ดูข้อมูลเกี่ยวกับวิธีที่ Yahoo! ญี่ปุ่นสร้างระบบข้อมูลประจำตัวแบบไม่มีรหัสผ่าน
Yahoo! JAPAN เป็นหนึ่งในบริษัทสื่อที่ใหญ่ที่สุดในญี่ปุ่น ซึ่งให้บริการต่างๆ เช่น การค้นหา ข่าวสาร อีคอมเมิร์ซ และอีเมล ผู้ใช้กว่า 50 ล้านคนเข้าสู่ระบบ Yahoo! บริการ JAPAN ทุกเดือน
ในช่วงหลายปีที่ผ่านมา มีการโจมตีบัญชีผู้ใช้และปัญหาต่างๆ มากมายที่ทําให้สูญเสียสิทธิ์เข้าถึงบัญชี ปัญหาส่วนใหญ่เกี่ยวข้องกับการใช้รหัสผ่านเพื่อตรวจสอบสิทธิ์
Yahoo! JAPAN ได้ตัดสินใจเปลี่ยนไปใช้การตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านแทนการตรวจสอบสิทธิ์แบบใช้รหัสผ่าน
เหตุผลที่ควรใช้ฟีเจอร์นี้
ในฐานะ Yahoo! JAPAN ให้บริการอีคอมเมิร์ซและบริการอื่นๆ ที่เกี่ยวข้องกับเงิน จึงมีความเสี่ยงที่ผู้ใช้จะได้รับความเสียหายร้ายแรงในกรณีที่มีการเข้าถึงโดยไม่ได้รับอนุญาตหรือการสูญเสียบัญชี
การโจมตีที่พบบ่อยที่สุดซึ่งเกี่ยวข้องกับรหัสผ่านคือการโจมตีรายการรหัสผ่านและการหลอกลวงฟิชชิง สาเหตุหนึ่งที่การโจมตีรายการรหัสผ่านเกิดขึ้นได้บ่อยและมีประสิทธิภาพคือนิสัยของผู้ใช้หลายคนที่ใช้รหัสผ่านเดียวกันกับแอปพลิเคชันและเว็บไซต์หลายแห่ง
ตัวเลขต่อไปนี้เป็นผลการสำรวจที่ Yahoo! ดำเนินการ ญี่ปุ่น
50 %
ใช้รหัสและรหัสผ่านเดียวกันในเว็บไซต์ตั้งแต่ 6 เว็บไซต์ขึ้นไป
60 %
ใช้รหัสผ่านเดียวกันในหลายเว็บไซต์
70 %
ใช้รหัสผ่านเป็นวิธีหลักในการเข้าสู่ระบบ
ผู้ใช้มักลืมรหัสผ่าน ซึ่งทำให้เกิดคําถามเกี่ยวกับรหัสผ่านส่วนใหญ่ นอกจากนี้ เรายังได้รับคำถามจากผู้ใช้ที่ลืมรหัสเข้าสู่ระบบนอกเหนือจากรหัสผ่านด้วย ในช่วงที่สูงสุด คําถามเหล่านี้คิดเป็นสัดส่วนมากกว่า 1 ใน 3 ของคําถามทั้งหมดที่เกี่ยวข้องกับบัญชี
การเลิกใช้รหัสผ่านทำให้ Yahoo! JAPAN มุ่งมั่นที่จะปรับปรุงทั้งความปลอดภัยและความสามารถในการใช้งานโดยไม่เพิ่มภาระให้กับผู้ใช้
จากมุมมองด้านความปลอดภัย การยกเลิกการใช้รหัสผ่านในกระบวนการตรวจสอบสิทธิ์ของผู้ใช้จะช่วยลดความเสียหายจากการโจมตีตามรายการ และจากมุมมองด้านความสามารถในการใช้งาน การให้วิธีการตรวจสอบสิทธิ์ที่ไม่จําเป็นต้องจดจํารหัสผ่านจะช่วยป้องกันไม่ให้ผู้ใช้เข้าสู่ระบบไม่ได้เนื่องจากลืมรหัสผ่าน
