Yahoo! بفضل المصادقة بدون كلمة مرور في اليابان، انخفضت الاستفسارات بنسبة 25%، كما زادت من وقت تسجيل الدخول بمقدار 2.6 مرة.

تعرَّف على كيفية أنشأت اليابان نظامًا لتحديد الهوية بدون كلمات مرور.

Eiji Kitamura

Alexandra Klepper

Yuya Ito

Yahoo! ‫JAPAN هي إحدى أكبر شركات الإعلام في اليابان، وتقدّم خدمات مثل البحث والأخبار والتجارة الإلكترونية والبريد الإلكتروني. أكثر من 50 مليون مستخدم يسجّلون الدخول إلى Yahoo! خدمات JAPAN كل شهر

على مر السنين، تعرّضت حسابات المستخدمين للعديد من الهجمات وواجهت مشاكل أدّت إلى فقدان إمكانية الوصول إلى الحسابات. كانت معظم هذه المشاكل مرتبطة باستخدام كلمة المرور للمصادقة.

مع التطورات الأخيرة في تكنولوجيا المصادقة، قرّرت اليابان الانتقال من المصادقة المستندة إلى كلمات المرور إلى المصادقة بدون كلمات مرور.

لماذا يجب استخدام ميزة "بدون كلمات مرور"؟

As Yahoo! تقدّم اليابان خدمات للتجارة الإلكترونية وخدمات أخرى ذات صلة بالمال، لذا هناك خطر كبير من تعرّض المستخدمين لأضرار في حال الوصول غير المصرَّح به إلى حساباتهم أو فقدانها.

كانت الهجمات الأكثر شيوعًا المرتبطة بكلمات المرور هي الهجمات باستخدام قوائم كلمات المرور وعمليات الخداع التصيدي. من الأسباب التي تجعل هجمات قوائم كلمات المرور شائعة وفعّالة أنّ العديد من المستخدمين يعتادون استخدام كلمة المرور نفسها لتطبيقات ومواقع إلكترونية متعددة.

الأرقام التالية هي نتائج استطلاع أجرته شركة Yahoo!. اليابان

‫50 _%

استخدام المعرّف وكلمة المرور نفسها في ستة مواقع إلكترونية أو أكثر

‫60 _%

استخدام كلمة المرور نفسها على مواقع إلكترونية متعددة

‫70 _%

استخدام كلمة مرور كطريقة أساسية لتسجيل الدخول

غالبًا ما ينسى المستخدمون كلمات المرور، وهو ما يفسّر العدد الكبير من الاستفسارات المتعلقة بكلمات المرور. تلقّينا أيضًا استفسارات من مستخدمين نسوا معرّفات تسجيل الدخول بالإضافة إلى كلمات المرور. في ذروتها، شكّلت هذه الاستفسارات أكثر من ثلث جميع الاستفسارات المتعلّقة بالحسابات.

من خلال إتاحة تسجيل الدخول بدون كلمة مرور، تتيح Yahoo! كان الهدف من هذا المشروع تحسين الأمان وسهولة الاستخدام، بدون فرض أي أعباء إضافية على المستخدمين.

من منظور الأمان، يؤدي إلغاء كلمات المرور من عملية مصادقة المستخدم إلى الحد من الأضرار الناجمة عن الهجمات المستندة إلى القوائم، ومن منظور سهولة الاستخدام، يمنع توفير طريقة مصادقة لا تعتمد على تذكُّر كلمات المرور حدوث مواقف يتعذّر فيها على المستخدم تسجيل الدخول بسبب نسيان كلمة المرور.

Yahoo! مبادرات عدم استخدام كلمات المرور في اليابان

Yahoo! تتّخذ اليابان عددًا من الخطوات لتعزيز المصادقة بدون كلمة مرور، ويمكن تقسيمها بشكل عام إلى ثلاث فئات:

1. توفير وسيلة مصادقة بديلة لكلمات المرور
2. إيقاف كلمة المرور
3. تسجيل الحساب بدون استخدام كلمة مرور

استهدفت المبادرتان الأوليان المستخدمين الحاليين، بينما تستهدف ميزة التسجيل بدون كلمة مرور المستخدمين الجدد.

1. توفير وسيلة مصادقة بديلة لكلمات المرور

Yahoo! تقدّم اليابان البدائل التالية لكلمات المرور.

1. مصادقة الرسائل القصيرة SMS
2. FIDO مع WebAuthn

بالإضافة إلى ذلك، نوفّر أيضًا طرق مصادقة، مثل مصادقة البريد الإلكتروني وكلمة المرور مع كلمة المرور الصالحة لمرة واحدة (OTP) عبر الرسائل القصيرة وكلمة المرور مع كلمة المرور الصالحة لمرة واحدة عبر البريد الإلكتروني.

