Yahoo! Japan, şifresiz bir kimlik sistemi geliştirdi.
Yahoo! Arama, haber, e-ticaret ve e-posta gibi hizmetler sunan JAPAN, Japonya'daki en büyük medya şirketlerinden biridir. 50 milyondan fazla kullanıcı Yahoo! Japan'a hizmet veriyor.
Yıllar içinde, kullanıcı hesaplarına yönelik birçok saldırı ve hesaba erişimin kaybedilmesine yol açan sorunlar yaşandı. Bu sorunların çoğu, kimlik doğrulama için şifre kullanımıyla ilgiliydi.
Kimlik doğrulama teknolojisindeki son gelişmelerle birlikte, Yahoo! JAPAN, şifre tabanlı kimlik doğrulamasından şifresiz kimlik doğrulamasına geçmeye karar vermiştir.
Neden şifresiz?
Yahoo! JAPAN, e-ticaret ve parayla ilgili diğer hizmetler sunar. Yetkisiz erişim veya hesap kaybı durumlarında kullanıcılara ciddi zarar verme riski vardır.
Şifrelerle ilgili en yaygın saldırılar, şifre listesi saldırıları ve kimlik avı dolandırıcılıklarıydı. Şifre listesi saldırılarının yaygın ve etkili olmasının nedenlerinden biri, birçok kişinin birden çok uygulama ve web sitesi için aynı şifreyi kullanmasıdır.
Aşağıda, Yahoo! tarafından gerçekleştirilen bir anketin sonuçları verilmiştir. JAPONYA.
%50
altı veya daha fazla sitede aynı kimliği ve şifreyi kullanmalıdır
%60
Birden çok sitede aynı şifreyi kullanın
%70
birincil giriş yöntemi olarak şifre kullanma
Kullanıcılar genellikle şifrelerini unuturlar. Şifreyle ilgili sorguların çoğu bu durumdan kaynaklanır. Ayrıca, şifrelerinin yanı sıra giriş kimliklerini de unutan kullanıcılardan gelen sorgular da vardı. En yoğun zamanında bu sorgular, hesapla ilgili tüm sorguların üçte birinden fazlasını oluşturuyordu.
Şifresiz geçişle, Yahoo! JAPAN, kullanıcılara herhangi bir ek yük oluşturmadan yalnızca güvenliği değil, kullanılabilirliği de iyileştirmeyi amaçladı.
Güvenlik açısından bakıldığında, kullanıcı kimlik doğrulama sürecinde şifreleri kaldırmak, liste tabanlı saldırılardan kaynaklanan zararı azaltır ve kullanılabilirlik açısından, şifrelerin hatırlanmasına dayalı olmayan bir kimlik doğrulama yöntemi sağlamak, kullanıcının şifresini unuttuğu için giriş yapamadığı durumları önler.
Yahoo! JAPAN'nın şifresiz girişimleri
Yahoo! JAPAN, şifresiz kimlik doğrulamayı desteklemek için bir dizi adım uygulamaktadır. Bu adımlar üç kategoriye ayrılabilir:
- Şifreleriniz için kimlik doğrulaması yapmak üzere alternatif bir yöntem sağlayın.
- Şifreyi devre dışı bırakma.
- Şifresiz hesap kaydı.
İlk iki girişim mevcut kullanıcıları, şifresiz kayıt ise yeni kullanıcıları hedefler.
1. Şifrelerde kimlik doğrulama için alternatif yöntemler sağlama
Yahoo! JAPAN, şifrelere aşağıdaki alternatifleri sunar.
Ayrıca, e-posta kimlik doğrulaması, SMS OTP ile birleşik şifre (tek kullanımlık şifre) ve e-posta OTP'si ile birleştirilmiş şifre gibi kimlik doğrulama yöntemleri de sunuyoruz.
SMS ile kimlik doğrulama
SMS kimlik doğrulaması, kayıtlı kullanıcının SMS aracılığıyla altı basamaklı bir kimlik doğrulama kodu almasına olanak tanıyan bir sistemdir. Kullanıcı SMS'i aldıktan sonra, kimlik doğrulama kodunu uygulamaya veya web sitesine girebilir.
