Yahoo! जापान में बिना पासवर्ड के पुष्टि करने की सुविधा से जुड़ी क्वेरी 25% कम हुई. साथ ही, साइन इन करने के समय में 2.6 गुना की बढ़ोतरी हुई

जानें कि Yahoo! जापान ने बिना पासवर्ड के पहचान की पुष्टि करने वाला सिस्टम बनाया है.

Eiji Kitamura

Alexandra Klepper

Yuya Ito

Yahoo! JAPAN, जापान की सबसे बड़ी मीडिया कंपनियों में से एक है. यह खोज, खबरें, ई-कॉमर्स, और ईमेल जैसी सेवाएं देती है. Yahoo! Mail में हर महीने 5 करोड़ से ज़्यादा लोग लॉग इन करते हैं. JAPAN की सेवाओं के लिए हर महीने.

पिछले कुछ सालों में, उपयोगकर्ता खातों पर कई हमले हुए हैं. साथ ही, ऐसी समस्याएं भी हुई हैं जिनकी वजह से खाते का ऐक्सेस खो गया. इनमें से ज़्यादातर समस्याएं, पुष्टि करने के लिए पासवर्ड इस्तेमाल करने से जुड़ी थीं.

पुष्टि करने की टेक्नोलॉजी में हाल ही में हुए बदलावों की वजह से, Yahoo! जापान ने पासवर्ड के बजाय, बिना पासवर्ड के पुष्टि करने की सुविधा इस्तेमाल करने का फ़ैसला किया है.

पासवर्ड के बिना साइन इन करने की सुविधा क्यों?

Yahoo! जापान में ई-कॉमर्स और पैसे से जुड़ी अन्य सेवाएं उपलब्ध हैं. ऐसे में, बिना अनुमति के ऐक्सेस करने या खाता खो जाने पर, उपयोगकर्ताओं को काफ़ी नुकसान हो सकता है.

पासवर्ड से जुड़े सबसे आम हमले, पासवर्ड की सूची वाले हमले और फ़िशिंग स्कैम थे. पासवर्ड की सूची का इस्तेमाल करके किए जाने वाले हमलों के आम और असरदार होने की एक वजह यह है कि कई लोग, एक ही पासवर्ड का इस्तेमाल कई ऐप्लिकेशन और वेबसाइटों के लिए करते हैं.

यहां दिए गए आंकड़े, Yahoo! की ओर से किए गए सर्वे के नतीजे हैं JAPAN.

50 _%

छह या इससे ज़्यादा साइटों पर एक ही आईडी और पासवर्ड का इस्तेमाल किया गया हो

60 _%

एक से ज़्यादा साइटों पर एक ही पासवर्ड का इस्तेमाल करना

70 _%

लॉगिन करने के मुख्य तरीके के तौर पर पासवर्ड का इस्तेमाल करना

उपयोगकर्ता अक्सर अपने पासवर्ड भूल जाते हैं. पासवर्ड से जुड़ी ज़्यादातर क्वेरी इसी वजह से आती हैं. इसके अलावा, उन लोगों ने भी सवाल पूछे जिन्हें अपने पासवर्ड के साथ-साथ लॉगिन आईडी भी याद नहीं थे. अपने चरम पर, इन क्वेरी की संख्या, खाते से जुड़ी सभी क्वेरी की एक-तिहाई से ज़्यादा थी.

पासवर्ड के बिना लॉगिन करने की सुविधा का इस्तेमाल करके, Yahoo! JAPAN का मकसद, उपयोगकर्ताओं पर कोई अतिरिक्त बोझ डाले बिना, न सिर्फ़ सुरक्षा को बेहतर बनाना था, बल्कि इस्तेमाल करने में आसानी को भी बेहतर बनाना था.