المصادقة عبر الرسائل القصيرة

المصادقة باستخدام الرسائل القصيرة هي نظام يتيح للمستخدم المسجّل تلقّي رمز مصادقة مكوّن من ستة أرقام من خلال الرسائل القصيرة. بعد أن يتلقّى المستخدم الرسالة القصيرة، يمكنه إدخال رمز المصادقة في التطبيق أو الموقع الإلكتروني.

لطالما سمحت Apple لنظام التشغيل iOS بقراءة الرسائل القصيرة واقتراح رموز المصادقة من نص الرسالة. أصبح من الممكن مؤخرًا استخدام الاقتراحات من خلال تحديد "one-time-code" في السمة autocomplete لعنصر الإدخال. يمكن أن يوفّر Chrome على أجهزة Android وWindows وMac التجربة نفسها باستخدام WebOTP API.

على سبيل المثال:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>

if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

تم تصميم الطريقتَين لمنع التصيّد الاحتيالي من خلال تضمين النطاق في نص الرسالة القصيرة وتقديم اقتراحات للنطاق المحدّد فقط.

لمزيد من المعلومات عن WebOTP API وautocomplete="one-time-code"، اطّلِع على أفضل الممارسات المتعلّقة بنماذج كلمات المرور الصالحة لمرة واحدة عبر الرسائل القصيرة.

الهوية السريعة على الإنترنت (FIDO) مع WebAuthn

تستخدم FIDO مع WebAuthn أداة مصادقة خارجية لإنشاء زوج من مفاتيح التشفير العامة وإثبات الملكية. عند استخدام هاتف ذكي كأداة مصادقة، يمكن دمجه مع المصادقة بالمقاييس الحيوية (مثل أدوات استشعار بصمة الإصبع أو التعرّف على الوجوه) لإجراء مصادقة ثنائية الخطوة واحدة. في هذه الحالة، يتم إرسال التوقيع وإشارة النجاح فقط من عملية المصادقة بالمقاييس الحيوية إلى الخادم، وبالتالي لا يوجد خطر من سرقة بيانات المقاييس الحيوية.

يوضّح الرسم البياني التالي إعدادات الخادم والعميل في FIDO. يصادق برنامج المصادقة على الجهاز العميل على المستخدم باستخدام المقاييس الحيوية ويوقّع على النتيجة باستخدام تشفير المفتاح العام. يتم تخزين المفتاح الخاص المستخدَم لإنشاء التوقيع بشكل آمن في بيئة تنفيذ موثوقة (TEE) أو موقع مشابه. يُطلق على مقدّم الخدمة الذي يستخدم FIDO اسم RP (جهة معتمِدة).

لمزيد من المعلومات، يمكنك الاطّلاع على إرشادات المصادقة من FIDO Alliance.

Yahoo! تتيح اليابان استخدام FIDO على Android (التطبيق المتوافق مع الأجهزة الجوّالة والويب) وiOS (التطبيق المتوافق مع الأجهزة الجوّالة والويب) وWindows (Edge وChrome وFirefox) وmacOS (Safari وChrome). وبما أنّ FIDO خدمة موجّهة للمستهلكين، يمكن استخدامها على أي جهاز تقريبًا، ما يجعلها خيارًا جيدًا لتعزيز المصادقة بدون كلمة مرور.

Yahoo! تنصح اليابان المستخدمين بالتسجيل في FIDO باستخدام WebAuthn، إذا لم يسبق لهم إجراء مصادقة من خلال وسائل أخرى. عندما يحتاج المستخدم إلى تسجيل الدخول باستخدام الجهاز نفسه، يمكنه إثبات هويته بسرعة باستخدام أداة استشعار المقاييس الحيوية.

على المستخدمين إعداد مصادقة FIDO على جميع الأجهزة التي يستخدمونها لتسجيل الدخول إلى Yahoo!. اليابان

لتعزيز المصادقة بدون استخدام كلمات المرور ومراعاة المستخدمين الذين ينتقلون إلى استخدام طرق أخرى للمصادقة، نوفّر وسائل متعددة للمصادقة. وهذا يعني أنّه يمكن أن تختلف إعدادات طرق المصادقة بين المستخدمين، وقد تختلف طرق المصادقة التي يمكنهم استخدامها من متصفّح إلى آخر. نعتقد أنّ تجربة المستخدم ستكون أفضل إذا سجّل الدخول باستخدام طريقة المصادقة نفسها في كل مرة.

