Yahoo! トラベルのJapan はパスワードレスの ID システムを構築しました。
Yahoo! JAPAN は日本最大級のメディア企業であり、 検索、ニュース、e コマース、メールなどのサービスです。5,000 万人を超えるユーザー Yahoo!JAPAN の毎月のサービスです。
長年にわたり、ユーザー アカウントに対する攻撃や問題が多数発生し、 アカウントへのアクセス権を失う可能性があります。問題のほとんどはパスワードの使用に関連していました 使用します。
最近の認証技術の進歩により、Yahoo!JAPAN は、 認証がパスワード ベースからパスワードレスに移行しました。
なぜパスワードレスなのか?
Yahoo!JAPAN は e コマースやその他の金銭関連サービスを提供していますが、 ユーザーに深刻な損害を与えるリスクを負うことが アカウント喪失。
パスワードに関する最も一般的な攻撃は、パスワード・リスト攻撃と できます。パスワード・リスト攻撃が頻発する理由の一つは、 同じパスワードを複数のデバイスで アプリケーションやウェブサイトです。
次の図は、Yahoo!JAPAN。
50 個 %
6 つ以上のサイトで同じ ID とパスワードを使用している
60 %
複数のサイトで同じパスワードを使用する
70 %
パスワードを使用する
ユーザーはパスワードを忘れがちなため、パスワードを忘れた パスワードに関する問い合わせまた、Google Workspace の使用経験のある パスワードに加えてログイン ID を忘れた。ピーク時には、 アカウント関連のお問い合わせの 3 分の 1 以上を占めています。
Yahoo!JAPAN は、セキュリティだけでなく ユーザーの負担を増やすことなく ユーザビリティも向上します
セキュリティの観点からは、ユーザーからパスワードを排除し、 認証プロセスにより、リストベースの攻撃による被害が という観点から、Google Cloud リソースに依存しない認証方法 パスワードを保存することで、ユーザーがログインできない パスワードを忘れた可能性があります。
Yahoo! JAPAN のパスワードレスの取り組み
Yahoo! JAPAN はパスワードレスを推進するためにさまざまな取り組みを進めている 認証は、大きく 3 つのカテゴリに分類できます。
- パスワードの代替認証手段を提供する。
- パスワードの無効化。
- パスワードレスのアカウントの登録。
最初の 2 つの取り組みは、パスワードレスで既存のユーザーをターゲットにしました。 登録は新規ユーザーを対象としています。
1. パスワードの代替認証手段を提供する
Yahoo! JAPAN では、パスワードの代わりに次のアカウントをご利用いただけます。
さらに、E メールなどの認証方法も提供しています 認証、SMS OTP と組み合わせたパスワード(ワンタイム パスワード) パスワードとメール OTP の組み合わせです。
SMS 認証
SMS 認証は、登録ユーザーがメッセージを受け取れるようにするシステムです。 6 桁の認証コードを SMS で受け取ります。お客様が SMS を受け取ったら アプリまたはウェブサイトに認証コードを入力する。
Apple は以前から、iOS に SMS メッセージの読み取りと認証の提案を許可している
テキスト本文から抽出します最近では
「one-time-code」入力の autocomplete 属性で、
要素です。Android 版、Windows 版、Mac 版の Chrome で同様の操作が可能
WebOTP API を使用します。
例:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
どちらの方法もフィッシングを防止するために、ドメインを SMS 本文を入力し、指定したドメインについてのみ候補を表示します。
WebOTP API と autocomplete="one-time-code" について詳しくは、
SMS OTP フォームに関するおすすめの方法を確認してください。
FIDO と WebAuthn
WebAuthn を使用する FIDO はハードウェア認証システムを使用して公開鍵を生成する 持っていることを証明しますスマートフォンが 生体認証( 指紋認証センサーや顔認識など)を使用して、1 ステップの 2 要素認証を実行します。 あります。この場合、署名と成功インジケーターのみが サーバーに送信されるため、リスクがゼロに 生体認証データの窃取です
次の図は、FIDO のサーバー クライアントの構成を示しています。「 クライアント認証システムが生体認証でユーザーを認証し、 暗号化して復号します。鍵の作成に使用する秘密鍵は、 署名が TEE(高信頼実行環境)に安全に保存される 検索しますFIDO を使用するサービス プロバイダは RP と呼ばれます。 (証明書利用者)。
ユーザーが認証(通常は生体認証スキャンや PIN)を行うと、認証システムは秘密鍵を使用して署名済みの検証シグナルをブラウザに送信します。その後、ブラウザはそのシグナルを RP のウェブサイトと共有します。
その後、RP のウェブサイトは署名済みの検証シグナルを RP のサーバーに送信します。RP のサーバーは、署名と公開鍵を検証して、認証を完了します。
詳しくは、 FIDO Alliance の認証ガイドラインをご覧ください。
Yahoo! 日本は FIDO を Android(モバイルアプリとウェブ)、iOS(モバイルアプリ)でサポート およびウェブ)、Windows(Edge、Chrome、Firefox)、macOS(Safari、Chrome)のいずれかに対応しています。たとえば、 FIDO はほぼすべてのデバイスで使用できるため、 パスワードレス認証を推進するオプションもあります
<ph type="x-smartling-placeholder">
Yahoo! JAPAN では、ユーザーが 他の方法で認証されていない場合ですユーザーがログインする必要がある場合 生体認証センサーを使ってすばやく認証できます。
ユーザーは、ログインに使用するすべてのデバイスで FIDO 認証を設定する必要があります。 Yahoo!JAPAN。