सुरक्षा के लिहाज़ से, उपयोगकर्ता की पुष्टि करने की प्रोसेस से पासवर्ड हटाने पर, सूची पर आधारित हमलों से होने वाले नुकसान को कम किया जा सकता है. वहीं, इस्तेमाल करने के लिहाज़ से, पुष्टि करने का ऐसा तरीका उपलब्ध कराने से जिसमें पासवर्ड याद रखने की ज़रूरत नहीं होती, उन स्थितियों को रोका जा सकता है जिनमें उपयोगकर्ता अपना पासवर्ड भूल जाने की वजह से लॉगिन नहीं कर पाता.

Yahoo! जापान में बिना पासवर्ड के साइन इन करने की सुविधा से जुड़ी पहल

Yahoo! जापान, बिना पासवर्ड के पुष्टि करने की सुविधा को बढ़ावा देने के लिए कई कदम उठा रहा है. इन्हें तीन कैटगरी में बांटा जा सकता है:

1. पासवर्ड के अलावा, पुष्टि करने का कोई दूसरा तरीका उपलब्ध कराएं.
2. पासवर्ड बंद करना.
3. बिना पासवर्ड के खाते का रजिस्ट्रेशन.

पहले दो इनिशिएटिव, मौजूदा उपयोगकर्ताओं के लिए हैं. वहीं, बिना पासवर्ड के रजिस्ट्रेशन की सुविधा नए उपयोगकर्ताओं के लिए है.

1. पासवर्ड के बजाय पुष्टि करने का कोई दूसरा तरीका उपलब्ध कराना

Yahoo! JAPAN, पासवर्ड के इन विकल्पों को उपलब्ध कराता है.

1. एसएमएस से पुष्टि करना
2. WebAuthn के साथ FIDO

इसके अलावा, हम पुष्टि करने के अन्य तरीके भी उपलब्ध कराते हैं. जैसे, ईमेल से पुष्टि करना, पासवर्ड के साथ एसएमएस से मिला ओटीपी (एक बार इस्तेमाल होने वाला पासवर्ड) इस्तेमाल करना, और पासवर्ड के साथ ईमेल से मिला ओटीपी इस्तेमाल करना.

एसएमएस से पुष्टि करना

एसएमएस से पुष्टि करने की सुविधा, एक ऐसा सिस्टम है जो रजिस्टर किए गए उपयोगकर्ता को एसएमएस के ज़रिए छह अंकों का पुष्टि करने वाला कोड पाने की अनुमति देता है. उपयोगकर्ता को एसएमएस मिलने के बाद, वह ऐप्लिकेशन या वेबसाइट में पुष्टि करने वाला कोड डाल सकता है.

Apple ने iOS को लंबे समय से यह अनुमति दी है कि वह एसएमएस मैसेज पढ़ सकता है. साथ ही, मैसेज के टेक्स्ट से पुष्टि करने वाले कोड का सुझाव दे सकता है. हाल ही में, इनपुट एलिमेंट के autocomplete एट्रिब्यूट में "one-time-code" वैल्यू सेट करके, सुझावों का इस्तेमाल किया जा सकता है. Android, Windows, और Mac पर Chrome, WebOTP API का इस्तेमाल करके एक जैसा अनुभव दे सकता है.

उदाहरण के लिए:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>

if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

इन दोनों तरीकों को फ़िशिंग से बचाने के लिए डिज़ाइन किया गया है. इसके लिए, एसएमएस के मुख्य हिस्से में डोमेन शामिल किया जाता है. साथ ही, सिर्फ़ तय किए गए डोमेन के लिए सुझाव दिए जाते हैं.

WebOTP API और autocomplete="one-time-code" के बारे में ज़्यादा जानने के लिए, एसएमएस के ज़रिए भेजे गए ओटीपी वाले फ़ॉर्म भरने के सबसे सही तरीके देखें.