Yahoo! โครงการริเริ่มที่ไม่ต้องใช้รหัสผ่านของ JAPAN
Yahoo! ญี่ปุ่นกำลังดำเนินการหลายขั้นตอนเพื่อส่งเสริมการตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่าน ซึ่งแบ่งออกเป็น 3 หมวดหมู่ใหญ่ๆ ดังนี้
- ระบุวิธีอื่นในการตรวจสอบสิทธิ์รหัสผ่าน
- ปิดใช้งานรหัสผ่าน
- การลงทะเบียนบัญชีแบบไม่ใช้รหัสผ่าน
2 โครงการแรกมีไว้สำหรับผู้ใช้ปัจจุบัน ส่วนการลงทะเบียนแบบไม่ต้องใช้รหัสผ่านมีไว้สำหรับผู้ใช้ใหม่
1. ระบุวิธีอื่นในการตรวจสอบสิทธิ์รหัสผ่าน
Yahoo! JAPAN มีทางเลือกต่อไปนี้แทนรหัสผ่าน
นอกจากนี้ เรายังมีวิธีการตรวจสอบสิทธิ์ เช่น การตรวจสอบสิทธิ์ทางอีเมล, รหัสผ่านร่วมกับ OTP ทาง SMS (รหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว) และรหัสผ่านร่วมกับ OTP ทางอีเมล
การตรวจสอบสิทธิ์ทาง SMS
การตรวจสอบสิทธิ์ผ่าน SMS เป็นระบบที่อนุญาตให้ผู้ใช้ที่ลงทะเบียนได้รับรหัสการตรวจสอบสิทธิ์ 6 หลักทาง SMS เมื่อผู้ใช้ได้รับ SMS แล้ว ก็จะป้อนรหัสการตรวจสอบสิทธิ์ในแอปหรือเว็บไซต์ได้
Apple ได้อนุญาตให้ iOS อ่านข้อความ SMS และแนะนำรหัสการตรวจสอบสิทธิ์จากเนื้อหาข้อความมาอย่างยาวนาน เมื่อเร็วๆ นี้ คุณสามารถใช้คำแนะนำได้โดยระบุ "one-time-code" ในแอตทริบิวต์ autocomplete
ขององค์ประกอบอินพุต Chrome ใน Android, Windows และ Mac ให้ประสบการณ์การใช้งานแบบเดียวกันโดยใช้ WebOTP API
เช่น
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
ทั้ง 2 วิธีนี้ออกแบบมาเพื่อป้องกันฟิชชิงโดยใส่โดเมนในเนื้อหา SMS และแสดงคำแนะนำสำหรับโดเมนที่ระบุเท่านั้น
ดูข้อมูลเพิ่มเติมเกี่ยวกับ WebOTP API และ autocomplete="one-time-code"
ได้ที่แนวทางปฏิบัติแนะนำสำหรับแบบฟอร์ม SMS OTP
FIDO กับ WebAuthn
FIDO ที่มี WebAuthn ใช้โปรแกรมตรวจสอบสิทธิ์ฮาร์ดแวร์เพื่อสร้างคู่คีย์สาธารณะและการเข้ารหัส และพิสูจน์การครอบครอง เมื่อใช้สมาร์ทโฟนเป็นปัจจัยที่ทำให้เกิดการตรวจสอบสิทธิ์ สมาร์ทโฟนจะทำงานร่วมกับการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริก (เช่น เซ็นเซอร์ลายนิ้วมือหรือการจดจำใบหน้า) เพื่อดำเนินการตรวจสอบสิทธิ์แบบ 2 ปัจจัยแบบ 1 ขั้นตอน ในกรณีนี้ ระบบจะส่งเฉพาะลายเซ็นและตัวบ่งชี้ความสำเร็จจากการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกไปยังเซิร์ฟเวอร์เท่านั้น จึงไม่มีความเสี่ยงที่จะมีการลักลอบนำข้อมูลไบโอเมตริกไปใช้
