Yahoo! بفضل المصادقة بدون كلمة مرور في اليابان، انخفضت الاستفسارات بنسبة 25%، كما زادت من وقت تسجيل الدخول بمقدار 2.6 مرة.

تعرّف على كيفية استخدام Yahoo! أنشأت اليابان نظامًا للهوية بدون كلمات مرور.

Eiji Kitamura

Alexandra Klepper

Yuya Ito

Yahoo! JAPAN هي واحدة من أكبر الشركات الإعلامية في اليابان، حيث تقدم خدمات مثل البحث والأخبار والتجارة الإلكترونية والبريد الإلكتروني. يسجّل أكثر من 50 مليون مستخدم الدخول إلى Yahoo! خدمات اليابان كل شهر

على مرّ السنين، حدثت العديد من الهجمات على حسابات المستخدمين ومشاكل أدّت إلى فقدان إمكانية الوصول إلى الحسابات. وكانت معظم هذه المشاكل مرتبطة باستخدام كلمة المرور للمصادقة.

بفضل التطورات الأخيرة في تكنولوجيا المصادقة، تقدّم Yahoo! قرّرت اليابان الانتقال من المصادقة المستندة إلى كلمة المرور إلى المصادقة بدون كلمة مرور.

لماذا نستخدم ميزة "تسجيل الدخول بدون كلمة مرور"؟

بصفتك Yahoo! توفّر JAPAN خدمات التجارة الإلكترونية وخدمات أخرى متعلّقة بالمال، وبالتالي هناك خطر متزايد من إلحاق ضرر كبير بالمستخدمين في حال الوصول غير المصرّح به إلى حساباتهم أو فقدانها.

كانت الهجمات الأكثر شيوعًا ذات الصلة بكلمات المرور هي هجمات قائمة كلمات المرور وعمليات التصيّد الاحتيالي. من أسباب شيوع هجمات قوائم كلمات المرور وفعاليتها هو عادة استخدام العديد من الأشخاص لكلمة المرور نفسها في عدة تطبيقات ومواقع إلكترونية.

الأرقام التالية هي نتائج استطلاع أجرته Yahoo! اليابان

‫50 _%

استخدام المعرّف وكلمة المرور نفسيهما في ستة مواقع إلكترونية أو أكثر

‫60 _%

استخدام كلمة المرور نفسها على مواقع إلكترونية متعددة

‫70 _%

استخدام كلمة مرور كطريقة أساسية لتسجيل الدخول

غالبًا ما ينسى المستخدمون كلمات المرور، ما يشكّل غالبية الاستفسارات المتعلّقة بكلمات المرور. تلقّينا أيضًا استفسارات من مستخدمين نسوا معرّفات تسجيل الدخول الخاصة بهم بالإضافة إلى كلمات المرور. وفي ذروتها، شكّلت هذه الاستفسارات أكثر من ثلث جميع الاستفسارات المتعلقة بالحساب.

من خلال عدم استخدام كلمات مرور، Yahoo! ولم يكُن الهدف من شركة JAPAN هو تحسين مستوى الأمان فحسب، بل هو تحسين سهولة الاستخدام أيضًا، بدون وضع أي عبء إضافي على المستخدمين.

من منظور الأمان، يؤدي إزالة كلمات المرور من عملية مصادقة العميل إلى الحد من الأضرار الناتجة عن الهجمات المستندة إلى القائمة، ومن منظور سهولة الاستخدام، يؤدي توفير طريقة مصادقة لا تعتمد على تذكُّر كلمات المرور إلى منع حدوث حالات يتعذّر فيها على العميل تسجيل الدخول لأنّه نسي كلمة المرور.

Yahoo! مبادرات اليابان التي لا تستخدم كلمات مرور

Yahoo! تتخذ اليابان عددًا من الخطوات للترويج للمصادقة بدون كلمات مرور، والتي يمكن تقسيمها على نطاق واسع إلى ثلاث فئات:

1. يجب توفير وسيلة بديلة للمصادقة على كلمات المرور.
2. إيقاف كلمة المرور
3. تسجيل الحساب بدون كلمة مرور

تستهدف مبادرتان الأولى المستخدمين الحاليين، في حين يستهدف تسجيل البريد الإلكتروني بدون كلمة مرور المستخدمين الجدد.

1. توفير وسائل مصادقة بديلة لكلمات المرور

Yahoo! تقدّم اليابان البدائل التالية لكلمات المرور.