WebAuthn के साथ FIDO

WebAuthn के साथ FIDO, सार्वजनिक पासकोड सिफ़र पेयर जनरेट करने और मालिकाना हक साबित करने के लिए, हार्डवेयर ऑथेंटिकेटर का इस्तेमाल करता है. स्मार्टफ़ोन को ऑथेंटिकेटर के तौर पर इस्तेमाल करने पर, इसे बायोमेट्रिक ऑथेंटिकेशन (जैसे, फ़िंगरप्रिंट सेंसर या चेहरे की पहचान) के साथ जोड़ा जा सकता है. इससे एक ही चरण में दो तरीकों से पुष्टि की जा सकती है. इस मामले में, सिर्फ़ हस्ताक्षर और बायोमेट्रिक की मदद से पुष्टि होने की जानकारी सर्वर को भेजी जाती है. इसलिए, बायोमेट्रिक डेटा के चोरी होने का कोई खतरा नहीं होता.

इस डायग्राम में, FIDO के लिए सर्वर-क्लाइंट कॉन्फ़िगरेशन दिखाया गया है. क्लाइंट ऑथेंटिकेटर, बायोमेट्रिक डेटा की मदद से उपयोगकर्ता की पुष्टि करता है. साथ ही, सार्वजनिक पासकोड क्रिप्टोग्राफ़ी का इस्तेमाल करके नतीजे पर हस्ताक्षर करता है. हस्ताक्षर बनाने के लिए इस्तेमाल की गई निजी कुंजी, टीईई (ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट) या इसी तरह की किसी जगह पर सुरक्षित रूप से सेव की जाती है. FIDO का इस्तेमाल करने वाली सेवा देने वाली कंपनी को आरपी (भरोसेमंद पक्ष) कहा जाता है.

ज़्यादा जानकारी के लिए, FIDO Alliance के पुष्टि करने से जुड़े दिशा-निर्देश पढ़ें.

Yahoo! जापान में, Android (मोबाइल ऐप्लिकेशन और वेब), iOS (मोबाइल ऐप्लिकेशन और वेब), Windows (Edge, Chrome, Firefox), और macOS (Safari, Chrome) पर FIDO का इस्तेमाल किया जा सकता है. FIDO, उपभोक्ताओं के लिए उपलब्ध एक सेवा है. इसका इस्तेमाल लगभग किसी भी डिवाइस पर किया जा सकता है. इसलिए, यह बिना पासवर्ड के पुष्टि करने की सुविधा को बढ़ावा देने के लिए एक अच्छा विकल्प है.

Yahoo! जापान में, उपयोगकर्ताओं को यह सुझाव दिया जाता है कि अगर उन्होंने पहले से किसी अन्य तरीके से पुष्टि नहीं की है, तो वे WebAuthn के साथ FIDO के लिए रजिस्टर करें. जब किसी उपयोगकर्ता को एक ही डिवाइस से लॉग इन करना होता है, तो वह बायोमेट्रिक सेंसर का इस्तेमाल करके तुरंत पुष्टि कर सकता है.

उपयोगकर्ताओं को उन सभी डिवाइसों पर FIDO ऑथेंटिकेशन सेट अप करना होगा जिनका इस्तेमाल वे Yahoo! में लॉग इन करने के लिए करते हैं JAPAN.

हम बिना पासवर्ड के पुष्टि करने की सुविधा को बढ़ावा देते हैं. साथ ही, हम उन लोगों का भी ध्यान रखते हैं जो पासवर्ड का इस्तेमाल बंद कर रहे हैं. इसलिए, हम पुष्टि करने के कई तरीके उपलब्ध कराते हैं. इसका मतलब है कि अलग-अलग उपयोगकर्ताओं के लिए, पुष्टि करने के तरीके की सेटिंग अलग-अलग हो सकती हैं. साथ ही, वे जिन तरीकों का इस्तेमाल कर सकते हैं वे ब्राउज़र के हिसाब से अलग-अलग हो सकते हैं. हमारा मानना है कि अगर उपयोगकर्ता हर बार एक ही पुष्टि करने के तरीके का इस्तेमाल करके लॉग इन करते हैं, तो उन्हें बेहतर अनुभव मिलता है.

