जानें कि कैसे Yahoo! जापान ने बिना पासवर्ड वाला आइडेंटिटी सिस्टम बनाया.
Yahoo! JAPAN, जापान की सबसे बड़ी मीडिया कंपनियों में से एक है समाचार, ई-कॉमर्स, और ई-मेल जैसी सेवाओं के विज्ञापन होते हैं. 5 करोड़ से ज़्यादा उपयोगकर्ता Yahoo! में लॉग इन करें हर महीने JAPAN की सेवाएं पाएं.
पिछले कुछ सालों में, उपयोगकर्ता खातों पर कई हमलों का सामना करना पड़ा और इन समस्याओं की वजह से ऐसा हुआ खाते का ऐक्सेस खो दिया है. इनमें से ज़्यादातर समस्याएं, पासवर्ड के इस्तेमाल से जुड़ी थीं पुष्टि करने के लिए.
पुष्टि करने की टेक्नोलॉजी में हाल ही में हुई प्रोग्रेस के साथ, Yahoo! JAPAN ने फ़ैसला लिया है पासवर्ड के बजाय बिना पासवर्ड के पुष्टि करने की सुविधा पर स्विच करें.
बिना पासवर्ड के क्यों?
चूंकि Yahoo! JAPAN, ई-कॉमर्स और पैसे से जुड़ी अन्य सेवाएं देता है. इससे लोगों को बिना अनुमति के ऐक्सेस करने या खाता खोने की समस्या.
पासवर्ड से जुड़े सबसे आम हमले पासवर्ड सूची हमले और पासवर्ड सूची हमले थे फ़िशिंग धोखाधड़ी. पासवर्ड सूची हमले सामान्य होने की एक वजह और कई लोगों को अपनी प्रॉपर्टी के लिए एक ही पासवर्ड इस्तेमाल करने की आदत होती है के ऐप्लिकेशन और वेबसाइटों पर दिखाई जाती है.
नीचे दिए गए आंकड़े Yahoo! की ओर से किए गए एक सर्वे के नतीजे हैं. जापान.
50 %
छह या इससे ज़्यादा साइटों पर एक ही आईडी और पासवर्ड का इस्तेमाल करना
60 %
कई साइटों के लिए एक ही पासवर्ड का इस्तेमाल करना
70 %
लॉगिन करने के लिए मुख्य तरीके के तौर पर पासवर्ड का इस्तेमाल करना
लोग अक्सर अपने पासवर्ड भूल जाते हैं. इनमें से ज़्यादातर पासवर्ड हैं पासवर्ड के बारे में सवाल. ऐसे उपयोगकर्ताओं से भी पूछताछ की गई थी अपने पासवर्ड के अलावा लॉगिन आईडी भी भूल गए. अपने चरम पर इन इन पूछताछ के लिए, खाते से जुड़ी सभी पूछताछों में से एक तिहाई से भी ज़्यादा सवाल पूछे गए.
बिना पासवर्ड के साइन इन करके, Yahoo! JAPAN का मकसद न सिर्फ़ सुरक्षा को बेहतर बनाना है, साथ ही, उपयोगकर्ताओं पर कोई अतिरिक्त भार डाले बिना, उसे आसानी से इस्तेमाल किया जा सकता है.
सुरक्षा के लिहाज़ से, उपयोगकर्ता से पासवर्ड हटाना पुष्टि करने की प्रोसेस, सूची में होने वाले हमलों से होने वाले नुकसान को कम करती है. साथ ही, इस्तेमाल करने के तरीके के बारे में बताएं. इसके लिए, हम पुष्टि करने का ऐसा तरीका उपलब्ध कराते हैं जो आपके लिए Google पर पासवर्ड याद रखने से क्योंकि उन्हें अपना पासवर्ड याद नहीं है.
Yahoo! JAPAN के बिना पासवर्ड के पहल
Yahoo! JAPAN बिना पासवर्ड के साइन इन करने का प्रमोशन करने के लिए कई तरीके अपना रहा है पुष्टि की जा सकती है. इसे तीन कैटगरी में बांटा जा सकता है:
- पासवर्ड की पुष्टि करने का कोई दूसरा तरीका उपलब्ध कराएं.
- पासवर्ड बंद करना.
- बिना पासवर्ड के खाता रजिस्ट्रेशन.
