Scopri di più su come Yahoo! Il Giappone ha creato un sistema di identità senza password.
Campagna Yahoo! JAPAN è una delle più grandi società di media in Giappone e fornisce servizi come ricerca, notizie, e-commerce ed email. Oltre 50 milioni di utenti accedono a Yahoo! servizi JAPAN ogni mese.
Nel corso degli anni, si sono verificati molti attacchi agli account utente e problemi che hanno portato alla perdita dell'accesso all'account. La maggior parte di questi problemi riguardava l'utilizzo delle password per l'autenticazione.
Grazie ai recenti progressi nella tecnologia di autenticazione, Yahoo! Il GIAPPONE ha deciso di passare dall'autenticazione basata su password a quella senza password.
Perché senza password?
Come Yahoo! GIAPPONE offre servizi di e-commerce e altri servizi correlati al denaro, esiste un rischio di danni significativi per gli utenti in caso di accesso non autorizzato o perdita dell'account.
Gli attacchi più comuni correlati alle password sono stati gli attacchi di elenchi di password e le frodi di phishing. Uno dei motivi per cui gli attacchi di password list sono comuni ed efficaci è l'abitudine di molte persone di utilizzare la stessa password per più applicazioni e siti web.
Le cifre riportate di seguito sono i risultati di un sondaggio condotto da Yahoo!. GIAPPONE.
50 %
utilizzare lo stesso ID e la stessa password su sei o più siti
60 %
Utilizzare la stessa password su più siti
70 %
utilizzare una password come metodo di accesso principale
Gli utenti dimenticano spesso le password, il che ha rappresentato la maggior parte delle richieste relative alle password. Sono state ricevute anche richieste da utenti che avevano dimenticato i propri ID di accesso, oltre alle password. Al loro picco, queste richieste rappresentavano più di un terzo di tutte le richieste relative agli account.
Con l'accesso senza password, Yahoo! Il GIAPPONE mirava a migliorare non solo la sicurezza, ma anche l'usabilità, senza imporre alcun onere aggiuntivo agli utenti.
Dal punto di vista della sicurezza, l'eliminazione delle password dal processo di autenticazione degli utenti riduce i danni causati dagli attacchi basati su elenchi. Dal punto di vista dell'usabilità, fornire un metodo di autenticazione che non si basa sul ricordo delle password evita situazioni in cui un utente non riesce ad accedere perché ha dimenticato la password.
Campagna Yahoo! Iniziative senza password di JAPAN
Campagna Yahoo! Il GIAPPONE sta adottando una serie di misure per promuovere l'autenticazione senza password, che possono essere suddivise in tre categorie:
- Fornire un mezzo di autenticazione alternativo alle password.
- Disattivazione della password.
- Registrazione dell'account senza password.
Le prime due iniziative sono rivolte agli utenti esistenti, mentre la registrazione senza password è rivolta ai nuovi utenti.
1. Fornire un mezzo di autenticazione alternativo alle password
Campagna Yahoo! GIAPPONE offre le seguenti alternative alle password.
Inoltre, offriamo anche metodi di autenticazione come l'autenticazione email, la password combinata con la password monouso (OTP) via SMS e la password combinata con la password monouso (OTP) via email.
Autenticazione SMS
L'autenticazione tramite SMS è un sistema che consente a un utente registrato di ricevere un codice di autenticazione di sei cifre tramite SMS. Una volta ricevuto l'SMS, l'utente può inserire il codice di autenticazione nell'app o nel sito web.
Apple consente da tempo a iOS di leggere i messaggi SMS e suggerire i codici di autenticazione
dal corpo del testo. Di recente, è diventato possibile utilizzare i suggerimenti specificando "one-time-code" nell'attributo autocomplete dell'elemento input. Chrome su Android, Windows e Mac può offrire la stessa esperienza
utilizzando l'API WebOTP.
Ad esempio:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Entrambi gli approcci sono progettati per prevenire il phishing includendo il dominio nel corpo dell'SMS e fornendo suggerimenti solo per il dominio specificato.
Per saperne di più sull'API WebOTP e su autocomplete="one-time-code",
consulta le best practice per i moduli OTP via SMS.
FIDO con WebAuthn
FIDO con WebAuthn utilizza un autenticatore hardware per generare una coppia di cifrari di chiavi pubbliche e dimostrare la proprietà. Quando uno smartphone viene utilizzato come autenticatore, può essere combinato con l'autenticazione biometrica (ad esempio sensori di impronte o riconoscimento facciale) per eseguire l'autenticazione a due fattori in un solo passaggio. In questo caso, al server vengono inviate solo la firma e l'indicazione di esito positivo dell'autenticazione biometrica, quindi non esiste alcun rischio di furto di dati biometrici.
