Yahoo! Japonya, şifresiz bir kimlik sistemi oluşturdu.
Yahoo! JAPAN, Japonya'daki en büyük medya şirketlerinden biridir ve arama, haber, e-ticaret ve e-posta gibi hizmetler sunar. 50 milyondan fazla kullanıcı Yahoo!da oturum açıyor. JAPONYA'daki hizmetler her ay.
Yıllar içinde kullanıcı hesaplarına yönelik birçok saldırı ve hesap erişiminin kaybedilmesine yol açan sorunlar yaşandı. Bu sorunların çoğu, kimlik doğrulama için şifre kullanımıyla ilgiliydi.
Kimlik doğrulama teknolojisindeki son gelişmelerle birlikte Yahoo! JAPONYA, şifre tabanlı kimlik doğrulamadan şifresiz kimlik doğrulamaya geçmeye karar verdi.
Neden şifresiz?
Yahoo! JAPAN, e-ticaret ve parayla ilgili diğer hizmetler sunduğundan yetkisiz erişim veya hesap kaybı durumunda kullanıcıların ciddi zarar görme riski vardır.
Şifrelerle ilgili en yaygın saldırılar, şifre listesi saldırıları ve kimlik avı dolandırıcılığıdır. Şifre listesi saldırılarının yaygın ve etkili olmasının nedenlerinden biri, birçok kişinin birden fazla uygulama ve web sitesinde aynı şifreyi kullanma alışkanlığıdır.
Aşağıdaki rakamlar, Yahoo! tarafından yapılan bir anketin sonuçlarıdır. JAPONYA.
50 %
Aynı kimliği ve şifreyi altı veya daha fazla sitede kullanma
60 %
Birden fazla sitede aynı şifreyi kullanma
70 %
birincil giriş yöntemi olarak şifre kullanıyorsanız
Kullanıcılar genellikle şifrelerini unutuyordu. Bu durum, şifreyle ilgili sorguların çoğunu oluşturuyordu. Şifrelerinin yanı sıra giriş kimliklerini unutan kullanıcılardan da sorular geliyordu. Bu sorgular, en yoğun dönemlerinde hesapla ilgili tüm sorguların üçte birinden fazlasını oluşturuyordu.
Yahoo! JAPAN, kullanıcılara ek bir yük getirmeden yalnızca güvenliği değil, aynı zamanda kullanılabilirliği de iyileştirmeyi amaçlıyordu.
Güvenlik açısından bakıldığında, kullanıcı kimlik doğrulama sürecinde şifrelerin ortadan kaldırılması, liste tabanlı saldırılardan kaynaklanan zararı azaltır. Kullanılabilirlik açısından bakıldığında ise şifreleri hatırlamaya dayanmayan bir kimlik doğrulama yöntemi sunmak, kullanıcının şifresini unuttuğu için oturum açamadığı durumları önler.
Yahoo! JAPAN'ın şifresiz girişimleri
Yahoo! JAPONYA, parolasız kimlik doğrulamayı teşvik etmek için çeşitli adımlar atıyor. Bu adımlar genel olarak üç kategoriye ayrılabilir:
- Şifrelere alternatif bir kimlik doğrulama yöntemi sunun.
- Şifre devre dışı bırakma.
- Şifresiz hesap kaydı.
İlk iki girişim mevcut kullanıcıları, şifresiz kayıt ise yeni kullanıcıları hedeflemektedir.
1. Şifrelere alternatif bir kimlik doğrulama yöntemi sunma
Yahoo! JAPAN, parolalara aşağıdaki alternatifleri sunar.
Ayrıca e-posta kimlik doğrulaması, SMS OTP (tek kullanımlık şifre) ile birlikte kullanılan şifre ve e-posta OTP ile birlikte kullanılan şifre gibi kimlik doğrulama yöntemleri de sunuyoruz.
SMS ile kimlik doğrulama
SMS kimlik doğrulaması, kayıtlı bir kullanıcının SMS aracılığıyla altı haneli bir kimlik doğrulama kodu almasına olanak tanıyan bir sistemdir. Kullanıcı SMS'i aldıktan sonra kimlik doğrulama kodunu uygulamaya veya web sitesine girebilir.