แผนภาพต่อไปนี้แสดงการกำหนดค่าเซิร์ฟเวอร์-ไคลเอ็นต์สำหรับ FIDO โปรแกรมตรวจสอบสิทธิ์ไคลเอ็นต์จะตรวจสอบสิทธิ์ผู้ใช้ด้วยข้อมูลไบโอเมตริกและลงนามในผลลัพธ์โดยใช้การเข้ารหัสคีย์สาธารณะ คีย์ส่วนตัวที่ใช้สร้างลายเซ็นจะจัดเก็บไว้อย่างปลอดภัยใน TEE (Trusted Execution Environment) หรือตำแหน่งที่คล้ายกัน ผู้ให้บริการที่ใช้ FIDO เรียกว่า RP (บุคคลที่เชื่อถือ)
ดูข้อมูลเพิ่มเติมได้ที่หลักเกณฑ์การตรวจสอบสิทธิ์จาก FIDO Alliance
Yahoo! ญี่ปุ่นรองรับ FIDO ใน Android (แอปบนอุปกรณ์เคลื่อนที่และเว็บ), iOS (แอปบนอุปกรณ์เคลื่อนที่และเว็บ), Windows (Edge, Chrome, Firefox) และ macOS (Safari, Chrome) FIDO เป็นบริการสำหรับผู้บริโภคที่ใช้งานได้กับอุปกรณ์เกือบทุกเครื่อง จึงเหมาะที่จะโปรโมตการตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่าน
Yahoo! ญี่ปุ่นแนะนำให้ผู้ใช้ลงทะเบียน FIDO ด้วย WebAuthn หากยังไม่ได้ตรวจสอบสิทธิ์ผ่านวิธีอื่น เมื่อผู้ใช้ต้องเข้าสู่ระบบด้วยอุปกรณ์เครื่องเดิม ผู้ใช้จะตรวจสอบสิทธิ์ได้อย่างรวดเร็วโดยใช้เซ็นเซอร์ข้อมูลไบโอเมตริก
ผู้ใช้ต้องตั้งค่าการตรวจสอบสิทธิ์ FIDO กับอุปกรณ์ทั้งหมดที่ใช้เข้าสู่ระบบ Yahoo! ญี่ปุ่น
เราให้บริการตรวจสอบสิทธิ์หลายวิธีเพื่อส่งเสริมการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านและคำนึงถึงผู้ใช้ที่เลิกใช้รหัสผ่าน ซึ่งหมายความว่าผู้ใช้แต่ละรายอาจมีการตั้งค่าวิธีการตรวจสอบสิทธิ์ที่แตกต่างกัน และวิธีการตรวจสอบสิทธิ์ที่ผู้ใช้แต่ละรายใช้ได้อาจแตกต่างกันไปในแต่ละเบราว์เซอร์ เราเชื่อว่าผู้ใช้จะได้รับประสบการณ์การใช้งานที่ดีขึ้นหากเข้าสู่ระบบโดยใช้วิธีการตรวจสอบสิทธิ์เดียวกันทุกครั้ง
ในการปฏิบัติตามข้อกําหนดเหล่านี้ คุณต้องติดตามวิธีการตรวจสอบสิทธิ์ก่อนหน้านี้และลิงก์ข้อมูลนี้กับไคลเอ็นต์โดยจัดเก็บในรูปแบบคุกกี้ ฯลฯ จากนั้นเราจะวิเคราะห์วิธีใช้เบราว์เซอร์และแอปพลิเคชันต่างๆ ในการตรวจสอบสิทธิ์ ระบบจะขอให้ผู้ใช้ดำเนินการตรวจสอบสิทธิ์ที่เหมาะสมตามการตั้งค่าของผู้ใช้ วิธีการตรวจสอบสิทธิ์ก่อนหน้านี้ที่ใช้ และระดับการตรวจสอบสิทธิ์ขั้นต่ำที่กำหนด