पहले दो पहलों को बिना पासवर्ड के, मौजूदा उपयोगकर्ताओं को ध्यान में रखकर शुरू किया गया था और ज़्यादा से ज़्यादा नए उपयोगकर्ताओं को रजिस्टर किया जा सकता है.
1. पासवर्ड की पुष्टि करने के लिए कोई और तरीका उपलब्ध कराना
Yahoo! JAPAN, पासवर्ड के लिए ये विकल्प देता है.
इसके अलावा, हम पुष्टि करने के तरीके भी ऑफ़र करते हैं, जैसे कि ईमेल पुष्टि करना, एसएमएस ओटीपी के साथ मिला पासवर्ड (एक बार इस्तेमाल होने वाला पासवर्ड), और ईमेल ओटीपी के साथ पासवर्ड.
एसएमएस की मदद से पुष्टि करना
एसएमएस की मदद से पुष्टि करने की सुविधा की मदद से, रजिस्टर्ड उपयोगकर्ता मैसेज (एसएमएस) के ज़रिए मिला छह अंकों वाला पुष्टि करने वाला कोड. उपयोगकर्ता को एसएमएस मिलने के बाद, वे ऐप्लिकेशन या वेबसाइट में पुष्टि करने वाला कोड डाल सकते हैं.
Apple के पास iOS को लंबे समय से मैसेज पढ़ने और पुष्टि करने का सुझाव देने की अनुमति है
टेक्स्ट के मुख्य हिस्से से मिले कोड. हाल ही में,
"वन-टाइम-कोड" तय करना इनपुट के autocomplete
एट्रिब्यूट में
एलिमेंट. Android, Windows, और Mac पर Chrome एक जैसा अनुभव दे सकता है
WebOTP API का इस्तेमाल करके.
उदाहरण के लिए:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
दोनों तरीकों को फ़िशिंग से बचने के लिए डिज़ाइन किया गया है. इसके लिए, डोमेन को मैसेज (एसएमएस) का मुख्य हिस्सा और सिर्फ़ बताए गए डोमेन के लिए सुझाव देना.
WebOTP API और autocomplete="one-time-code"
के बारे में ज़्यादा जानकारी के लिए,
एसएमएस ओटीपी वाले फ़ॉर्म इस्तेमाल करने के सबसे सही तरीके देखें.
WebAuthn के साथ FIDO
WebAuthn वाला FIDO, सार्वजनिक पासकोड जनरेट करने के लिए हार्डवेयर की पुष्टि करने वाले टूल का इस्तेमाल करता है को साइफ़र पेयर और अधिकार साबित करें. जब स्मार्ट फ़ोन का उपयोग पुष्टि करने के लिए इस्तेमाल किया जाता है, तो इसे बायोमेट्रिक ऑथेंटिकेशन के साथ जोड़ा जा सकता है (जैसे कि फ़िंगरप्रिंट सेंसर या चेहरे की पहचान जैसी सुविधाओं के साथ) पुष्टि करने के लिए. इस मामले में, सिर्फ़ हस्ताक्षर और सफलता का संकेत बायोमेट्रिक ऑथेंटिकेशन के ज़रिए सर्वर को भेजा जाता है, इसलिए किसी तरह का जोखिम नहीं होता के बायोमेट्रिक डेटा की चोरी होने के जोखिम को ट्रैक किया जा सकता है.
यहां दिया गया डायग्राम, FIDO के लिए सर्वर-क्लाइंट कॉन्फ़िगरेशन को दिखाता है. कॉन्टेंट बनाने क्लाइंट Authenticator, बायोमेट्रिक्स से उपयोगकर्ता की पुष्टि करता है और सार्वजनिक पासकोड क्रिप्टोग्राफ़ी का इस्तेमाल करके. वह निजी पासकोड जिसका इस्तेमाल करके सिग्नेचर, TEE (ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट) में सुरक्षित तरीके से सेव किया जाता है या समान स्थान. FIDO का इस्तेमाल करने वाले सेवा देने वाले को आरपी कहते हैं (भरोसेमंद पक्ष).
ज़्यादा जानकारी के लिए, पढ़ें FIDO Alliance के पुष्टि करने के दिशा-निर्देश.
