Informationen dazu, wie Yahoo! Japan hat ein passwortloses Identitätssystem entwickelt.
Yahoo! JAPAN ist eines der größten Medienunternehmen Japans mit Dienstleistungen wie Suche, Nachrichten, E-Commerce und E-Mail. Mehr als 50 Millionen Nutzer melden sich bei Yahoo! an. JAPAN-Dienste jeden Monat.
Im Laufe der Jahre gab es viele Angriffe auf Nutzerkonten und Probleme, die zum Verlust des Kontozugriffs führten. Die meisten dieser Probleme betrafen die Verwendung von Passwörtern für die Authentifizierung.
Aufgrund der jüngsten Fortschritte bei der Authentifizierungstechnologie hat Yahoo! JAPAN hat sich entschieden, von der passwortbasierten Authentifizierung zur passwortlosen Authentifizierung überzugehen.
Warum ohne Passwort?
Wie Yahoo! JAPAN bietet E-Commerce- und andere geldbezogene Dienste an. Bei einem unbefugten Zugriff oder Verlust des Kontos besteht das Risiko erheblicher Schäden für die Nutzer.
Die häufigsten Angriffe im Zusammenhang mit Passwörtern waren Passwortlistenangriffe und Phishing-Betrüge. Einer der Gründe, warum Passwortlistenangriffe häufig und effektiv sind, ist die Gewohnheit vieler Menschen, dasselbe Passwort für mehrere Anwendungen und Websites zu verwenden.
Die folgenden Zahlen sind die Ergebnisse einer Umfrage von Yahoo! JAPAN.
50 %
dieselbe ID und dasselbe Passwort für sechs oder mehr Websites verwenden
60 %
Dasselbe Passwort für mehrere Websites verwenden
70 %
ein Passwort als primäre Anmeldemethode verwenden
Nutzer vergessen häufig ihre Passwörter. Das war der Grund für die meisten Anfragen zu Passwörtern. Es gab auch Anfragen von Nutzern, die nicht nur ihre Passwörter, sondern auch ihre Anmelde-IDs vergessen hatten. In der Spitze machten diese Anfragen mehr als ein Drittel aller kontobezogenen Anfragen aus.
Durch die Abschaffung von Passwörtern möchte Yahoo! JAPAN wollte nicht nur die Sicherheit, sondern auch die Nutzerfreundlichkeit verbessern, ohne die Nutzer zusätzlich zu belasten.
Aus Sicherheitsperspektive reduziert die Entfernung von Passwörtern aus dem Nutzerauthentifizierungsprozess den Schaden durch listenbasierte Angriffe. Aus Usability-Sicht verhindert eine Authentifizierungsmethode, die nicht auf das Erinnern an Passwörter angewiesen ist, Situationen, in denen sich ein Nutzer nicht anmelden kann, weil er sein Passwort vergessen hat.
Yahoo! Passwortlose Initiativen von JAPAN
Yahoo! JAPAN ergreift eine Reihe von Maßnahmen zur Förderung der passwortlosen Authentifizierung, die sich grob in drei Kategorien unterteilen lassen:
- Bieten Sie eine alternative Authentifizierungsmethode zu Passwörtern an.
- Deaktivierung des Passworts
- Kontoregistrierung ohne Passwort
Die ersten beiden Initiativen richten sich an bestehende Nutzer, während die Registrierung ohne Passwort auf neue Nutzer ausgerichtet ist.
1. Alternative Authentifizierungsmethoden zu Passwörtern bereitstellen
Yahoo! JAPAN bietet die folgenden Alternativen zu Passwörtern.
Außerdem bieten wir Authentifizierungsmethoden wie die E-Mail-Authentifizierung, das Passwort in Kombination mit einem SMS-OTP (Einmalpasswort) und das Passwort in Kombination mit einem E-Mail-OTP an.
SMS-Authentifizierung
Bei der SMS-Authentifizierung kann ein registrierter Nutzer einen sechsstelligen Authentifizierungscode per SMS erhalten. Sobald der Nutzer die SMS erhält, kann er den Authentifizierungscode in der App oder auf der Website eingeben.
Apple erlaubt iOS schon lange, SMS zu lesen und Authentifizierungscodes aus dem Text vorzuschlagen. Seit Kurzem ist es möglich, Vorschläge zu verwenden, indem im Attribut autocomplete des Eingabeelements "Einmalcode" angegeben wird. Chrome für Android, Windows und Mac bietet mit der WebOTP API dieselben Funktionen.
Beispiel:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Beide Ansätze sollen Phishing verhindern, indem die Domain in den SMS-Text eingefügt und Vorschläge nur für die angegebene Domain angezeigt werden.
Weitere Informationen zur WebOTP API und zu autocomplete="one-time-code" findest du in den Best Practices für SMS-OTP-Formulare.