2. ปิดใช้งานรหัสผ่าน
Yahoo! JAPAN จะขอให้ผู้ใช้ตั้งค่าวิธีการตรวจสอบสิทธิ์อื่น แล้วปิดใช้รหัสผ่านเพื่อไม่ให้มีการใช้รหัสผ่านดังกล่าว นอกจากการตั้งค่าการตรวจสอบสิทธิ์ระบบอื่นแล้ว การปิดใช้การตรวจสอบสิทธิ์ด้วยรหัสผ่าน (ซึ่งทำให้ลงชื่อเข้าใช้ด้วยรหัสผ่านเพียงอย่างเดียวไม่ได้) ยังช่วยปกป้องผู้ใช้จากการโจมตีตามรายการ
เราได้ดำเนินการตามขั้นตอนต่อไปนี้เพื่อกระตุ้นให้ผู้ใช้ปิดใช้รหัสผ่าน
- การโปรโมตวิธีการตรวจสอบสิทธิ์อื่นเมื่อผู้ใช้รีเซ็ตรหัสผ่าน
- ส่งเสริมให้ผู้ใช้ตั้งค่าวิธีการตรวจสอบสิทธิ์ที่ใช้งานง่าย (เช่น FIDO) และปิดใช้รหัสผ่านสำหรับกรณีที่ต้องมีการตรวจสอบสิทธิ์บ่อยครั้ง
- กระตุ้นให้ผู้ใช้ปิดใช้รหัสผ่านก่อนใช้บริการที่มีความเสี่ยงสูง เช่น การชําระเงินผ่านระบบอิเล็กทรอนิกส์
หากผู้ใช้ลืมรหัสผ่าน ผู้ใช้จะเรียกใช้การกู้คืนบัญชีได้ ซึ่งก่อนหน้านี้ต้องรีเซ็ตรหัสผ่าน ตอนนี้ผู้ใช้สามารถเลือกตั้งค่าวิธีการตรวจสอบสิทธิ์แบบอื่นได้ และเราขอแนะนำให้ผู้ใช้ดำเนินการดังกล่าว
3. การลงทะเบียนบัญชีแบบไม่ใช้รหัสผ่าน
ผู้ใช้ใหม่สามารถสร้างบัญชี Yahoo! ที่ไม่มีรหัสผ่าน บัญชี JAPAN ผู้ใช้จะต้องลงทะเบียนด้วยการตรวจสอบสิทธิ์ผ่าน SMS ก่อน เมื่อเข้าสู่ระบบแล้ว เราขอแนะนำให้ผู้ใช้ตั้งค่าการตรวจสอบสิทธิ์ FIDO
เนื่องจาก FIDO เป็นการตั้งค่าต่ออุปกรณ์ การกู้คืนบัญชีจึงอาจทำได้ยากหากอุปกรณ์ใช้งานไม่ได้ เราจึงกำหนดให้ผู้ใช้ต้องลงทะเบียนหมายเลขโทรศัพท์ไว้เสมอ แม้ว่าจะตั้งค่าการตรวจสอบสิทธิ์เพิ่มเติมแล้วก็ตาม
ปัญหาสำคัญในการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
รหัสผ่านอาศัยความจำของมนุษย์และไม่ขึ้นอยู่กับอุปกรณ์ ในทางกลับกัน วิธีการตรวจสอบสิทธิ์ที่เราได้เปิดตัวไปแล้วในโครงการริเริ่มแบบไม่ใช้รหัสผ่านนั้นขึ้นอยู่กับอุปกรณ์ ซึ่งทำให้เกิดปัญหาหลายประการ
เมื่อใช้อุปกรณ์หลายเครื่อง จะเกิดปัญหาบางอย่างเกี่ยวกับความสามารถในการใช้งาน
