Saiba como o Yahoo! Japan criou um sistema de identidade sem senha.
A autenticação sem senha do Yahoo! Japan é uma das maiores empresas de mídia do Japão, fornecendo serviços como pesquisa, notícias, comércio eletrônico e e-mail. Mais de 50 milhões de usuários fazem login no Yahoo! Japan todos os meses.
Ao longo dos anos, ocorreram muitos ataques a contas de usuários e problemas que levaram à perda de acesso às contas. A maioria desses problemas estava relacionada ao uso de senhas para autenticação.
Com os recentes avanços na tecnologia de autenticação, o Yahoo! Japan decidiu mudar da autenticação baseada em senha para a sem senha.
Por que usar o modelo sem senha?
Como o Yahoo! o Japão oferece e-commerce e outros serviços relacionados a dinheiro, há um risco de danos significativos aos usuários em caso de acesso não autorizado ou perda da conta.
Os ataques mais comuns relacionados a senhas foram relacionados a listas de senhas e golpes de phishing. Um dos motivos por que os ataques à lista de senhas são comuns e eficazes é o hábito de muitas pessoas de usar a mesma senha em vários aplicativos e sites.
As figuras a seguir são os resultados de uma pesquisa realizada pelo Yahoo! Japan.
50 %
usam o mesmo ID e senha em seis ou mais sites
60 %
Usar a mesma senha em vários sites
70 %
usar uma senha como a forma principal de fazer login
Os usuários geralmente esquecem as senhas, o que representava a maioria das consultas relacionadas a senhas. Havia também perguntas de usuários que esqueceram os IDs de login, além das senhas. No pico, essas consultas representavam mais de um terço de todas as consultas relacionadas à conta.
Ao usar a configuração sem senha, o Yahoo! Japan buscava melhorar não só a segurança, mas também a usabilidade, sem sobrecarregar os usuários.
Do ponto de vista da segurança, a eliminação de senhas do processo de autenticação do usuário reduz o dano de ataques baseados em lista e, do ponto de vista de usabilidade, fornecer um método de autenticação que não dependa de memorizar senhas evita situações em que um usuário não consegue fazer login porque esqueceu a senha.
A autenticação sem senha do Yahoo! Japan
A autenticação sem senha do Yahoo! Japan estão adotando várias etapas para promover a autenticação sem senha, que podem ser divididas em três categorias:
- Fornecer um meio alternativo de autenticação para senhas.
- Desativação da senha.
- Registro de conta sem senha.
As duas primeiras iniciativas são voltadas para usuários atuais, enquanto o registro sem senha é voltado a novos usuários.
1. Como fornecer um meio alternativo de autenticação para senhas
A autenticação sem senha do Yahoo! Japan oferece as seguintes alternativas às senhas.
- Autenticação por SMS
- FIDO com WebAuthn (link em inglês)
Além disso, também oferecemos métodos de autenticação, como autenticação de e-mail, senha combinada com OTP por SMS (senha única) e senha combinada com OTP de e-mail.
Autenticação por SMS
A autenticação por SMS é um sistema que permite que um usuário registrado receba um código de autenticação de seis dígitos por SMS. Depois que o usuário recebe o SMS, ele pode inserir o código de autenticação no app ou site.
Há muito tempo, a Apple permite ao iOS ler mensagens SMS e sugerir códigos de autenticação no corpo do texto. Recentemente, tornou-se possível usar sugestões com a
especificação de "código único" no atributo autocomplete do elemento de
entrada. O Chrome no Android, Windows e Mac pode oferecer a mesma experiência
usando a API WebOTP.
Exemplo:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
As duas abordagens foram criadas para evitar o phishing incluindo o domínio no corpo do SMS e fornecendo sugestões somente para o domínio especificado.
Para mais informações sobre a API WebOTP e autocomplete="one-time-code",
consulte as práticas recomendadas de formulário de OTP por SMS.
FIDO com WebAuthn
A FIDO com WebAuthn usa um autenticador de hardware para gerar um par de criptografia de chave pública e comprovar a posse. Quando um smartphone é usado como autenticador, ele pode ser combinado com a autenticação biométrica (como sensores de impressão digital ou reconhecimento facial) para realizar a autenticação de dois fatores em uma etapa. Nesse caso, apenas a assinatura e a indicação de sucesso da autenticação biométrica são enviadas ao servidor. Portanto, não há risco de roubo de dados biométricos.