1. مصادقة الرسائل القصيرة
2. FIDO مع WebAuthn

بالإضافة إلى ذلك، نقدّم أيضًا طرق مصادقة، مثل مصادقة البريد الإلكتروني، وكلمة المرور مع كلمة المرور الصالحة لمرة واحدة عبر الرسائل القصيرة، وكلمة المرور مع كلمة المرور الصالحة لمرة واحدة عبر البريد الإلكتروني.

مصادقة الرسائل القصيرة

مصادقة الرسائل القصيرة SMS هي نظام يسمح للمستخدم المُسجّل بتلقي رمز مصادقة مكوَّن من ستة أرقام عبر الرسائل القصيرة SMS. بعد أن يتلقّى المستخدم الرسالة القصيرة، يمكنه إدخال رمز المصادقة في التطبيق أو الموقع الإلكتروني.

منذ فترة طويلة، تسمح شركة Apple لنظام التشغيل iOS بقراءة الرسائل القصيرة واقتراح رموز مصادقة من نص الرسالة. في الآونة الأخيرة، أصبح من الممكن استخدام الاقتراحات من خلال تحديد "رمز صالح لمرة واحدة" في سمة autocomplete لعنصر الإدخال. يوفّر Chrome على أجهزة Android وWindows وMac التجربة نفسها باستخدام WebOTP API.

على سبيل المثال:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>

if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

تم تصميم كلتا المنهجيتين لمنع التصيّد الاحتيالي من خلال تضمين النطاق في نص الرسالة القصيرة وتقديم اقتراحات للنطاق المحدّد فقط.

لمزيد من المعلومات عن WebOTP API وautocomplete="one-time-code"، اطّلِع على أفضل الممارسات المتعلّقة بنموذج كلمة المرور لمرة واحدة (OTP) عبر الرسائل القصيرة.

معيار FIDO مع WebAuthn

يستخدم معيار FIDO مع WebAuthn معتمِدًا للأجهزة لإنشاء مفتاح تشفير عام وإثبات حيازته. عند استخدام هاتف ذكي كأداة مصادقة، يمكن دمجه مع المصادقة بالمقاييس الحيوية (مثل أدوات استشعار بصمة الإصبع أو التعرّف على الوجوه) لإجراء مصادقة ثنائية العوامل في خطوة واحدة. في هذه الحالة، لا يتم إرسال سوى التوقيع ومؤشر النجاح من المصادقة بالمقاييس الحيوية إلى الخادم، وبالتالي ليست هناك خطر بسرقة بيانات المقاييس الحيوية.

يوضح المخطّط التالي تهيئة خادم العميل لـ FIDO. تعمل أداة مصادقة العميل على مصادقة المستخدم من خلال المقاييس الحيوية وتوقيع النتيجة باستخدام التشفير بالمفتاح العام. يتم تخزين المفتاح الخاص المستخدَم لإنشاء التوقيع بأمان في بيئة تنفيذ موثوقة (TEE) أو موقع مشابه. يُعرف مقدّم الخدمة الذي يستخدم FIDO باسم "الطرف الموثوق به" (RP).

لمزيد من المعلومات، يُرجى الاطّلاع على إرشادات المصادقة من تحالف FIDO.

Yahoo! تتوفّر مواصفات FIDO في اليابان على نظام التشغيل Android (التطبيقات المتوافقة مع الأجهزة الجوّالة والويب) وiOS (التطبيقات المتوافقة مع الأجهزة الجوّالة والويب) وWindows (Edge وChrome وFirefox) وmacOS (Safari وChrome). يمكن استخدام FIDO على أي جهاز تقريبًا بصفتها خدمة مخصّصة للمستهلكين، ما يجعلها خيارًا جيدًا للترويج للمصادقة بدون كلمة مرور.

Yahoo! وتنصح JAPAN المستخدمين بالتسجيل في FIDO باستخدام WebAuthn، إذا لم يسبق لهم المصادقة عليه من خلال وسائل أخرى. عندما يحتاج المستخدم إلى تسجيل الدخول بالجهاز نفسه، يمكنه المصادقة بسرعة باستخدام أداة استشعار المقاييس الحيوية.

على المستخدمين إعداد مصادقة FIDO مع جميع الأجهزة التي يستخدمونها لتسجيل الدخول إلى Yahoo! اليابان

للترويج للمصادقة بدون استخدام كلمات المرور ومراعاة المستخدمين الذين يتوقفون عن استخدام كلمات المرور، نوفّر وسائل متعددة للمصادقة. ويعني ذلك أنّه يمكن للمستخدمين المختلفين ضبط إعدادات مختلفة لطريقة المصادقة، وقد تختلف طرق المصادقة التي يمكنهم استخدامها من متصفح إلى آخر. نعتقد أنّه من الأفضل أن يتم تسجيل دخول المستخدمين باستخدام طريقة المصادقة نفسها في كل مرة.