ولاستيفاء هذه المتطلبات، من الضروري تتبُّع طرق المصادقة السابقة وربط هذه المعلومات بالعميل من خلال تخزينها في شكل ملفات تعريف ارتباط وما إلى ذلك. ويمكننا بعد ذلك تحليل كيفية استخدام المتصفحات والتطبيقات المختلفة للمصادقة. يُطلب من المستخدم تقديم مصادقة مناسبة استنادًا إلى إعدادات المستخدم وطرق المصادقة السابقة المستخدَمة والحد الأدنى من مستوى المصادقة المطلوب.

2. إيقاف كلمة المرور

Yahoo! تطلب JAPAN من المستخدمين إعداد طريقة مصادقة بديلة ثم إيقاف كلمة المرور لكي لا يمكن استخدامها. بالإضافة إلى إعداد طريقة مصادقة بديلة، يساعد إيقاف مصادقة كلمة المرور (وبالتالي عدم إمكانية تسجيل الدخول باستخدام كلمة مرور فقط) في حماية المستخدمين من الهجمات المستندة إلى القوائم.

اتّخذنا الخطوات التالية لتشجيع المستخدمين على إيقاف كلمات المرور.

• الترويج لطرق المصادقة البديلة عندما يعيد المستخدمون ضبط كلمات المرور
• تشجيع المستخدمين على إعداد طرق مصادقة سهلة الاستخدام (مثل FIDO) وإيقاف كلمات المرور في الحالات التي تتطلّب المصادقة بشكل متكرّر
• حث المستخدمين على إيقاف كلمات المرور قبل استخدام الخدمات العالية الخطورة، مثل دفعات التجارة الإلكترونية

إذا نسي المستخدم كلمة المرور، يمكنه تنفيذ عملية استرداد الحساب. في السابق، كان ذلك يتطلّب إعادة ضبط كلمة المرور. يمكن للمستخدمين الآن اختيار إعداد طريقة مصادقة مختلفة، وننصحهم بذلك.

3- تسجيل الحساب بدون استخدام كلمة مرور

يمكن للمستخدمين الجدد إنشاء حساب على Yahoo بدون كلمة مرور حسابات JAPAN يُطلب من المستخدمين أولاً التسجيل باستخدام مصادقة عبر الرسائل القصيرة. بعد تسجيل الدخول، ننصح المستخدم بإعداد مصادقة FIDO.

بما أنّ FIDO هو إعداد خاص بكل جهاز، قد يصعب استرداد الحساب في حال تعذّر استخدام الجهاز. لذلك، نطلب من المستخدمين إبقاء رقم هاتفهم مسجّلاً، حتى بعد إعداد مصادقة إضافية.

التحديات الرئيسية للمصادقة بدون كلمة مرور

تعتمد كلمات المرور على الذاكرة البشرية ولا ترتبط بجهاز معيّن. من ناحية أخرى، تعتمد طرق المصادقة التي تم طرحها حتى الآن في مبادرتنا بشأن المصادقة بدون استخدام كلمات المرور على الجهاز. ويطرح ذلك عدة تحديات.

عند استخدام أجهزة متعددة، قد تحدث بعض المشاكل المتعلّقة بسهولة الاستخدام:

• عند استخدام مصادقة الرسائل القصيرة لتسجيل الدخول من جهاز كمبيوتر، على المستخدمين التحقّق من هواتفهم الجوّالة بحثًا عن الرسائل القصيرة الواردة. قد يكون ذلك غير مناسب، لأنّه يتطلب أن يكون هاتف المستخدم متاحًا وسهل الوصول إليه في أي وقت.
• باستخدام FIDO، وخاصةً مع أدوات المصادقة المدمجة في الأجهزة، لن يتمكّن المستخدم الذي لديه أجهزة متعددة من المصادقة على الأجهزة غير المسجَّلة. يجب إكمال عملية التسجيل لكل جهاز ينوي استخدامه.

ترتبط مصادقة FIDO بأجهزة معيّنة، ما يتطلّب أن تبقى هذه الأجهزة في حوزة المستخدم وأن تكون نشطة.

• في حال إلغاء عقد الخدمة، لن يعود بإمكانك إرسال رسائل SMS إلى رقم الهاتف المسجّل.
• يخزّن معيار FIDO المفاتيح الخاصة على جهاز معيّن. وفي حال فقدان الجهاز، لن يكون بالإمكان استخدام هذه المفاتيح.

Yahoo! تتّخذ اليابان خطوات مختلفة لمعالجة هذه المشاكل.