FIDO mit WebAuthn
Bei FIDO mit WebAuthn wird ein Hardware-Authentifikator verwendet, um ein Public-Key-Verschlüsselungspaar zu generieren und den Besitz zu bestätigen. Wenn ein Smartphone als Authenticator verwendet wird, kann es mit der biometrischen Authentifizierung (z. B. Fingerabdrucksensoren oder Gesichtserkennung) kombiniert werden, um eine 2-Faktor-Authentifizierung in nur einem Schritt durchzuführen. In diesem Fall werden nur die Signatur und die Erfolgsmeldung der biometrischen Authentifizierung an den Server gesendet, sodass kein Risiko des Diebstahls biometrischer Daten besteht.
Das folgende Diagramm zeigt die Server-Client-Konfiguration für FIDO. Der Client-Authentifikator authentifiziert den Nutzer mithilfe von Biometrie und signiert das Ergebnis mithilfe der Public-Key-Kryptografie. Der zum Erstellen der Signatur verwendete private Schlüssel wird sicher in einer TEE (Trusted Execution Environment) oder an einem ähnlichen Ort gespeichert. Ein Dienstanbieter, der FIDO verwendet, wird als RP (Relying Party) bezeichnet.
Sobald der Nutzer die Authentifizierung durchführt (in der Regel mit einem biometrischen Scan oder einer PIN), sendet der Authenticator mit einem privaten Schlüssel ein signiertes Bestätigungssignal an den Browser. Der Browser gibt dieses Signal dann an die Website des RP weiter.
Die RP-Website sendet dann das signierte Bestätigungssignal an den Server des RP, der die Signatur anhand des öffentlichen Schlüssels prüft, um die Authentifizierung abzuschließen.
Weitere Informationen finden Sie in den Authentifizierungsrichtlinien der FIDO Alliance.
Yahoo! JAPAN unterstützt FIDO auf Android-Geräten (mobile App und Web), iOS-Geräten (mobile App und Web), Windows-Geräten (Edge, Chrome, Firefox) und macOS-Geräten (Safari, Chrome). Als Verbraucherdienst kann FIDO auf fast allen Geräten verwendet werden. Dies ist eine gute Option, um die Authentifizierung ohne Passwort zu fördern.
Yahoo! JAPAN empfiehlt Nutzern, sich mit WebAuthn für FIDO zu registrieren, sofern sie sich nicht bereits auf andere Weise authentifiziert haben. Wenn sich ein Nutzer mit demselben Gerät anmelden muss, kann er sich schnell mit einem biometrischen Sensor authentifizieren.
Nutzer müssen die FIDO-Authentifizierung auf allen Geräten einrichten, mit denen sie sich bei Yahoo! anmelden. JAPAN.
Wir möchten die passwortlose Authentifizierung fördern und Nutzern, die von Passwörtern wegsteuern, entgegenkommen. Deshalb bieten wir mehrere Authentifizierungsmethoden an. Das bedeutet, dass verschiedene Nutzer unterschiedliche Einstellungen für Authentifizierungsmethoden haben können und die Authentifizierungsmethoden, die sie verwenden können, sich von Browser zu Browser unterscheiden können. Wir sind der Meinung, dass es für Nutzer einfacher ist, sich jedes Mal mit derselben Authentifizierungsmethode anzumelden.
Um diese Anforderungen zu erfüllen, müssen frühere Authentifizierungsmethoden verfolgt und diese Informationen mit dem Client verknüpft werden, indem sie in Form von Cookies usw. gespeichert werden. Wir können dann analysieren, wie verschiedene Browser und Anwendungen zur Authentifizierung verwendet werden. Der Nutzer wird aufgefordert, eine geeignete Authentifizierung vorzunehmen, die auf seinen Einstellungen, den zuvor verwendeten Authentifizierungsmethoden und der erforderlichen Mindestauthentifizierungsstufe basiert.
2. Passwortdeaktivierung
Yahoo! JAPAN bittet Nutzer, eine alternative Authentifizierungsmethode einzurichten und dann ihr Passwort zu deaktivieren, damit es nicht mehr verwendet werden kann. Neben der Einrichtung einer alternativen Authentifizierung können Sie die Passwortauthentifizierung deaktivieren, um Nutzer vor listenbasierten Angriffen zu schützen.
Wir haben die folgenden Schritte unternommen, um Nutzer dazu anzuregen, ihre Passwörter zu deaktivieren.
- Sie sollten alternative Authentifizierungsmethoden empfehlen, wenn Nutzer ihre Passwörter zurücksetzen.
- Ermutigen Sie Nutzer, nutzerfreundliche Authentifizierungsmethoden (z. B. FIDO) einzurichten und Passwörter für Situationen zu deaktivieren, in denen eine häufige Authentifizierung erforderlich ist.
- Nutzer werden aufgefordert, ihre Passwörter zu deaktivieren, bevor sie Dienste mit hohem Risiko nutzen, z. B. E-Commerce-Zahlungen.
Wenn ein Nutzer sein Passwort vergisst, kann er eine Kontowiederherstellung durchführen. Bisher war dafür ein Passwort zurücksetzen erforderlich. Nutzer können jetzt eine andere Authentifizierungsmethode einrichten. Wir empfehlen ihnen, dies zu tun.
3. Passwortlose Kontoregistrierung
Neue Nutzer können ein passwortfreies Yahoo! JAPAN-Konten. Nutzer müssen sich zuerst mit einer SMS-Authentifizierung registrieren. Nach der Anmeldung empfehlen wir dem Nutzer, die FIDO-Authentifizierung einzurichten.