इन ज़रूरी शर्तों को पूरा करने के लिए, पुष्टि करने के पिछले तरीकों को ट्रैक करना ज़रूरी है. साथ ही, इस जानकारी को क्लाइंट से लिंक करना भी ज़रूरी है. इसके लिए, इसे कुकी वगैरह के तौर पर सेव किया जाता है. इसके बाद, हम यह विश्लेषण कर सकते हैं कि पुष्टि करने के लिए, अलग-अलग ब्राउज़र और ऐप्लिकेशन का इस्तेमाल कैसे किया जाता है. उपयोगकर्ता को उसकी सेटिंग, पुष्टि करने के लिए इस्तेमाल किए गए पिछले तरीकों, और पुष्टि करने के लिए ज़रूरी कम से कम लेवल के आधार पर, पुष्टि करने का सही तरीका चुनने के लिए कहा जाता है.

2. पासवर्ड बंद करना

Yahoo! JAPAN, लोगों से पुष्टि करने का कोई दूसरा तरीका सेट अप करने के लिए कहता है. इसके बाद, वह उनके पासवर्ड को बंद कर देता है, ताकि उसका इस्तेमाल न किया जा सके. पुष्टि करने का कोई दूसरा तरीका सेट अप करने के साथ-साथ, पासवर्ड से पुष्टि करने की सुविधा बंद करने से, उपयोगकर्ताओं को सूची पर आधारित हमलों से सुरक्षित रखने में मदद मिलती है. इससे सिर्फ़ पासवर्ड से साइन इन करना मुमकिन नहीं होता.

हमने उपयोगकर्ताओं को पासवर्ड बंद करने के लिए बढ़ावा देने के लिए, ये कदम उठाए हैं.

• जब उपयोगकर्ता अपने पासवर्ड रीसेट करते हैं, तब उन्हें पुष्टि करने के अन्य तरीकों के बारे में जानकारी देना.
• उपयोगकर्ताओं को पुष्टि करने के ऐसे तरीके सेट अप करने के लिए प्रोत्साहित करें जिनका इस्तेमाल करना आसान हो. जैसे, FIDO. साथ ही, उन्हें उन स्थितियों के लिए पासवर्ड बंद करने के लिए कहें जिनमें बार-बार पुष्टि करने की ज़रूरत होती है.
• ज़्यादा जोखिम वाली सेवाओं का इस्तेमाल करने से पहले, उपयोगकर्ताओं को अपने पासवर्ड बंद करने के लिए कहा जा रहा हो. जैसे, ई-कॉमर्स पेमेंट.

अगर कोई उपयोगकर्ता अपना पासवर्ड भूल जाता है, तो वह खाता वापस पाने की प्रोसेस शुरू कर सकता है. पहले, इसके लिए पासवर्ड रीसेट करना पड़ता था. अब उपयोगकर्ता, पुष्टि करने का कोई दूसरा तरीका सेट अप कर सकते हैं. हम उन्हें ऐसा करने के लिए बढ़ावा देते हैं.

3. बिना पासवर्ड के खाते का रजिस्ट्रेशन

नए उपयोगकर्ता, बिना पासवर्ड के Yahoo! JAPAN खाते. उपयोगकर्ताओं को सबसे पहले, एसएमएस से पुष्टि करने की सुविधा के लिए रजिस्टर करना होगा. लॉग इन करने के बाद, हम उपयोगकर्ता को FIDO की मदद से पुष्टि करने की सुविधा सेट अप करने के लिए कहते हैं.

FIDO, डिवाइस के हिसाब से सेट की जाने वाली सेटिंग है. इसलिए, अगर डिवाइस काम नहीं करता है, तो खाते को वापस पाना मुश्किल हो सकता है. इसलिए, हम उपयोगकर्ताओं से कहते हैं कि वे अपने फ़ोन नंबर को रजिस्टर रखें. भले ही, उन्होंने पुष्टि करने का कोई दूसरा तरीका सेट अप कर लिया हो.