Apple, iOS'in SMS mesajlarını okumasına ve metin gövdesinden kimlik doğrulama kodları önermesine uzun zaman izin vermiştir. Son zamanlarda giriş öğesinin autocomplete özelliğinde "tek seferlik kod" değerini belirterek önerileri kullanmak mümkün hale geldi. Android, Windows ve Mac'teki Chrome, WebOTP API'yi kullanarak aynı deneyimi sunabilir.
Örneğin:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Her iki yaklaşım da alan adını SMS gövdesine ekleyerek ve yalnızca belirtilen alan için öneriler sunarak kimlik avını önlemek için tasarlanmıştır.
WebOTP API ve autocomplete="one-time-code" hakkında daha fazla bilgi için SMS OTP formu en iyi uygulamaları başlıklı makaleyi inceleyin.
WebAuthn ile FIDO
WebAuthn özellikli FIDO, ortak anahtar şifre çifti oluşturmak ve sahip olduğunuzu kanıtlamak için bir donanım kimlik doğrulayıcı kullanır. Kimlik doğrulayıcı olarak kullanılan akıllı telefonlar, tek adımlı iki faktörlü kimlik doğrulama gerçekleştirmek için biyometrik kimlik doğrulama (ör. parmak izi sensörleri veya yüz tanıma) ile birlikte kullanılabilir. Bu durumda sunucuya yalnızca biyometrik kimlik doğrulamadan gelen imza ve başarı göstergesi gönderilir, böylece biyometrik veri hırsızlığı riski olmaz.
Aşağıdaki şemada FIDO için sunucu-istemci yapılandırması gösterilmektedir. İstemci kimlik doğrulayıcı, kullanıcının kimliğini biyometri ile doğrular ve sonucu ortak anahtar kriptografisiyle imzalar. İmzayı oluşturmak için kullanılan özel anahtar, TEE (Güvenilir Yürütme Ortamı) veya benzer bir konumda güvenli bir şekilde saklanır. FIDO kullanan bir servis sağlayıcıya RP (bağımlı taraf) adı verilir.
Kullanıcı kimlik doğrulamayı gerçekleştirdikten sonra (genellikle biyometrik tarama veya PIN ile), kimlik doğrulayıcı tarayıcıya imzalı bir doğrulama sinyali göndermek için özel bir anahtar kullanır. Daha sonra tarayıcı bu sinyali RP'nin web sitesiyle paylaşır.
Daha sonra RP web sitesi, imzalı doğrulama sinyalini Kısıtlanmış Taraf'ın sunucusuna gönderir. Böylece, kimlik doğrulamayı tamamlamak için ortak anahtarla karşılaştırılarak imza doğrulanır.
Daha fazla bilgi için FIDO Alliance'ın kimlik doğrulama yönergelerini okuyun.
Yahoo! JAPAN; Android (mobil uygulama ve web), iOS (mobil uygulama ve web), Windows (Edge, Chrome, Firefox) ve macOS'te (Safari, Chrome) FIDO'yu destekler. Bir tüketici hizmeti olarak FIDO, neredeyse tüm cihazlarda kullanılabildiğinden şifresiz kimlik doğrulamayı tanıtmak için iyi bir seçenektir.
Yahoo! JAPAN, kullanıcıların kimliklerini başka yöntemlerle doğrulamamışlarsa WebAuthn ile FIDO'ya kaydolmalarını önerir. Bir kullanıcının aynı cihazla giriş yapması gerektiğinde, biyometrik sensör kullanarak hızlı bir şekilde kimlik doğrulaması yapabilir.
Kullanıcıların Yahoo!'ya giriş yapmak için kullandıkları tüm cihazlarda FIDO kimlik doğrulamasını ayarlaması gerekir JAPONYA.
Şifresiz kimlik doğrulamayı teşvik etmek ve şifrelerden geçiş yapan kullanıcılara karşı saygılı olmak için birden fazla kimlik doğrulama yöntemi sunarız. Bu da farklı kullanıcıların farklı kimlik doğrulama yöntemi ayarlarına sahip olabileceği ve kullanabilecekleri kimlik doğrulama yöntemlerinin tarayıcıdan tarayıcıya farklılık gösterebileceği anlamına gelir. Kullanıcıların her seferinde aynı kimlik doğrulama yöntemini kullanarak giriş yapmasının daha iyi bir deneyim olacağını düşünüyoruz.