لاستيفاء هذه المتطلبات، من الضروري تتبُّع methods مصادقة السابقة وربط هذه المعلومات بالعميل من خلال تخزينها في شكل ملفّات تعريف ارتباط وما إلى ذلك. ويمكننا بعد ذلك تحليل كيفية استخدام المتصفّحات والتطبيقات المختلفة مصادقة. يُطلب من المستخدم تقديم مصادقة مناسبة استنادًا إلى إعدادات المستخدم وطرق مصادقة المستخدم السابقة المستخدَمة والحد الأدنى من مستوى المصادقة المطلوب.

2. إيقاف كلمة المرور

Yahoo! تطلب اليابان من المستخدمين إعداد طريقة مصادقة بديلة ثم إيقاف كلمة المرور حتى لا يمكن استخدامها. بالإضافة إلى إعداد مصادقة بديلة، يساعد إيقاف مصادقة كلمة المرور (وبالتالي جعل تسجيل الدخول باستخدام كلمة المرور فقط مستحيلًا) في حماية المستخدمين من هجمات القائمة.

لقد اتّخذنا الخطوات التالية لتشجيع المستخدمين على إيقاف كلمات المرور.

• الترويج لطرق مصادقة بديلة عندما يعيد المستخدمون ضبط كلمات المرور
• تشجيع المستخدمين على إعداد طرق مصادقة سهلة الاستخدام (مثل FIDO) وإيقاف كلمات المرور في الحالات التي تتطلّب مصادقة متكررة
• حثّ المستخدمين على إيقاف كلمات المرور قبل استخدام الخدمات العالية الخطورة، مثل دفعات التجارة الإلكترونية

إذا نسي أحد المستخدمين كلمة مروره، يمكنه إجراء عملية استرداد الحساب. في السابق، كان يتضمن ذلك إعادة تعيين كلمة المرور. يمكن للمستخدمين الآن اختيار إعداد طريقة مصادقة مختلفة، ونشجّعهم على إجراء ذلك.

3- تسجيل الحساب بدون كلمة مرور

يمكن للمستخدمين الجدد إنشاء حساب Yahoo! حسابات JAPAN على المستخدمين أولاً التسجيل باستخدام مصادقة عبر الرسائل القصيرة. بعد تسجيل الدخول، ننصح العميل بإعداد مصادقة FIDO.

بما أنّ بروتوكول FIDO هو إعداد على مستوى الجهاز، قد يكون من الصعب استرداد حساب في حال تعطُّل الجهاز. لذلك، نطلب من المستخدمين إبقاء رقم هاتفهم مسجَّلاً، حتى بعد إعداد مصادقة إضافية.

التحديات الرئيسية للمصادقة بدون استخدام كلمات المرور

تعتمد كلمات المرور على الذاكرة البشرية ولا تعتمد على الجهاز. من ناحية أخرى، تعتمد مبادرتنا بدون استخدام كلمات المرور على طرق المصادقة التي تم تقديمها حتى الآن في مبادرتنا بدون استخدام كلمات المرور. وهذا يفرض عدة تحديات.

عند استخدام أجهزة متعددة، تظهر بعض المشاكل المتعلقة بقابلية الاستخدام:

• عند استخدام مصادقة الرسائل القصيرة SMS لتسجيل الدخول من جهاز كمبيوتر شخصي، على المستخدمين التحقّق من هاتفاتهم الجوّالة بحثًا عن رسائل SMS الواردة. قد يكون هذا غير ملائم، لأنّه يتطلب توفّر هاتف المستخدم وسهولة الوصول إليه في أي وقت.
• باستخدام FIDO، خاصةً مع مصادقات النظام الأساسي، لن يتمكّن المستخدم الذي لديه أجهزة متعددة من المصادقة على الأجهزة غير المسجَّلة. ويجب إكمال التسجيل لكل جهاز ينوي استخدامه.

ترتبط مصادقة FIDO بأجهزة معيّنة، ما يتطلّب أن تظل في حوزة المستخدم ونشطة.

• إذا تم إلغاء عقد الخدمة، فلن تتمكن من إرسال رسائل قصيرة إلى رقم الهاتف المسجّل.
• تخزِّن تقنية FIDO المفاتيح الخاصة على جهاز معيّن. في حال فقدان الجهاز، لن يكون بإمكانك استخدام هذه المفاتيح.