Yahoo! JAPAN, Android (मोबाइल ऐप्लिकेशन और वेब), iOS (मोबाइल ऐप्लिकेशन) पर FIDO के साथ काम करता है और वेब), Windows (Edge, Chrome, Firefox), और macOS (Safari, Chrome) जोड़ें. बतौर FIDO का उपयोग लगभग किसी भी डिवाइस पर किया जा सकता है, जिससे यह अच्छा प्रदर्शन करने वाला बिना पासवर्ड के पुष्टि करने का प्रचार करने का विकल्प.
Yahoo! JAPAN का सुझाव है कि लोग WebAuthn से FIDO के लिए रजिस्टर करें, अगर उन्होंने अन्य तरीकों से पुष्टि न की गई हो. किसी उपयोगकर्ता को कब लॉग इन करना पड़ता है और बायोमेट्रिक सेंसर की मदद से, पहचान की पुष्टि फटाफट की जा सकती है.
उपयोगकर्ताओं को उन सभी डिवाइसों पर FIDO की पुष्टि करने की सुविधा सेट अप करनी होगी जिनमें लॉग इन करने के लिए वे इस्तेमाल किए जाते हैं सिर्फ़ Yahoo! जापान.
बिना पासवर्ड के पुष्टि करने और उन उपयोगकर्ताओं का ध्यान रखने के लिए जो पासवर्ड बनाने के अलावा, हम ऐसे कई तरीके उपलब्ध कराते हैं पुष्टि करने के लिए. इसका मतलब है कि अलग-अलग उपयोगकर्ताओं के पास पुष्टि करने के तरीके और पुष्टि करने के वे तरीके जिन्हें वे इस्तेमाल कर सकते हैं हर ब्राउज़र अलग-अलग हो सकता है. हमारा मानना है कि यह एक बेहतर अनुभव है, अगर उपयोगकर्ता हर बार एक ही तरीके से लॉग इन करते हैं.
इन ज़रूरी शर्तों को पूरा करने के लिए, पुष्टि करने की पिछली प्रक्रिया को ट्रैक करना ज़रूरी है तरीकों का इस्तेमाल करके इस जानकारी को कुकी वगैरह के ज़रिए अलग-अलग ब्राउज़र और ऐप्लिकेशन का इस्तेमाल पुष्टि करने के लिए किया जाता है. उपयोगकर्ता से सही जानकारी देने के लिए कहा जाता है पुष्टि करने की प्रक्रिया, उपयोगकर्ता की सेटिंग के हिसाब से, पुष्टि करने की पिछली सेटिंग के आधार पर इस्तेमाल किए गए तरीके और ज़रूरी पुष्टि करने का कम से कम लेवल.
2. पासवर्ड बंद करना
Yahoo! JAPAN, उपयोगकर्ताओं को पुष्टि करने का कोई दूसरा तरीका सेट अप करने और फिर उनके पासवर्ड को बंद कर दें, ताकि उसका इस्तेमाल न किया जा सके. सेटिंग के अलावा अन्य तरीकों से पुष्टि करने की सुविधा, पासवर्ड की पुष्टि करने की सुविधा को बंद करना (इसलिए सिर्फ़ पासवर्ड से साइन इन नहीं कर पाना, उपयोगकर्ताओं को हमले के शिकार हैं.
उपयोगकर्ताओं को अक्षम करने के लिए प्रोत्साहित करने के लिए हमने निम्न चरण उठाए हैं पासवर्ड.
- उपयोगकर्ताओं के अपने पासवर्ड रीसेट करने पर, पुष्टि करने के दूसरे तरीकों का प्रमोशन करना.
- उपयोगकर्ताओं को, पुष्टि करने के आसान तरीके सेट अप करने के लिए बढ़ावा देना. जैसे, FIDO) और ऐसी स्थितियों में पासवर्ड बंद कर सकते हैं जिनके लिए अक्सर पुष्टि करने के लिए.
- उपयोगकर्ताओं से बहुत जोखिम वाली सेवाओं का इस्तेमाल करने से पहले, अपने पासवर्ड बंद करने का अनुरोध करना, जैसे कि ई-कॉमर्स पेमेंट.
अगर कोई उपयोगकर्ता अपना पासवर्ड भूल जाता है, तो वह खाता वापस पाने की प्रक्रिया शुरू कर सकता है. पहले इसमें पासवर्ड रीसेट करना शामिल था. अब लोग पुष्टि करनी होगी और हम उन्हें ऐसा करने के लिए बढ़ावा देते हैं.