Bu gereksinimleri karşılamak için önceki kimlik doğrulama yöntemlerini takip etmek ve bu bilgileri çerez vb. biçiminde saklayarak istemciyle bağlantı kurmak gerekir. Böylece kimlik doğrulama için farklı tarayıcıların ve uygulamaların nasıl kullanıldığını analiz edebiliriz. Kullanıcının ayarlarına, kullanılan önceki kimlik doğrulama yöntemlerine ve gerekli minimum kimlik doğrulama düzeyine bağlı olarak kullanıcıdan uygun kimlik doğrulamasını sağlaması istenir.
2. Şifreyi devre dışı bırakma
Yahoo! JAPAN, kullanıcılardan alternatif bir kimlik doğrulama yöntemi oluşturmalarını ve kullanamamaları için şifrelerini devre dışı bırakmalarını ister. Alternatif kimlik doğrulaması ayarlamaya ek olarak, şifre kimlik doğrulamasını devre dışı bırakmak (dolayısıyla yalnızca şifreyle oturum açmayı imkansız hale getirmek) kullanıcıların liste tabanlı saldırılara karşı korunmasına yardımcı olur.
Kullanıcıları şifrelerini devre dışı bırakmaya teşvik etmek için aşağıdaki adımları uyguladık.
- Kullanıcılar şifrelerini sıfırladığında alternatif kimlik doğrulama yöntemlerini tanıtma.
- Kullanıcıları, kullanımı kolay kimlik doğrulama yöntemleri (ör. FIDO) ayarlamaya teşvik etme ve sık kimlik doğrulama gerektiren durumlarda şifreleri devre dışı bırakma.
- Kullanıcılardan, e-ticaret ödemeleri gibi yüksek riskli hizmetleri kullanmadan önce şifrelerini devre dışı bırakmalarını isteme.
Şifresini unutan bir kullanıcı, hesap kurtarma işlemi gerçekleştirebilir. Daha önce bu işlem şifre sıfırlama gerektiriyordu. Artık kullanıcılar farklı bir kimlik doğrulama yöntemi ayarlamayı tercih edebilir ve bunu yapmalarını öneririz.
3. Şifresiz hesap kaydı
Yeni kullanıcılar şifre olmadan Yahoo! JAPAN hesapları. Kullanıcıların öncelikle SMS kimlik doğrulamasıyla kaydolması gerekir. Kullanıcı giriş yaptıktan sonra, kullanıcıdan FIDO kimlik doğrulamasını ayarlamasını öneririz.
FIDO, cihaza özel bir ayar olduğundan cihazın çalışır durumda olmaması durumunda bir hesabı kurtarmak zor olabilir. Bu nedenle, ek bir kimlik doğrulama ayarı yaptıktan sonra bile kullanıcıların telefon numaralarını kayıtlı tutmaları gerekir.
Şifresiz kimlik doğrulama için temel giriş sorgulamaları
Şifreler insan belleğine dayanır ve cihazdan bağımsızdır. Diğer yandan, şifresiz girişimimizde şimdiye kadar kullanıma sunulan kimlik doğrulama yöntemleri cihaza bağlıdır. Bu, çeşitli zorlukları beraberinde getirir.
Birden fazla cihaz kullanıldığında, kullanılabilirlikle ilgili bazı sorunlar ortaya çıkar:
- Bilgisayardan giriş yapmak için SMS kimlik doğrulamasını kullanan kullanıcıların, gelen SMS mesajları için cep telefonlarını kontrol etmesi gerekir. Bu işlem, kullanıcının telefonunun her zaman kullanılabilir ve kolayca erişilebilir olmasını gerektirdiğinden kullanışlı olmayabilir.
- FIDO ile özellikle platform kimlik doğrulayıcılar kullanıldığında, birden fazla cihaza sahip bir kullanıcı, kayıtlı olmayan cihazlarda kimlik doğrulaması yapamaz. Kullanmayı amaçladıkları her cihaz için kayıt işlemi tamamlanmalıdır.
FIDO kimlik doğrulaması belirli cihazlara bağlıdır. Bu nedenle, bu cihazların kullanıcının mülkiyetinde ve etkin durumda kalması gerekir.
- Hizmet sözleşmesi iptal edilirse kayıtlı telefon numarasına SMS mesajları gönderilemez.
- FIDO, özel anahtarları belirli bir cihazda depolar. Cihaz kaybolursa bu anahtarlar kullanılamaz.
Yahoo! JAPAN bu sorunları gidermek için çeşitli adımlar atmaktadır.