- เมื่อใช้การตรวจสอบสิทธิ์ผ่าน SMS เพื่อเข้าสู่ระบบจาก PC ผู้ใช้ต้องตรวจสอบโทรศัพท์มือถือเพื่อหาข้อความ SMS ขาเข้า ซึ่งอาจไม่สะดวกเนื่องจากโทรศัพท์ของผู้ใช้ต้องพร้อมใช้งานและเข้าถึงได้ง่ายทุกเมื่อ
- เมื่อใช้ FIDO โดยเฉพาะกับโปรแกรมตรวจสอบสิทธิ์ของแพลตฟอร์ม ผู้ใช้ที่มีอุปกรณ์หลายเครื่องจะตรวจสอบสิทธิ์ในอุปกรณ์ที่ไม่ได้ลงทะเบียนไม่ได้ คุณต้องลงทะเบียนอุปกรณ์แต่ละเครื่องที่ต้องการใช้ให้เสร็จสมบูรณ์
การตรวจสอบสิทธิ์ FIDO จะเชื่อมโยงกับอุปกรณ์ที่เฉพาะเจาะจง ซึ่งกำหนดให้อุปกรณ์ดังกล่าวต้องอยู่ในความครอบครองของผู้ใช้และใช้งานได้
- หากยกเลิกสัญญาบริการ คุณจะส่งข้อความ SMS ไปยังหมายเลขโทรศัพท์ที่ลงทะเบียนไว้ไม่ได้อีกต่อไป
- FIDO จะจัดเก็บคีย์ส่วนตัวไว้ในอุปกรณ์หนึ่งๆ หากอุปกรณ์สูญหาย คุณจะใช้งานคีย์เหล่านั้นไม่ได้
Yahoo! JAPAN กำลังดำเนินการหลายขั้นตอนเพื่อแก้ไขปัญหาเหล่านี้
โซลูชันที่สำคัญที่สุดคือการส่งเสริมให้ผู้ใช้ตั้งค่าวิธีการตรวจสอบสิทธิ์หลายวิธี ซึ่งจะเป็นช่องทางเข้าถึงบัญชีอีกทางหนึ่งเมื่ออุปกรณ์สูญหาย เนื่องจากคีย์ FIDO ขึ้นอยู่กับอุปกรณ์ จึงควรลงทะเบียนคีย์ส่วนตัว FIDO ในอุปกรณ์หลายเครื่องด้วย
หรือผู้ใช้จะใช้ WebOTP API เพื่อส่งรหัสยืนยันทาง SMS จากโทรศัพท์ Android ไปยัง Chrome ใน PC ก็ได้
เราเชื่อว่าการแก้ไขปัญหาเหล่านี้จะยิ่งมีความสำคัญมากขึ้นเมื่อการตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่านเริ่มแพร่หลาย
การโปรโมตการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
Yahoo! JAPAN ดำเนินการตามโครงการริเริ่มแบบไม่ต้องใช้รหัสผ่านเหล่านี้มาตั้งแต่ปี 2015 โดยเริ่มต้นจากการได้รับใบรับรองเซิร์ฟเวอร์ FIDO ในเดือนพฤษภาคม 2015 ตามด้วยการเปิดตัวการตรวจสอบสิทธิ์ผ่าน SMS, ฟีเจอร์การปิดใช้งานรหัสผ่าน และการสนับสนุน FIDO สำหรับอุปกรณ์แต่ละเครื่อง
ปัจจุบันผู้ใช้ที่ใช้งานอยู่รายเดือนกว่า 30 ล้านคนได้ปิดใช้รหัสผ่านและใช้วิธีการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านแล้ว Yahoo! การรองรับ FIDO ของญี่ปุ่นเริ่มต้นด้วย Chrome ใน Android และตอนนี้ผู้ใช้มากกว่า 10 ล้านคนได้ตั้งค่าการตรวจสอบสิทธิ์ FIDO แล้ว