3. बिना पासवर्ड के खाता रजिस्ट्रेशन
नए उपयोगकर्ता बिना पासवर्ड के Yahoo! JAPAN खाते. उपयोगकर्ता पहले हैं एसएमएस की मदद से रजिस्टर करना ज़रूरी है. लॉग इन करने के बाद, हम उपयोगकर्ता को FIDO के तौर पर पुष्टि करने की सुविधा सेट अप करने के लिए कहें.
FIDO हर डिवाइस के हिसाब से सेटिंग है, इसलिए खाता वापस पाना मुश्किल हो सकता है, अगर डिवाइस काम नहीं करता है. इसलिए, हम चाहते हैं कि उपयोगकर्ता फ़ोन नंबर रजिस्टर करना ज़रूरी है, भले ही उन्होंने अतिरिक्त पुष्टि सेट अप की हो.
बिना पासवर्ड के पुष्टि करने की मुख्य चुनौतियां
पासवर्ड, डिवाइस की मेमोरी पर निर्भर होते हैं और किसी दूसरे डिवाइस का इस्तेमाल करते हैं. दूसरी ओर, बिना पासवर्ड के साइन इन करने की हमारी पहल में अब तक उपलब्ध कराए गए पुष्टि करने के तरीके अलग-अलग डिवाइस पर निर्भर हैं. इस वजह से, कई चुनौतियों का सामना करना पड़ सकता है.
जब एक से ज़्यादा डिवाइस का इस्तेमाल किया जाता है, तो उपयोगिता से जुड़ी कुछ समस्याएं होती हैं:
- कंप्यूटर से लॉग इन करने के लिए, एसएमएस की मदद से पुष्टि करते समय, उपयोगकर्ताओं को इनकमिंग एसएमएस के लिए मोबाइल फ़ोन. यह असुविधाजनक हो सकता है, क्योंकि यह ज़रूरी है कि उपयोगकर्ता का फ़ोन उपलब्ध हो और उसे कभी भी आसानी से ऐक्सेस किया जा सके.
- FIDO के साथ, खास तौर पर प्लैटफ़ॉर्म की पुष्टि करने वाले लोगों के साथ, जब कोई उपयोगकर्ता कई डिवाइस, बिना रजिस्ट्रेशन वाले डिवाइस पर पुष्टि नहीं कर सकेंगे. आपको हर उस डिवाइस के लिए रजिस्ट्रेशन करना होगा जिसका इस्तेमाल करना है.
FIDO पुष्टि कुछ खास डिवाइसों से जुड़ी होती है, जिसके लिए ज़रूरी है कि वे डिवाइस में ही रहें उपयोगकर्ता के पास मौजूद और चालू है.
- अगर सेवा का अनुबंध रद्द हो जाता है, तो दोबारा अनुरोध नहीं किया जा सकेगा रजिस्टर किए गए फ़ोन नंबर पर मैसेज (एसएमएस) भेजना.
- FIDO किसी खास डिवाइस पर निजी पासकोड सेव करता है. अगर डिवाइस खो जाता है, तो कुंजियां काम नहीं करतीं.
Yahoo! इन समस्याओं को हल करने के लिए, JAPAN कई कदम उठा रहा है.
सबसे ज़रूरी समाधान है कि उपयोगकर्ताओं को ऐसी कई चीज़ें सेट अप करने के लिए बढ़ावा दिया जाए पुष्टि करने के तरीके. इससे डिवाइसों पर, अन्य खाते का ऐक्सेस मिलता है खो जाते हैं. FIDO कुंजियां डिवाइस पर निर्भर करती हैं. इसलिए, ऐसा करना भी अच्छा है एक से ज़्यादा डिवाइसों पर FIDO निजी कुंजियां रजिस्टर करें.
इसके अलावा, उपयोगकर्ता मैसेज (एसएमएस) से पुष्टि करने के लिए WebOTP API का इस्तेमाल कर सकते हैं कोड को Android फ़ोन से पीसी पर Chrome पर ट्रांसफ़र कर सकते हैं.
हमारा मानना है कि इन समस्याओं को हल करना और भी ज़रूरी हो जाएगा, क्योंकि बिना पासवर्ड के पुष्टि करने की सुविधा फैलती है.