Apple, uzun süredir iOS'in SMS mesajlarını okumasına ve metin gövdesindeki kimlik doğrulama kodlarını önermesine izin veriyor. Son zamanlarda, giriş öğesinin autocomplete özelliğinde "one-time-code" belirtilerek önerilerin kullanılması mümkün hale geldi. Android, Windows ve Mac'teki Chrome, WebOTP API'yi kullanarak aynı deneyimi sunabilir.
Örneğin:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Her iki yaklaşım da alan adını SMS gövdesine ekleyerek ve yalnızca belirtilen alan adı için öneriler sunarak kimlik avını önlemek üzere tasarlanmıştır.
WebOTP API'si ve autocomplete="one-time-code" hakkında daha fazla bilgi için SMS OTP formuyla ilgili en iyi uygulamalara göz atın.
WebAuthn ile FIDO
WebAuthn ile FIDO, ortak anahtar şifre çifti oluşturmak ve sahipliği kanıtlamak için donanım kimlik doğrulayıcı kullanır. Akıllı telefon kimlik doğrulayıcı olarak kullanıldığında, tek adımlı iki faktörlü kimlik doğrulama gerçekleştirmek için biyometrik kimlik doğrulama (ör. parmak izi sensörleri veya yüz tanıma) ile birleştirilebilir. Bu durumda, sunucuya yalnızca biyometrik kimlik doğrulama işlemiyle ilgili imza ve başarı göstergesi gönderilir. Bu nedenle, biyometrik veri hırsızlığı riski yoktur.
Aşağıdaki şemada, FIDO için sunucu-istemci yapılandırması gösterilmektedir. İstemci kimlik doğrulayıcısı, kullanıcının kimliğini biyometri kullanarak doğrular ve sonucu ortak anahtar kriptografisiyle imzalar. İmzayı oluşturmak için kullanılan özel anahtar, TEE (Güvenilir Yürütme Ortamı) veya benzer bir konumda güvenli bir şekilde saklanır. FIDO'yu kullanan bir hizmet sağlayıcıya RP (güvenilir taraf) denir.
Kullanıcı kimlik doğrulama işlemini (genellikle biyometrik tarama veya PIN ile) gerçekleştirdikten sonra kimlik doğrulayıcı, tarayıcıya imzalı bir doğrulama sinyali göndermek için özel bir anahtar kullanır. Ardından tarayıcı bu sinyali RP'nin web sitesiyle paylaşır.
Daha sonra RP web sitesi, imzalı doğrulama sinyalini RP'nin sunucusuna gönderir. Sunucu, kimlik doğrulamayı tamamlamak için imzayı ortak anahtara göre doğrular.
Daha fazla bilgi için FIDO Alliance'ın kimlik doğrulama yönergelerini inceleyin.
Yahoo! JAPAN; Android (mobil uygulama ve web), iOS (mobil uygulama ve web), Windows (Edge, Chrome, Firefox) ve macOS'te (Safari, Chrome) FIDO'yu destekler. FIDO, tüketici hizmeti olarak neredeyse tüm cihazlarda kullanılabilir. Bu nedenle, şifresiz kimlik doğrulamanın tanıtımı için iyi bir seçenektir.
Yahoo! JAPAN, kullanıcıların başka yollarla kimlik doğrulaması yapmadıysa WebAuthn ile FIDO'ya kaydolmasını önerir. Bir kullanıcının aynı cihazla giriş yapması gerektiğinde biyometrik sensör kullanarak hızlıca kimliğini doğrulayabilir.
Kullanıcılar, Yahoo! oturum açmak için kullandıkları tüm cihazlarda FIDO kimlik doğrulamasını ayarlamalıdır. JAPONYA.
Şifresiz kimlik doğrulamayı teşvik etmek ve şifrelerden geçiş yapan kullanıcıları göz önünde bulundurmak için birden fazla kimlik doğrulama yöntemi sunuyoruz. Bu nedenle, farklı kullanıcılar farklı kimlik doğrulama yöntemi ayarlarına sahip olabilir ve kullanabilecekleri kimlik doğrulama yöntemleri tarayıcıdan tarayıcıya değişebilir. Kullanıcıların her seferinde aynı kimlik doğrulama yöntemini kullanarak giriş yapmasının daha iyi bir deneyim sağlayacağına inanıyoruz.