ผลที่ได้จาก Yahoo! JAPAN เปอร์เซ็นต์ของคําถามที่เกี่ยวข้องกับรหัสการเข้าสู่ระบบหรือรหัสผ่านที่ลืมลดลง 25% เมื่อเทียบกับช่วงเวลาที่มีจํานวนคําถามดังกล่าวสูงสุด และเรายังยืนยันได้ว่าการเข้าถึงที่ไม่ได้รับอนุญาตลดลงด้วยเนื่องจากจํานวนบัญชีที่ไม่มีรหัสผ่านเพิ่มขึ้น
FIDO มีอัตรา Conversion ที่สูงมากเนื่องจากตั้งค่าได้ง่าย จริงๆ แล้ว Yahoo! JAPAN พบว่า FIDO มี CVR สูงกว่าการตรวจสอบสิทธิ์ทาง SMS
25 %
จำนวนคำขอข้อมูลเข้าสู่ระบบที่ลืมลดลง
74 %
ผู้ใช้ตรวจสอบสิทธิ์ด้วย FIDO สำเร็จ
65 %
ยืนยันทาง SMS สำเร็จ
FIDO มีอัตราความสำเร็จสูงกว่าการตรวจสอบสิทธิ์ผ่าน SMS และใช้เวลาตรวจสอบสิทธิ์โดยเฉลี่ยและค่ามัธยฐานเร็วกว่า สำหรับรหัสผ่าน บางกลุ่มมีเวลาตรวจสอบสิทธิ์สั้น และเราสงสัยว่าปัญหานี้เกิดจากautocomplete="current-password"
ของเบราว์เซอร์
ปัญหาที่ใหญ่ที่สุดในการเสนอบัญชีแบบไม่ต้องใช้รหัสผ่านไม่ใช่การเพิ่มวิธีการตรวจสอบสิทธิ์ แต่คือการทำให้การใช้โปรแกรมตรวจสอบสิทธิ์เป็นที่นิยม หากประสบการณ์การใช้งานบริการแบบไม่ต้องใช้รหัสผ่านไม่เป็นมิตรกับผู้ใช้ การเปลี่ยนผ่านก็จะไม่ง่าย
เราเชื่อว่าหากต้องการเพิ่มความปลอดภัย เราต้องปรับปรุงความสามารถในการใช้งานก่อน ซึ่งจะต้องอาศัยนวัตกรรมที่ไม่เหมือนใครสำหรับบริการแต่ละอย่าง
บทสรุป
การตรวจสอบสิทธิ์ด้วยรหัสผ่านมีความเสี่ยงด้านความปลอดภัย และยังก่อให้เกิดปัญหาด้านความสามารถในการใช้งานด้วย ตอนนี้เทคโนโลยีที่รองรับการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน เช่น WebOTP API และ FIDO มีให้บริการอย่างแพร่หลายแล้ว จึงถึงเวลาเริ่มดำเนินการเพื่อการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
ที่ Yahoo! ญี่ปุ่น การใช้แนวทางนี้ส่งผลต่อทั้งความสามารถในการใช้งานและความปลอดภัยอย่างแน่นอน อย่างไรก็ตาม ผู้ใช้จำนวนมากยังคงใช้รหัสผ่านอยู่ เราจึงจะยังคงส่งเสริมให้ผู้ใช้จำนวนมากขึ้นเปลี่ยนไปใช้วิธีการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน นอกจากนี้ เราจะปรับปรุงผลิตภัณฑ์อย่างต่อเนื่องเพื่อเพิ่มประสิทธิภาพประสบการณ์ของผู้ใช้สำหรับวิธีการตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่าน
รูปภาพโดย olieman.eth ใน Unsplash