الحل الأكثر أهمية هو تشجيع المستخدمين على إعداد طرق مصادقة متعدّدة. ويوفّر ذلك طريقة بديلة للوصول إلى الحساب عند فقدان الأجهزة. بما أنّ مفاتيح FIDO تعتمد على الجهاز، من الممارسات الجيدة أيضًا تسجيل مفاتيح FIDO الخاصة على أجهزة متعددة.

بدلاً من ذلك، يمكن للمستخدمين استخدام WebOTP API لتمرير رموز التحقّق عبر الرسائل القصيرة من هاتف Android إلى Chrome على الكمبيوتر.

ونعتقد أنّ معالجة هذه المشاكل ستصبح أكثر أهمية مع انتشار المصادقة بدون كلمة مرور.

الترويج للمصادقة بدون استخدام كلمات المرور

Yahoo! تعمل اليابان على هذه المبادرات التي لا تتطلّب استخدام كلمات مرور منذ عام 2015. بدأ ذلك بالحصول على شهادة اعتماد لخادم FIDO في أيار (مايو) 2015، تلاه طرح ميزة المصادقة عبر الرسائل القصيرة، وميزة إيقاف كلمة المرور، وتوافق FIDO مع كل جهاز.

في الوقت الحالي، أوقف أكثر من 30 مليون مستخدم نشط شهريًا كلمات المرور وبدأوا في استخدام طرق مصادقة لا تتطلّب كلمة مرور. Yahoo! بدأ توفير ميزة FIDO في اليابان على Chrome لنظام Android، وقد أعدّ أكثر من 10 ملايين مستخدم مصادقة FIDO.

نتيجةً لذلك، في اليابان، انخفضت نسبة الاستفسارات المتعلقة بنسيان معرّفات تسجيل الدخول أو كلمات المرور بنسبة% 25 مقارنةً بالفترة التي بلغ فيها عدد هذه الاستفسارات أعلى مستوى له، كما تمكّنا أيضًا من التأكّد من انخفاض حالات الوصول غير المصرّح به نتيجةً لزيادة عدد الحسابات التي لا تتطلّب كلمة مرور.

بما أنّ إعداد FIDO سهل للغاية، فإنّ معدّل الإحالات الناجحة مرتفع بشكل خاص. في الواقع، أظهرت تجربة في اليابان أنّ استخدام FIDO يحقّق معدّل إحالات ناجحة أعلى من استخدام المصادقة عبر الرسائل القصيرة.

‫25 _%

انخفاض في طلبات استرداد بيانات الاعتماد المنسية

‫74 _%

نجاح المستخدمين في المصادقة باستخدام FIDO

‫65 _%

إكمال عملية إثبات الهوية عبر الرسائل القصيرة SMS بنجاح

يحقّق معيار FIDO معدل نجاح أعلى من المصادقة عبر الرسائل القصيرة، كما أنّه أسرع من حيث متوسط وقت المصادقة والوقت الأوسط. في ما يتعلق بكلمات المرور، تتضمّن بعض المجموعات أوقات مصادقة قصيرة، ونعتقد أنّ ذلك يرجع إلى autocomplete="current-password" في المتصفّح.

إنّ الصعوبة الأكبر في توفير حسابات لا تتطلّب كلمات مرور ليست في إضافة طرق المصادقة، بل في تشجيع استخدام أدوات المصادقة. إذا لم تكن تجربة استخدام خدمة لا تتطلّب كلمة مرور سهلة، لن يكون الانتقال إلى هذه الخدمة أمرًا يسيرًا.

ونعتقد أنّه لتحسين الأمان، علينا أولاً تحسين سهولة الاستخدام، وهو ما يتطلّب ابتكارات فريدة لكل خدمة.

الخاتمة

تُعد المصادقة باستخدام كلمة المرور محفوفة بالمخاطر من ناحية الأمان، كما أنّها تطرح تحديات من ناحية سهولة الاستخدام. بعد أن أصبحت التقنيات التي تتيح المصادقة بدون كلمة مرور، مثل WebOTP API وFIDO، متاحة على نطاق أوسع، حان الوقت للبدء في العمل على توفير المصادقة بدون كلمة مرور.

في Yahoo!‎ في اليابان، كان لهذا النهج تأثير واضح على سهولة الاستخدام والأمان. ومع ذلك، لا يزال العديد من المستخدمين يعتمدون على كلمات المرور، لذا سنواصل تشجيع المزيد من المستخدمين على التبديل إلى طرق المصادقة بدون كلمة مرور. سنواصل أيضًا تحسين منتجاتنا لتحسين تجربة المستخدمين مع طرق المصادقة بدون كلمة مرور.

صورة من olieman.eth على Unsplash