Bu koşulları karşılamak için önceki kimlik doğrulama yöntemlerinin izlenmesi ve bu bilgilerin çerez vb. şeklinde depolanarak istemciyle ilişkilendirilmesi gerekir. Ardından, farklı tarayıcıların ve uygulamaların kimlik doğrulama için nasıl kullanıldığını analiz edebiliriz. Kullanıcıdan, ayarları, daha önce kullanılan kimlik doğrulama yöntemleri ve gerekli minimum kimlik doğrulama düzeyine göre uygun kimlik doğrulama sağlaması istenir.
2. Şifre devre dışı bırakma
Yahoo! JAPAN, kullanıcılardan alternatif bir kimlik doğrulama yöntemi ayarlamalarını ve ardından şifrelerini devre dışı bırakmalarını ister. Alternatif kimlik doğrulama ayarlamanın yanı sıra şifreyle kimlik doğrulamayı devre dışı bırakmak (bu nedenle yalnızca şifreyle oturum açmayı imkansız hale getirmek) kullanıcıları liste tabanlı saldırılardan korumaya yardımcı olur.
Kullanıcıları şifrelerini devre dışı bırakmaya teşvik etmek için aşağıdaki adımları uyguladık.
- Kullanıcılar şifrelerini sıfırladığında alternatif kimlik doğrulama yöntemlerini tanıtma
- Kullanıcıları, kullanımı kolay kimlik doğrulama yöntemleri (ör. FIDO) ayarlamaya ve sık kimlik doğrulama gerektiren durumlarda şifreleri devre dışı bırakmaya teşvik edin.
- Kullanıcıları, e-ticaret ödemeleri gibi yüksek riskli hizmetleri kullanmadan önce şifrelerini devre dışı bırakmaya teşvik etme.
Şifresini unutan kullanıcılar hesap kurtarma işlemi yapabilir. Daha önce bu işlem için şifre sıfırlama gerekiyordu. Kullanıcılar artık farklı bir kimlik doğrulama yöntemi ayarlamayı seçebilir ve bunu yapmalarını öneririz.
3. Şifresiz hesap kaydı
Yeni kullanıcılar, şifresiz Yahoo! hesapları oluşturabilir. JAPAN hesapları. Kullanıcıların önce SMS kimlik doğrulamasıyla kaydolması gerekir. Kullanıcı giriş yaptıktan sonra FIDO kimlik doğrulamayı ayarlaması önerilir.
FIDO, cihaz başına bir ayar olduğundan cihaz kullanılamaz hale gelirse hesabı kurtarmak zor olabilir. Bu nedenle, kullanıcıların ek kimlik doğrulama ayarladıktan sonra bile telefon numaralarını kayıtlı tutmalarını zorunlu kılıyoruz.
Şifresiz kimlik doğrulamayla ilgili temel zorluklar
Şifreler insan hafızasına dayanır ve cihazdan bağımsızdır. Diğer yandan, şifresiz girişimimizde şu ana kadar sunulan kimlik doğrulama yöntemleri cihaza bağlıdır. Bu durum çeşitli zorluklara yol açar.
Birden fazla cihaz kullanıldığında kullanılabilirlikle ilgili bazı sorunlar yaşanır:
- Kullanıcılar, bir bilgisayardan giriş yapmak için SMS kimlik doğrulamasını kullandığında mobil telefonlarında gelen SMS mesajlarını kontrol etmelidir. Kullanıcının telefonunun her zaman kullanılabilir ve kolayca erişilebilir olması gerektiğinden bu durum rahatsız edici olabilir.
- FIDO ile, özellikle platform kimlik doğrulayıcılarıyla, birden fazla cihazı olan bir kullanıcı, kayıtlı olmayan cihazlarda kimliğini doğrulayamaz. Kullanmayı planladıkları her cihaz için kayıt işlemi tamamlanmalıdır.
FIDO kimlik doğrulaması belirli cihazlara bağlıdır. Bu nedenle, cihazların kullanıcının elinde ve etkin kalması gerekir.
- Hizmet sözleşmesi iptal edilirse kayıtlı telefon numarasına artık SMS mesajı gönderilemez.
- FIDO, özel anahtarları belirli bir cihazda saklar. Cihaz kaybolursa bu anahtarlar kullanılamaz.
Yahoo! JAPONYA, bu sorunları çözmek için çeşitli adımlar atıyor.
