעות FIDO
65 %
אימות באמצעות SMS
שיעור ההצלחה של FIDO גבוה יותר משיעור ההצלחה של אימות באמצעות SMS, וזמני האימות הממוצעים והחציוניים שלו מהירים יותר. לגבי סיסמאות, לקבוצות מסוימות יש זמני אימות קצרים, ואנחנו חושדים שהסיבה לכך היא autocomplete="current-password"
של הדפדפן.
הקושי הגדול ביותר בהצעת חשבונות ללא סיסמה הוא לא הוספת שיטות אימות, אלא הפיכת השימוש במכשירי אימות לפופולרי. אם חוויית השימוש בשירות ללא סיסמה לא נוחה למשתמש, המעבר לא יהיה קל.
אנחנו מאמינים שכדי לשפר את האבטחה, קודם צריך לשפר את נוחות השימוש, ולשם כך נדרשים חידושים ייחודיים לכל שירות.
סיכום
אימות באמצעות סיסמה הוא מסוכן מבחינת אבטחה, וגם מציב אתגרים מבחינת נוחות השימוש. עכשיו, כשטכנולוגיות שתומכות באימות ללא סיסמה, כמו WebOTP API ו-FIDO, זמינות יותר, הגיע הזמן להתחיל לעבוד לקראת אימות ללא סיסמה.
ב-Yahoo! יפן, הגישה הזו השפיעה באופן משמעותי על נוחות השימוש ועל האבטחה. עם זאת, משתמשים רבים עדיין משתמשים בסיסמאות, ולכן נמשיך לעודד משתמשים נוספים לעבור לשיטות אימות ללא סיסמה. בנוסף, נמשיך לשפר את המוצרים שלנו כדי לשפר את חוויית המשתמש בשיטות אימות ללא סיסמה.
צילום: olieman.eth ב-Unsplash