बिना पासवर्ड के पुष्टि करने की सुविधा से जुड़ी मुख्य चुनौतियां

पासवर्ड, लोगों की याददाश्त पर निर्भर करते हैं और ये डिवाइस पर निर्भर नहीं होते. दूसरी ओर, बिना पासवर्ड के साइन इन करने की सुविधा के लिए, अब तक उपलब्ध कराए गए पुष्टि करने के तरीके, डिवाइस पर निर्भर करते हैं. इससे कई तरह की समस्याएं आती हैं.

एक से ज़्यादा डिवाइसों का इस्तेमाल करने पर, इस्तेमाल से जुड़ी कुछ समस्याएं आ सकती हैं:

• पीसी से लॉग इन करने के लिए, एसएमएस से पुष्टि करने की सुविधा का इस्तेमाल करते समय, उपयोगकर्ताओं को अपने मोबाइल फ़ोन पर आने वाले एसएमएस मैसेज देखने होंगे. इससे उपयोगकर्ता को परेशानी हो सकती है, क्योंकि इसके लिए ज़रूरी है कि उपयोगकर्ता का फ़ोन हर समय उपलब्ध हो और उसे आसानी से ऐक्सेस किया जा सके.
• FIDO की मदद से, खास तौर पर प्लैटफ़ॉर्म ऑथेंटिकेटर की मदद से, एक से ज़्यादा डिवाइस इस्तेमाल करने वाला व्यक्ति, उन डिवाइसों पर पुष्टि नहीं कर पाएगा जिनके लिए उसने रजिस्टर नहीं किया है. उन्हें हर उस डिवाइस के लिए रजिस्टर करना होगा जिसका उन्हें इस्तेमाल करना है.

FIDO ऑथेंटिकेशन, खास डिवाइसों से जुड़ा होता है. इसलिए, यह ज़रूरी है कि वे डिवाइस उपयोगकर्ता के पास हों और चालू हों.

• सेवा का अनुबंध रद्द होने पर, रजिस्टर किए गए फ़ोन नंबर पर एसएमएस नहीं भेजे जा सकेंगे.
• FIDO, निजी कोड को किसी डिवाइस पर सेव करता है. डिवाइस खो जाने पर, उन कुंजियों का इस्तेमाल नहीं किया जा सकता.

Yahoo! जापान इन समस्याओं को हल करने के लिए कई कदम उठा रहा है.

सबसे अहम समाधान यह है कि उपयोगकर्ताओं को पुष्टि करने के कई तरीके सेट अप करने के लिए बढ़ावा दिया जाए. इससे डिवाइस खो जाने पर, खाते को ऐक्सेस करने का दूसरा तरीका मिलता है. FIDO कुंजियां, डिवाइस पर निर्भर करती हैं. इसलिए, FIDO की निजी कुंजियों को एक से ज़्यादा डिवाइसों पर रजिस्टर करना भी एक अच्छा तरीका है.

इसके अलावा, लोग WebOTP API का इस्तेमाल करके, Android फ़ोन से पीसी पर Chrome में एसएमएस से पुष्टि करने के लिए कोड भेज सकते हैं.

हमारा मानना है कि बिना पासवर्ड की पुष्टि करने की सुविधा के इस्तेमाल बढ़ने के साथ-साथ, इन समस्याओं को हल करना और भी ज़रूरी हो जाएगा.

बिना पासवर्ड के पुष्टि करने की सुविधा का प्रमोशन करना

Yahoo! जापान, बिना पासवर्ड के लॉगिन करने की सुविधा से जुड़ी इन पहलों पर 2015 से काम कर रहा है. इसकी शुरुआत मई 2015 में FIDO सर्वर सर्टिफ़िकेशन हासिल करने से हुई. इसके बाद, एसएमएस से पुष्टि करने की सुविधा, पासवर्ड बंद करने की सुविधा, और हर डिवाइस के लिए FIDO की सुविधा लॉन्च की गई.