En önemli çözüm, kullanıcıları birden fazla kimlik doğrulama yöntemi ayarlamaya teşvik etmektir. Bu, cihazlar kaybolduğunda alternatif hesap erişimi sağlar. FIDO anahtarları cihaza bağlı olduğundan FIDO özel anahtarlarını birden fazla cihaza kaydetmek de iyi bir uygulamadır.
Alternatif olarak kullanıcılar, WebOTP API'yi kullanarak SMS doğrulama kodlarını Android telefondan PC'deki Chrome'a aktarabilir.
Parolasız kimlik doğrulama yaygınlaştıkça bu sorunların ele alınmasının daha da önemli hale geleceğine inanıyoruz.
Şifresiz kimlik doğrulamanın tanıtımı
Yahoo! JAPAN, 2015'ten beri bu şifresiz girişimler üzerinde çalışmaktadır. Bu süreç, Mayıs 2015'te FIDO sunucu sertifikasının alınmasıyla başladı. Ardından SMS kimlik doğrulama, şifre devre dışı bırakma özelliği ve her cihaz için FIDO desteği kullanıma sunuldu.
Bugün itibarıyla 30 milyondan fazla aylık etkin kullanıcı şifrelerini devre dışı bırakarak şifre dışı kimlik doğrulama yöntemlerini kullanıyor. Yahoo! JAPONYA'da FIDO desteği Android'deki Chrome ile başladı ve şu anda 10 milyondan fazla kullanıcı FIDO kimlik doğrulamasını ayarladı.
Yahoo! JAPONYA'daki girişimler sayesinde, unutulan giriş kimlikleri veya şifrelerle ilgili sorguların yüzdesi, bu tür sorguların sayısının en yüksek olduğu döneme kıyasla% 25 azaldı. Ayrıca, şifresiz hesap sayısındaki artış sonucunda yetkisiz erişimin azaldığını da doğrulayabildik.
FIDO'nun kurulumu çok kolay olduğundan dönüşüm oranı özellikle yüksektir. Hatta Yahoo! JAPAN, FIDO'nun SMS kimlik doğrulamasından daha yüksek bir dönüşüm oranına sahip olduğunu tespit etti.
25 %
Unutulan kimlik bilgileriyle ilgili isteklerde azalma
74 %
Kullanıcılar FIDO kimlik doğrulamasıyla başarılı olur
65 %
SMS ile doğrulamayı başarıyla tamamlama
FIDO, SMS kimlik doğrulamadan daha yüksek bir başarı oranına ve daha hızlı ortalama ve ortanca kimlik doğrulama sürelerine sahiptir. Şifreler söz konusu olduğunda, bazı grupların kısa kimlik doğrulama süreleri var ve bunun tarayıcının autocomplete="current-password" özelliğinden kaynaklandığını düşünüyoruz.
Şifresiz hesaplar sunmanın en büyük zorluğu, kimlik doğrulama yöntemleri eklemek değil, kimlik doğrulayıcıların kullanımını yaygınlaştırmaktır. Parolasız hizmet kullanma deneyimi kullanıcı dostu değilse geçiş kolay olmaz.
Güvenliği artırmak için önce kullanılabilirliği iyileştirmemiz gerektiğine inanıyoruz. Bu da her hizmet için benzersiz yenilikler gerektirecek.
Sonuç
Şifreyle kimlik doğrulama, güvenlik açısından riskli olmasının yanı sıra kullanılabilirlik açısından da zorluklar yaratır. WebOTP API ve FIDO gibi şifre dışı kimlik doğrulamayı destekleyen teknolojiler artık daha yaygın olarak kullanılabildiğinden şifresiz kimlik doğrulamaya geçme zamanı geldi.
Yahoo! JAPONYA'da bu yaklaşım, hem kullanılabilirlik hem de güvenlik üzerinde kesin bir etki yarattı. Ancak birçok kullanıcı hâlâ şifre kullanıyor. Bu nedenle, daha fazla kullanıcıyı şifresiz kimlik doğrulama yöntemlerine geçmeye teşvik etmeye devam edeceğiz. Ayrıca, kullanıcı deneyimini parola içermeyen kimlik doğrulama yöntemleri için optimize etmek amacıyla ürünlerimizi geliştirmeye devam edeceğiz.
olieman.eth tarafından Unsplash'te yayınlanan fotoğraf