En önemli çözüm, kullanıcıları birden fazla kimlik doğrulama yöntemi ayarlamaya teşvik etmektir. Bu, cihazlar kaybolduğunda alternatif hesap erişimi sağlar. FIDO anahtarları cihaza bağlı olduğundan FIDO özel anahtarlarını birden fazla cihaza kaydetmek de iyi bir uygulamadır.
Alternatif olarak kullanıcılar bir Android telefondan PC'deki Chrome'a SMS doğrulama kodlarını aktarmak için WebOTP API'sini de kullanabilir.
Şifresiz kimlik doğrulama yaygınlaştıkça bu sorunların ele alınmasının daha da önemli olacağına inanıyoruz.
Şifresiz kimlik doğrulamayı tanıtma
Yahoo! JAPAN, 2015'ten beri bu şifresiz girişimler üzerinde çalışmaktadır. Bu süreç, Mayıs 2015'te FIDO sunucu sertifikasının alınmasıyla başladı. Ardından, her cihaz için SMS kimlik doğrulaması, şifre devre dışı bırakma özelliği ve FIDO desteği kullanıma sunuldu.
Bugün 30 milyondan fazla aylık etkin kullanıcı şifrelerini devre dışı bırakmış ve şifre dışı kimlik doğrulama yöntemleri kullanıyor. Yahoo! JAPAN'nın FIDO desteği Android'deki Chrome ile başlamıştır ve şimdi 10 milyondan fazla kullanıcı FIDO kimlik doğrulamasını ayarlamıştır.
Yahoo! JAPAN'nın girişimlerinde, unutulan giriş kimliği veya şifrelerin kullanıldığı sorguların yüzdesi, bu tür sorguların en yüksek olduğu döneme kıyasla% 25 azaldı. Ayrıca, şifresiz hesapların sayısındaki artışın sonucunda yetkisiz erişimin azaldığını da doğruladık.
FIDO kurulumu çok kolay olduğundan özellikle yüksek bir dönüşüm oranına sahiptir. Hatta Yahoo! JAPAN, FIDO'nun DO'nun SMS kimlik doğrulamasından daha yüksek olduğunu tespit etmiştir.
%25
Unutulan kimlik bilgileri için yapılan isteklerde azalma
%74
Kullanıcılar FIDO kimlik doğrulamasıyla başarılı
%65
SMS doğrulamasıyla tamamlandı
FIDO, SMS kimlik doğrulamasından daha yüksek bir başarı oranına ve daha hızlı ortalama ve ortanca kimlik doğrulama sürelerine sahiptir. Şifrelerde ise bazı grupların kimlik doğrulama süreleri kısadır. Bu durumun, tarayıcının autocomplete="current-password" özelliğinden kaynaklandığını düşünüyoruz.
Şifresiz hesaplar sunmanın en büyük zorluğu, kimlik doğrulama yöntemleri eklemek değil, kimlik doğrulayıcıların kullanımını artırmaktır. Şifresiz bir hizmet kullanma deneyimi kullanıcı dostu değilse geçiş kolay olmaz.
Daha fazla güvenlik sağlamak için öncelikle kullanılabilirliği iyileştirmemiz gerektiğine inanıyoruz. Bu da her hizmet için benzersiz yenilikler yapılmasını gerektirir.
Sonuç
Şifre kimlik doğrulaması, güvenlik açısından risklidir ve aynı zamanda kullanılabilirlik açısından da zorlayıcıdır. WebOTP API ve FIDO gibi şifre dışı kimlik doğrulamayı destekleyen teknolojiler daha yaygın olarak kullanılabildiğine göre artık şifresiz kimlik doğrulama için çalışmaya başlamanın zamanı geldi.
Yahoo! bu yaklaşımı benimsemenin hem kullanılabilirlik hem de güvenlik üzerinde kesin bir etkisi oldu. Bununla birlikte, birçok kullanıcı hâlâ şifre kullanıyor. Bu nedenle, daha fazla kullanıcıyı şifresiz kimlik doğrulama yöntemlerine geçmeye teşvik etmeye devam edeceğiz. Ayrıca, şifresiz kimlik doğrulama yöntemleri için kullanıcı deneyimini optimize etmek amacıyla ürünlerimizi iyileştirmeye devam edeceğiz.
Fotoğrafçı: olieman.eth, Unsplash