Il seguente diagramma mostra la configurazione client-server per FIDO. L'autenticatore client autentica l'utente con la biometria e firma il risultato utilizzando la crittografia a chiave pubblica. La chiave privata utilizzata per creare la firma è archiviata in modo sicuro in un TEE (Trusted Execution Environment) o in una posizione simile. Un fornitore di servizi che utilizza FIDO è chiamato RP (relying party).
Una volta eseguita l'autenticazione (in genere con una scansione biometrica o un PIN), l'autenticatore utilizza una chiave privata per inviare un segnale di verifica firmato al browser. Il browser condivide quindi questo segnale con il sito web del RP.
Il sito web del RP invia quindi il segnale di verifica firmato al server del RP, che verifica la firma rispetto alla chiave pubblica per completare l'autenticazione.
Per saperne di più, leggi le linee guida per l'autenticazione della FIDO Alliance.
Campagna Yahoo! GIAPPONE supporta FIDO su Android (app mobile e web), iOS (app mobile e web), Windows (Edge, Chrome, Firefox) e macOS (Safari, Chrome). In quanto servizio di consumo, FIDO può essere utilizzato su quasi tutti i dispositivi, il che lo rende una buona opzione per promuovere l'autenticazione senza password.
Campagna Yahoo! Il GIAPPONE consiglia agli utenti di registrarsi a FIDO con WebAuthn, se non si sono già autenticati con altri mezzi. Quando un utente deve accedere con lo stesso dispositivo, può autenticarsi rapidamente utilizzando un sensore biometrico.
Gli utenti devono configurare l'autenticazione FIDO con tutti i dispositivi che utilizzano per accedere a Yahoo!. GIAPPONE.
Per promuovere l'autenticazione senza password e tenere conto degli utenti che non utilizzano più le password, forniamo diversi mezzi di autenticazione. Ciò significa che utenti diversi possono avere impostazioni del metodo di autenticazione diverse e i metodi di autenticazione che possono utilizzare possono variare da browser a browser. Riteniamo che l'esperienza sia migliore se gli utenti accedono utilizzando ogni volta lo stesso metodo di autenticazione.
Per soddisfare questi requisiti, è necessario monitorare i metodi di autenticazione precedenti e collegare queste informazioni al client memorizzandole sotto forma di cookie e così via. In questo modo, possiamo analizzare come vengono utilizzati i diversi browser e le diverse applicazioni per l'autenticazione. All'utente viene chiesto di fornire un'autenticazione appropriata in base alle impostazioni dell'utente, ai metodi di autenticazione precedenti utilizzati e al livello minimo di autenticazione richiesto.
2. Disattivazione della password
Campagna Yahoo! GIAPPONE chiede agli utenti di configurare un metodo di autenticazione alternativo e poi disattivare la password in modo che non possa essere utilizzata. Oltre a configurare l'autenticazione alternativa, la disattivazione dell'autenticazione con password (che rende impossibile l'accesso con una sola password) aiuta a proteggere gli utenti dagli attacchi basati su elenchi.
Abbiamo adottato i seguenti passaggi per incoraggiare gli utenti a disattivare le password.
- Promozione di metodi di autenticazione alternativi quando gli utenti reimpostano le password.
- Incoraggiare gli utenti a configurare metodi di autenticazione facili da usare (ad esempio FIDO) e disabilitare le password per le situazioni che richiedono un'autenticazione frequente.
- Invitare gli utenti a disattivare le password prima di utilizzare servizi ad alto rischio, come i pagamenti e-commerce.
Se un utente dimentica la password, può eseguire un recupero dell'account. In precedenza era necessario reimpostare la password. Ora gli utenti possono scegliere di configurare un metodo di autenticazione diverso e li invitiamo a farlo.
3. Registrazione dell'account senza password
I nuovi utenti possono creare un account Yahoo! senza password. JAPAN. Gli utenti devono prima registrarsi con un'autenticazione tramite SMS. Una volta eseguito l'accesso, invitiamo l'utente a configurare l'autenticazione FIDO.
Poiché FIDO è un'impostazione per dispositivo, il recupero di un account può essere difficile se il dispositivo non funziona più. Pertanto, richiediamo agli utenti di mantenere registrato il proprio numero di telefono, anche dopo aver configurato l'autenticazione aggiuntiva.
Sfide principali per l'autenticazione senza password
Le password si basano sulla memoria umana e sono indipendenti dal dispositivo. D'altra parte, i metodi di autenticazione introdotti finora nella nostra iniziativa senza password dipendono dal dispositivo. Ciò pone diverse sfide.