Yahoo! تتّخذ اليابان خطوات مختلفة لحلّ هذه المشاكل.

الحل الأهم هو تشجيع المستخدمين على إعداد طرق مصادقة متعددة. ويوفر ذلك طريقة بديلة للوصول إلى الحساب في حال فقدان الأجهزة. نظرًا لأن مفاتيح FIDO تعتمد على الجهاز، فمن الجيد أيضًا تسجيل مفاتيح FIDO الخاصة على أجهزة متعددة.

بدلاً من ذلك، يمكن للمستخدمين استخدام WebOTP API لتمرير رموًز التحقّق عبر الرسائل القصيرة من هاتف Android إلى Chrome على جهاز كمبيوتر.

نعتقد أنّ معالجة هذه المشاكل ستصبح أكثر أهمية مع انتشار المصادقة بدون استخدام كلمة مرور.

الترويج للمصادقة بدون استخدام كلمات المرور

Yahoo! تعمل اليابان على هذه المبادرات التي لا تتطلّب كلمات مرور منذ عام 2015. بدأ ذلك من خلال الحصول على شهادة اعتماد خادم FIDO في أيار (مايو) 2015، followed by the introduction of SMS authentication, a password deactivation feature, and FIDO support for each device.

واليوم، أوقف أكثر من 30 مليون مستخدم نشط شهريًا كلمات المرور ويستخدمون طرق مصادقة بدون كلمات مرور. Yahoo! بدأ استخدام تقنية FIDO في اليابان باستخدام متصفّح Chrome على Android، وأصبح الآن أكثر من 10 مليون مستخدم قد أعدّ مصادقة FIDO.

نتيجةً لذلك، في اليابان، انخفضت النسبة المئوية للطلبات التي تتعلّق بنسيان معرّفات تسجيل الدخول أو كلمات المرور بنسبة %25 مقارنةً بالفترة التي كان فيها عدد هذه الطلبات في أعلى مستوياته، وتمكّنا أيضًا من تأكيد انخفاض عمليات الوصول غير المصرّح به نتيجةً لزيادة عدد الحسابات التي لا تستخدم كلمات مرور.

وبما أنّه من السهل إعداد FIDO، يحقّق معدّل إحالات ناجحة مرتفعًا بشكلٍ خاص. في الواقع، تبيّن لليابان أنّ معيار FIDO يحقّق معدّل إحالات ناجحة أعلى من مصادقة الرسائل القصيرة.

‫25 _%

انخفاض في طلبات بيانات الاعتماد المُنسية

74 _%

نجاح المستخدمين في مصادقة FIDO

‫65 _%

تم إكمال عملية إثبات الملكية باستخدام الرسائل القصيرة.

تحقّق المصادقة عبر FIDO معدل نجاح أعلى من المصادقة عبر الرسائل القصيرة، كما أنّ متوسط مدّة المصادقة ومقدارها متسارعان. بالنسبة إلى كلمات المرور، تُظهر بعض المجموعات أوقات مصادقة قصيرة، ونعتقد أنّ ذلك يرجع إلى autocomplete="current-password" المتصفّح.

إنّ أكبر مشكلة في توفير حسابات بدون كلمات مرور ليست إضافة methods مصادقة، بل نشر استخدام مصادقة. إذا لم تكن تجربة استخدام الخدمة التي لا تتطلّب كلمة مرور سهلة الاستخدام، لن يكون الانتقال إليها سهلًا.

نعتقد أنّه علينا أولاً تحسين سهولة الاستخدام لتحسين مستوى الأمان، الأمر الذي سيتطلب ابتكارات فريدة لكل خدمة.

الخاتمة

إنّ مصادقة كلمة المرور خطيرة من حيث الأمان، كما تشكل أيضًا تحديات من حيث سهولة الاستخدام. والآن بعد أن أصبحت التكنولوجيات التي توفّر مصادقة بدون كلمة مرور، مثل WebOTP API وFIDO، متاحة على نطاق أوسع، حان الوقت للبدء في العمل على المصادقة بدون كلمة مرور.

في Yahoo! اليابان، كان لهذا النهج تأثير واضح في كل من سهولة الاستخدام والأمان. ومع ذلك، لا يزال العديد من المستخدمين يستخدمون كلمات المرور، لذا سنواصل تشجيع المزيد من المستخدمين على التبديل إلى طُرق مصادقة بدون كلمات مرور. سنواصل أيضًا تحسين منتجاتنا لتحسين تجربت ا للمستخدمين في ما يتعلّق بطرق المصادقة بدون كلمة مرور.

صورة من إعداد olieman.eth على Unsplash