パスワードレス認証を推進し、ログインしたユーザーに配慮 移行に向けて、Google は複数の手段で あります。つまり、ユーザーごとに異なる 認証方法の設定、使用できる認証方法 ブラウザによって異なる場合があります。ユーザーエクスペリエンスが 毎回同じ認証方法でログインできます。
これらの要件を満たすには、以前の認証プロセスを追跡し、 メソッドを実行し、この情報を さまざまなブラウザやアプリケーションのパフォーマンスを 使用されます。ユーザーは、 ユーザー設定に基づく認証、以前の認証プロセス、 使用する認証方法、必要最小限のレベルについて 決められています
2. パスワードの無効化
Yahoo! JAPAN では、代替の認証方法を設定するようユーザーに求め、 パスワードを使用できなくなります。Google Chat の設定に加えて、 代替認証の設定、パスワード認証の無効化 パスワードだけでログインできないような設定など)や、 サポートしています。
ユーザーに できます。
- ユーザーがパスワードを再設定したときに代替認証方法を推進すること。
- 使いやすい認証方法( FIDO など)を使用して、パスワードを無効にしたり、 あります。
- リスクの高いサービスを使用する前にパスワードを無効にするようユーザーに促す。 たとえば e コマースの決済などです
ユーザーがパスワードを忘れた場合、アカウント復元を実行できます。以前 パスワードのリセットが必要でしたユーザーはここで そのようにすることを推奨しています。
3. パスワードレス アカウントの登録
新規ユーザーは、パスワード不要の Yahoo!JAPAN のアカウントでご利用いただけます。ユーザーを最優先 SMS 認証を使用して登録する必要があります。ユーザーがログインしたら ユーザーに FIDO 認証を設定するよう促します。
FIDO はデバイスごとの設定であるため、アカウントの復元が難しい場合があります。 保護します。そのためユーザーは、 登録済みの電話番号(追加の認証を設定した後も含む)
パスワードレス認証の主な課題
パスワードは人間の記憶に基づいており、デバイスに依存しません。一方 Google のパスワードレス イニシアチブでこれまでに導入された認証方法を デバイスによって異なります。これにはいくつかの課題があります。
複数のデバイスが使用されている場合、ユーザビリティに関して次のような問題が発生します。
- SMS 認証を使用して PC からログインする場合、ユーザーは 携帯電話で SMS メッセージを受信できるようにします。これは不都合な可能性があるため、 ユーザーの携帯電話がいつでも利用でき、簡単にアクセスできるようにする必要がある。
- FIDO、特にプラットフォーム認証システムでは、 未登録のデバイスでは認証ができなくなります。 使用するデバイスごとに登録を完了する必要があります。
FIDO 認証は特定のデバイスに関連付けられているため、デバイスを アクティブな状態を表します。
- サービス契約が解約されると、 登録されている電話番号に SMS メッセージを送信する。
- FIDO は特定のデバイスに秘密鍵を保存します。デバイスを紛失した場合は、 使用できない場合です。
Yahoo! JAPAN はこうした問題に対処するためにさまざまな措置を講じています。
最も重要な解決策は、ユーザーに複数の あります。これにより、デバイスが Google アカウントを持っているかにかかわらず、 なくなります。FIDO キーはデバイスに依存するため、 FIDO 秘密鍵を複数のデバイスで登録できます。
別の方法として、ユーザーは WebOTP API を使用して SMS による確認に成功することもできます。 コードを Android スマートフォンから PC の Chrome に転送できます。
こうした課題への対処は、 パスワードレス認証が普及しています。
パスワードレス認証の推進
Yahoo! JAPAN は 2015 年から、このようなパスワードレスの取り組みに取り組んできました。 2015 年 5 月の FIDO サーバー認証の取得から始まり その後、SMS 認証、パスワードの無効化の導入 デバイスごとの FIDO サポートが含まれています。
現在では、1 か月のアクティブ ユーザーがすでに 3, 000 万人以上に達しており、 パスワード以外の認証方法が使用されています。Yahoo! JAPAN の FIDO のサポートは Android 版 Chrome から始まり、現在では 1, 000 万人以上 FIDO 認証を設定しています
Yahoo! トラベルがJAPAN の取り組み ログイン ID やパスワードを忘れたユーザーの増加率は、 最も多い時期でしたが 不正アクセスが拒否されていることを、 パスワードレスアカウントの増加率
FIDO は設定が簡単なので、特にコンバージョン率が高くなっています。 実際、Yahoo!JAPAN では、FIDO の CVR が SMS より高いことが判明しています あります。
25 個 %
認証情報を忘れた場合のリクエストの減少率
74 %
ユーザーが FIDO 認証に成功する
65 %
SMS での確認が完了しました
FIDO は SMS 認証よりも成功率が高く、認証の平均と迅速化が
認証時間の中央値を示していますパスワードについては、グループによっては、
この原因としては、ブラウザの認証、アクセス制限、
autocomplete="current-password"。
パスワードレスのアカウントを提供するうえで最も難しいのは、 認証システムの使用が普及しています。 パスワードレス サービスを使用する際の使い勝手が良くない場合は、 簡単ではないでしょう。
セキュリティを向上させるには、まずユーザビリティを向上させる必要があります。 サービスごとに独自のイノベーションが必要になります
まとめ
パスワード認証にはセキュリティの面でリスクがあり、 ユーザビリティの面で 大きな課題に直面していますテクノロジーが 非パスワード認証(WebOTP API や FIDO など)が広く普及している パスワードレス認証の導入に取り掛かりましょう。
Yahoo!このアプローチは、 セキュリティです。しかし、多くのユーザーがいまだにパスワードを使用しているため、 パスワードレス認証への切り替えをより多くのユーザーに促す あります。また、ユーザー エクスペリエンスを最適化できるよう、 パスワードレス認証方式を推進しています。
写真提供: olieman.eth、Unsplash より