No diagrama a seguir, mostramos a configuração servidor-cliente para FIDO. O autenticador de cliente autentica o usuário com biometria e assina o resultado usando criptografia de chave pública. A chave privada usada para criar a assinatura é armazenada com segurança em um ambiente de execução confiável (TEE, na sigla em inglês) ou semelhante. Um provedor de serviços que usa a FIDO é chamado de RP (parte confiável).
Depois que o usuário realiza a autenticação (normalmente com verificação biométrica ou PIN), o autenticador usa uma chave privada para enviar um sinal de verificação assinado ao navegador. Em seguida, o navegador compartilha esse indicador com o site da RP.
O site da RP envia o sinal de verificação assinado para o servidor da RP, que verifica a assinatura em relação à chave pública para concluir a autenticação.
Para mais informações, leia as diretrizes de autenticação da FIDO Alliance.
A autenticação sem senha do Yahoo! O Japão é compatível com a FIDO no Android (app para dispositivos móveis e Web), iOS (apps e Web para dispositivos móveis), Windows (Edge, Chrome, Firefox) e macOS (Safari e Chrome). Como um serviço ao consumidor, a FIDO pode ser usada em quase todos os dispositivos, o que o torna uma boa opção para promover a autenticação sem senha.
A autenticação sem senha do Yahoo! O Japão recomenda que os usuários se registrem na FIDO com o WebAuthn, caso ainda não tenham feito a autenticação por outros meios. Quando um usuário precisa fazer login com o mesmo dispositivo, ele pode fazer a autenticação rapidamente usando um sensor biométrico.
Os usuários precisam configurar a autenticação FIDO com todos os dispositivos que eles usam para fazer login no Yahoo! Japan.
Para promover a autenticação sem senha e considerar os usuários que estão fazendo a transição, oferecemos vários meios de autenticação. Isso significa que usuários diferentes podem ter diferentes configurações de método de autenticação, e os métodos de autenticação que eles podem usar podem variar de navegador para navegador. Acreditamos que a experiência é melhor se os usuários fizerem login usando sempre o mesmo método de autenticação.
Para atender a esses requisitos, é necessário acompanhar métodos de autenticação anteriores e vincular essas informações ao cliente, armazenando-as na forma de cookies etc. Assim, podemos analisar como diferentes navegadores e aplicativos são usados na autenticação. O usuário precisa fornecer a autenticação adequada com base nas configurações dele, nos métodos de autenticação anteriores usados e no nível mínimo de autenticação necessário.
2. Desativação da senha
A autenticação sem senha do Yahoo! O Japão solicita que os usuários configurem um método alternativo de autenticação e desativem a senha para que ela não possa ser usada. Além de configurar a autenticação alternativa, desabilitar a autenticação por senha, impossibilitando o login apenas com uma senha, ajuda a proteger os usuários contra ataques baseados em lista.
Tomamos as medidas abaixo para incentivar os usuários a desativar as senhas.
- Promover métodos de autenticação alternativos quando os usuários redefinirem as senhas.
- incentivar os usuários a configurar métodos de autenticação fáceis de usar (como FIDO) e desativar senhas para situações que exigem autenticação frequente;
- Instruir os usuários a desativar as senhas antes de usar serviços de alto risco, como pagamentos de comércio eletrônico.
Se um usuário esquecer a senha, ele poderá recuperar uma conta. Anteriormente, isso envolvia uma redefinição de senha. Agora, os usuários podem configurar um método de autenticação diferente, o que os incentivamos a fazer isso.
3. Registro de conta sem senha
Novos usuários podem criar contas sem senha do Yahoo! Japan. Os usuários primeiro são obrigados a se registrar com uma autenticação por SMS. Depois de fazer login, recomendamos que o usuário configure a autenticação FIDO.
Como a FIDO é uma configuração por dispositivo, poderá ser difícil recuperar uma conta se o dispositivo ficar inoperante. Portanto, exigimos que os usuários mantenham o número de telefone registrado, mesmo depois de configurar outra autenticação.
Principais desafios da autenticação sem senha
As senhas dependem da memória humana e são independentes de dispositivo. Por outro lado, os métodos de autenticação introduzidos até agora na nossa iniciativa sem senha dependem do dispositivo. Isso traz vários desafios.