Quando vengono utilizzati più dispositivi, si verificano alcuni problemi relativi all'usabilità:
- Quando utilizzano l'autenticazione tramite SMS per accedere da un PC, gli utenti devono controllare il proprio cellulare per i messaggi SMS in arrivo. Questa operazione potrebbe essere scomoda, in quanto richiede che lo smartphone dell'utente sia disponibile e facilmente accessibile in qualsiasi momento.
- Con FIDO, in particolare con gli autenticatori della piattaforma, un utente con più dispositivi non potrà autenticarsi su dispositivi non registrati. La registrazione deve essere completata per ogni dispositivo che intende utilizzare.
L'autenticazione FIDO è associata a dispositivi specifici, che devono rimanere in possesso dell'utente e attivi.
- Se il contratto di servizio viene annullato, non sarà più possibile inviare messaggi SMS al numero di telefono registrato.
- FIDO memorizza le chiavi private su un dispositivo specifico. Se il dispositivo viene smarrito, queste chiavi non sono utilizzabili.
Campagna Yahoo! Il GIAPPONE sta adottando varie misure per risolvere questi problemi.
La soluzione più importante è incoraggiare gli utenti a configurare più metodi di autenticazione. In questo modo, viene fornito un accesso alternativo all'account in caso di smarrimento dei dispositivi. Poiché le chiavi FIDO dipendono dal dispositivo, è anche buona norma registrare le chiavi private FIDO su più dispositivi.
In alternativa, gli utenti possono utilizzare l'API WebOTP per trasferire i codici di verifica SMS da uno smartphone Android a Chrome su un PC.
Riteniamo che affrontare questi problemi diventerà ancora più importante con la diffusione dell'autenticazione senza password.
Promozione dell'autenticazione senza password
Campagna Yahoo! Il GIAPPONE lavora a queste iniziative senza password dal 2015. Tutto è iniziato con l'acquisizione della certificazione del server FIDO nel maggio 2015, seguita dall'introduzione dell'autenticazione via SMS, di una funzionalità di disattivazione della password e del supporto FIDO per ogni dispositivo.
Oggi, più di 30 milioni di utenti attivi mensili hanno già disattivato le proprie password e utilizzano metodi di autenticazione senza password. Campagna Yahoo! Il supporto di FIDO in GIAPPONE è iniziato con Chrome su Android e ora più di 10 milioni di utenti hanno configurato l'autenticazione FIDO.
In seguito all'aggiornamento Grazie alle iniziative di GOOGLE JAPAN, la percentuale di richieste relative a ID di accesso o password dimenticati è diminuita del 25% rispetto al periodo in cui il numero di queste richieste era al massimo. Inoltre, abbiamo potuto confermare che l'accesso non autorizzato è diminuito a seguito dell'aumento del numero di account senza password.
Poiché FIDO è molto facile da configurare, ha un tasso di conversione particolarmente elevato. Infatti, Yahoo! In GIAPPONE è stato riscontrato che FIDO ha un CVR più elevato rispetto all'autenticazione via SMS.
25 %
Diminuzione delle richieste di credenziali dimenticate
74 %
Gli utenti riescono a eseguire l'autenticazione FIDO
65 %
Riuscire a eseguire la verifica tramite SMS
FIDO ha un tasso di successo più elevato rispetto all'autenticazione tramite SMS e tempi di autenticazione medi e mediani più rapidi. Per quanto riguarda le password, alcuni gruppi hanno tempi di autenticazione brevi e sospettiamo che ciò sia dovuto a autocomplete="current-password" del browser.
La difficoltà maggiore per offrire account senza password non è l'aggiunta di metodi di autenticazione, ma la diffusione dell'uso degli autenticatori. Se l'esperienza di utilizzo di un servizio senza password non è intuitiva, la transizione non sarà semplice.
Riteniamo che per migliorare la sicurezza dobbiamo prima migliorare l'usabilità, il che richiederà innovazioni uniche per ogni servizio.
Conclusione
L'autenticazione con password è rischiosa in termini di sicurezza e pone anche problemi in termini di usabilità. Ora che le tecnologie che supportano l'autenticazione senza password, come l'API WebOTP e FIDO, sono più ampiamente disponibili, è il momento di iniziare a lavorare per l'autenticazione senza password.
In Yahoo! GIAPPONE, l'adozione di questo approccio ha avuto un effetto definitivo sia sull'usabilità che sulla sicurezza. Tuttavia, molti utenti utilizzano ancora le password, quindi continueremo a incoraggiare un maggior numero di utenti a passare a metodi di autenticazione senza password. Continueremo inoltre a migliorare i nostri prodotti per ottimizzare l'esperienza utente per i metodi di autenticazione senza password.
Foto di olieman.eth su Unsplash