आज, हर महीने 3 करोड़ से ज़्यादा सक्रिय उपयोगकर्ताओं ने अपने पासवर्ड बंद कर दिए हैं. वे पासवर्ड के बिना पुष्टि करने के तरीकों का इस्तेमाल कर रहे हैं. Yahoo! जापान में, Android पर Chrome के साथ FIDO का इस्तेमाल शुरू हुआ था. अब एक करोड़ से ज़्यादा लोगों ने FIDO ऑथेंटिकेशन सेट अप किया है.

Yahoo! जापान में, लॉगिन आईडी या पासवर्ड भूल जाने से जुड़ी क्वेरी की संख्या में 25% की कमी आई है. यह कमी, ऐसी क्वेरी की सबसे ज़्यादा संख्या वाले समय की तुलना में हुई है. साथ ही, हम यह भी पुष्टि कर पाए हैं कि पासवर्ड रहित खातों की संख्या में बढ़ोतरी होने की वजह से, बिना अनुमति के ऐक्सेस करने की घटनाओं में कमी आई है.

FIDO को सेट अप करना बहुत आसान है. इसलिए, इसका कन्वर्ज़न रेट बहुत ज़्यादा होता है. असल में, Yahoo! जापान में, यह पाया गया है कि एसएमएस से पुष्टि करने की तुलना में, FIDO का CVR ज़्यादा है.

25 _%

क्रेडेंशियल भूल जाने से जुड़े अनुरोधों में कमी

74 _%

उपयोगकर्ता, FIDO की मदद से पुष्टि कर पाते हैं

65 _%

एसएमएस से पुष्टि की प्रोसेस पूरी करना

FIDO से पुष्टि करने की दर, एसएमएस से पुष्टि करने की दर से ज़्यादा होती है. साथ ही, इसमें पुष्टि करने में लगने वाला औसत और मीडियन समय भी कम होता है. पासवर्ड के लिए, कुछ ग्रुप में पुष्टि करने में कम समय लगता है. हमें लगता है कि ऐसा ब्राउज़र के autocomplete="current-password" की वजह से हो रहा है.

पासवर्ड के बिना खातों को ऐक्सेस करने की सुविधा देने में सबसे बड़ी समस्या, पुष्टि करने के तरीके जोड़ना नहीं है. बल्कि, पुष्टि करने वाले ऐप्लिकेशन के इस्तेमाल को लोकप्रिय बनाना है. अगर बिना पासवर्ड वाली सेवा का इस्तेमाल करना आसान नहीं है, तो इस पर स्विच करना आसान नहीं होगा.

हमारा मानना है कि सुरक्षा को बेहतर बनाने के लिए, हमें सबसे पहले इस्तेमाल करने में आसानी को बेहतर बनाना होगा. इसके लिए, हर सेवा के लिए नए तरीके अपनाने होंगे.

नतीजा

सुरक्षा के लिहाज़ से, पासवर्ड से पुष्टि करना जोखिम भरा होता है. साथ ही, इस्तेमाल करने में भी मुश्किल होती है. अब बिना पासवर्ड के पुष्टि करने की सुविधा देने वाली टेक्नोलॉजी, जैसे कि WebOTP API और FIDO ज़्यादातर लोगों के लिए उपलब्ध हैं. इसलिए, अब बिना पासवर्ड के पुष्टि करने की सुविधा पर काम शुरू करने का समय आ गया है.

Yahoo! जापान में, इस तरीके को अपनाने से इस्तेमाल में आसानी और सुरक्षा, दोनों पर असर पड़ा है. हालांकि, अब भी कई लोग पासवर्ड का इस्तेमाल कर रहे हैं. इसलिए, हम ज़्यादा से ज़्यादा लोगों को पासवर्ड के बिना पुष्टि करने के तरीकों पर स्विच करने के लिए बढ़ावा देते रहेंगे. हम अपने प्रॉडक्ट को बेहतर बनाना जारी रखेंगे, ताकि बिना पासवर्ड के पुष्टि करने के तरीकों के लिए उपयोगकर्ता अनुभव को ऑप्टिमाइज़ किया जा सके.

olieman.eth की Unsplash पर मौजूद फ़ोटो