Quando vários dispositivos são usados, há alguns problemas relacionados à usabilidade:
- Ao usar a autenticação por SMS para fazer login em um PC, os usuários precisam verificar se há mensagens SMS recebidas no celular. Isso pode ser inconveniente, porque exige que o smartphone do usuário esteja disponível e seja fácil de acessar a qualquer momento.
- Com a FIDO, especialmente com autenticadores de plataforma, um usuário com vários dispositivos não vai conseguir se autenticar em dispositivos não registrados. É preciso concluir o registro de cada dispositivo a ser usado.
A autenticação FIDO está vinculada a dispositivos específicos, o que exige que eles permaneçam ativos e sob posse do usuário.
- Se o contrato de serviço for cancelado, não será mais possível enviar mensagens SMS para o número de telefone registrado.
- A FIDO armazena chaves privadas em um dispositivo específico. Se o dispositivo for perdido, essas chaves não poderão ser usadas.
A autenticação sem senha do Yahoo! o Japão está tomando várias medidas para resolver esses problemas.
A solução mais importante é incentivar os usuários a configurar vários métodos de autenticação. Isso fornece acesso alternativo à conta quando os dispositivos são perdidos. Como as chaves FIDO dependem do dispositivo, também é uma boa prática registrar as chaves privadas FIDO em vários dispositivos.
Como alternativa, os usuários podem usar a API WebOTP para transmitir códigos de verificação por SMS de um smartphone Android para o Chrome em um PC.
Acreditamos que resolver esses problemas se tornará ainda mais importante à medida que a autenticação sem senha se espalhar.
Promovendo a autenticação sem senha
A autenticação sem senha do Yahoo! Japan trabalha nessas iniciativas sem senha desde 2015. Isso começou com a aquisição da certificação de servidor FIDO em maio de 2015, seguida pela introdução da autenticação por SMS, um recurso de desativação de senha e suporte FIDO para cada dispositivo.
Hoje, mais de 30 milhões de usuários ativos por mês já desativaram as senhas e usam métodos de autenticação que não sejam por senha. A autenticação sem senha do Yahoo! O suporte à FIDO do Japão começou com o Chrome no Android, e agora mais de 10 milhões de usuários configuraram a autenticação FIDO.
Como resultado do lançamento do Yahoo! Japan, a porcentagem de consultas que incluem senhas ou IDs de login esquecidos diminuiu 25% em comparação com o período em que o número de consultas esteve mais alto. Também pudemos confirmar que o acesso não autorizado diminuiu como resultado do aumento no número de contas sem senha.
Por ser muito fácil de configurar, a FIDO tem uma taxa de conversão particularmente alta. Na verdade, o Yahoo! descobriu que a FIDO tem uma CVR maior do que a autenticação por SMS.
25 %
de redução nas solicitações de credenciais esquecidas.
74 %
Os usuários são bem-sucedidos com a autenticação FIDO
65 %
Sucesso com a verificação por SMS
A FIDO tem uma taxa de sucesso maior do que a autenticação por SMS e tempos de autenticação médios e medianos mais rápidos. Quanto às senhas, alguns grupos têm tempos
de autenticação curtos, e suspeitamos que isso seja devido ao
autocomplete="current-password" do navegador.
A maior dificuldade para oferecer contas sem senha não é a adição de métodos de autenticação, mas popularizar o uso de autenticadores. Se a experiência de usar um serviço sem senha não for fácil de usar, a transição não será fácil.
Acreditamos que, para alcançar a segurança aprimorada, precisamos melhorar a usabilidade, o que exige inovações exclusivas para cada serviço.
Conclusão
A autenticação por senha é arriscada em termos de segurança e também representa desafios em termos de usabilidade. Agora que as tecnologias com suporte a autenticação sem senha, como a API WebOTP e a FIDO, estão mais amplamente disponíveis, é hora de começar a trabalhar para a autenticação sem senha.
No Yahoo! Japan, essa abordagem teve um efeito definido na usabilidade e na segurança. No entanto, muitos usuários ainda usam senhas. Por isso, continuaremos a incentivar mais usuários a migrar para métodos de autenticação sem senha. Também vamos continuar melhorando nossos produtos para otimizar a experiência do usuário para métodos de autenticação sem senha.
Foto de olieman.eth no Unsplash (link em inglês).