बिना पासवर्ड के पुष्टि करने का प्रचार करने के बारे में जानकारी
Yahoo! JAPAN, 2015 से बिना पासवर्ड के इन पहलों पर काम कर रहा है. इसकी शुरुआत मई 2015 में FIDO सर्वर सर्टिफ़िकेशन हासिल करने के बाद हुई, इसके बाद, एसएमएस से पुष्टि करने की सुविधा शुरू की गई. सुविधा और FIDO समर्थन.
आज, महीने के हिसाब से 3 करोड़ से ज़्यादा सक्रिय उपयोगकर्ताओं ने पहले ही और पासवर्ड के अलावा अन्य तरीकों से पुष्टि करने का तरीका इस्तेमाल कर रहे हैं. Yahoo! JAPAN की FIDO के लिए समर्थन, Android पर Chrome के साथ प्रारंभ हुआ था और अब 1 करोड़ से अधिक हो गया है उपयोगकर्ताओं ने FIDO के ज़रिए पुष्टि करने की सुविधा सेट अप कर ली हो.
जैसे कि Yahoo! JAPAN की पहल, पूछताछ का प्रतिशत लॉगिन आईडी या पासवर्ड भूल जाने के मामले में इस तरह की पूछताछों की संख्या सबसे ज़्यादा थी. साथ ही, हमने ने यह पुष्टि की है कि बिना पासवर्ड वाले खातों की संख्या में बढ़ोतरी हुई है.
FIDO को सेट अप करना बहुत आसान है, इसलिए इसकी कन्वर्ज़न दर बहुत ज़्यादा है. असल में, Yahoo! JAPAN को पता चला है कि FIDO के पास मैसेज (एसएमएस) से ज़्यादा CVR है पुष्टि करने के लिए.
25 %
क्रेडेंशियल भूल जाने के अनुरोधों की संख्या में हुई कमी
74 %
FIDO से पुष्टि करने की प्रोसेस पूरी हुई
65 %
मैसेज (एसएमएस) से पुष्टि की प्रक्रिया पूरी हुई
FIDO के पास मैसेज (एसएमएस) की पुष्टि करने की तुलना में ज़्यादा सफल होने की दर है. यह ज़्यादा तेज़ औसत और
पुष्टि करने का मीडियन समय. पासवर्ड की बात करें, तो कुछ ग्रुप में
पुष्टि करने में लगने वाले समय से जुड़ी जानकारी शामिल नहीं करता है और हमें लगता है कि
यह ब्राउज़र के
autocomplete="current-password"
.
बिना पासवर्ड वाले खातों की सुविधा देने के लिए, सबसे बड़ी मुश्किल लेकिन Authenticator के इस्तेमाल को लोकप्रिय बनाने के बारे में ज़्यादा जानें. अगर बिना पासवर्ड वाली सेवा इस्तेमाल करने का अनुभव लोगों के लिए आसान नहीं है, तो ट्रांज़िशन आसान नहीं होगा.
हमारा मानना है कि बेहतर सुरक्षा पाने के लिए हमें पहले उपयोगिता, जिसके लिए हर सेवा के लिए खास इनोवेशन की ज़रूरत होगी.
नतीजा
सुरक्षा के लिहाज़ से पासवर्ड की पुष्टि करना जोखिम भरा है और ऐसा करने से ऐसा भी हो सकता है चुनौतियों का सामना करना पड़ता है. अब तक, एक-दूसरे को नुकसान पहुंचाने वाले बिना पासवर्ड के पुष्टि करने की सुविधा, ज़्यादातर इस्तेमाल की जा रही है. जैसे, WebOTP API और FIDO उपलब्ध है, तो अब बिना पासवर्ड के पुष्टि करने की सुविधा के लिए काम शुरू करने का समय आ गया है.
Yahoo! JAPAN के इस तरीके को अपनाने से, दोनों पर काफ़ी असर पड़ा है उपयोगिता और सुरक्षा. हालांकि, कई उपयोगकर्ता अब भी पासवर्ड का इस्तेमाल कर रहे हैं, इसलिए हम और उपयोगकर्ताओं को बिना पासवर्ड के पुष्टि करने की सुविधा पर स्विच करने के लिए बढ़ावा देगा तरीकों का इस्तेमाल करना होगा. हम उपयोगकर्ता को ऑप्टिमाइज़ करने के लिए अपने प्रॉडक्ट में लगातार सुधार करते रहेंगे बिना पासवर्ड के पुष्टि करने का अनुभव मिलता है.
Unस्प्लैश पर olieman.auth की फ़ोटो