Da FIDO eine gerätespezifische Einstellung ist, kann es schwierig sein, ein Konto wiederherzustellen, falls das Gerät nicht mehr funktioniert. Daher müssen Nutzer ihre Telefonnummer registriert lassen, auch nachdem sie eine zusätzliche Authentifizierung eingerichtet haben.
Wichtige Herausforderungen bei der passwortlosen Authentifizierung
Passwörter basieren auf dem menschlichen Gedächtnis und sind geräteunabhängig. Die bisher in unserer Initiative zur passwortlosen Authentifizierung eingeführten Authentifizierungsmethoden sind hingegen geräteabhängig. Das stellt mehrere Herausforderungen.
Bei der Verwendung mehrerer Geräte gibt es einige Probleme mit der Nutzerfreundlichkeit:
- Wenn Nutzer sich über einen PC mit der SMS-Authentifizierung anmelden, müssen sie auf ihrem Smartphone nach eingehenden SMS-Nachrichten suchen. Das kann ärgerlich sein, da das Smartphone des Nutzers jederzeit verfügbar und leicht zugänglich sein muss.
- Bei FIDO, insbesondere bei Plattform-Authentifikatoren, kann sich ein Nutzer mit mehreren Geräten nicht auf nicht registrierten Geräten authentifizieren. Die Registrierung muss für jedes Gerät erfolgen, das verwendet werden soll.
Die FIDO-Authentifizierung ist an bestimmte Geräte gebunden, die sich im Besitz des Nutzers befinden und aktiv sein müssen.
- Wenn der Dienstleistungsvertrag gekündigt wird, können keine SMS mehr an die registrierte Telefonnummer gesendet werden.
- FIDO speichert private Schlüssel auf einem bestimmten Gerät. Wenn das Gerät verloren geht, sind diese Schlüssel unbrauchbar.
Yahoo! JAPAN ergreift verschiedene Maßnahmen, um diese Probleme zu beheben.
Die wichtigste Lösung besteht darin, Nutzer dazu anzuregen, mehrere Authentifizierungsmethoden einzurichten. Dies ermöglicht einen alternativen Kontozugriff, wenn Geräte verloren gehen. Da FIDO-Schlüssel geräteabhängig sind, empfiehlt es sich auch, FIDO-Private-Schlüssel auf mehreren Geräten zu registrieren.
Alternativ können Nutzer die WebOTP API verwenden, um SMS-Bestätigungscodes von einem Android-Smartphone an Chrome auf einem PC zu senden.
Wir sind der Meinung, dass die Lösung dieser Probleme noch wichtiger wird, wenn die Authentifizierung ohne Kennwort immer weiter verbreitet wird.
Werbung für die passwortlose Authentifizierung
Yahoo! JAPAN arbeitet seit 2015 an diesen Initiativen ohne Passwort. Das begann mit der FIDO-Serverzertifizierung im Mai 2015, gefolgt von der Einführung der SMS-Authentifizierung, einer Funktion zur Deaktivierung von Passwörtern und der FIDO-Unterstützung für jedes Gerät.
Inzwischen haben mehr als 30 Millionen monatlich aktive Nutzer ihre Passwörter bereits deaktiviert und verwenden Authentifizierungsmethoden ohne Passwort. Yahoo! JAPAN unterstützt FIDO zunächst mit Chrome unter Android. Inzwischen haben mehr als 10 Millionen Nutzer die FIDO-Authentifizierung eingerichtet.
Aufgrund der Einstellung von JAPAN hat der Anteil der Anfragen im Zusammenhang mit vergessenen Anmelde-IDs oder Passwörtern um 25 % im Vergleich zum Zeitraum zurückgegangen, in dem die Anzahl dieser Anfragen am höchsten war. Außerdem konnten wir feststellen, dass der unbefugte Zugriff aufgrund der steigenden Anzahl sicherer Konten zurückgegangen ist.
Da FIDO so einfach einzurichten ist, hat es eine besonders hohe Conversion-Rate. Tatsächlich… JAPAN hat festgestellt, dass FIDO eine höhere CVR als die SMS-Authentifizierung hat.
25 %
Weniger Anfragen zu vergessenen Anmeldedaten
74 %
Nutzer können sich mit der FIDO-Authentifizierung anmelden
65 %
Erfolgreich per SMS-Bestätigung
FIDO hat eine höhere Erfolgsrate als die SMS-Authentifizierung und eine kürzere durchschnittliche und mittlere Authentifizierungszeit. Bei Passwörtern haben einige Gruppen kurze Authentifizierungszeiten. Wir vermuten, dass dies auf die autocomplete="current-password" des Browsers zurückzuführen ist.
Die größte Herausforderung beim Angebot passwortloser Konten besteht nicht darin, Authentifizierungsmethoden hinzuzufügen, sondern die Verwendung von Authentifizierungsgeräten zu fördern. Wenn die Nutzung eines passwortlosen Dienstes nicht nutzerfreundlich ist, ist die Umstellung nicht einfach.
Wir sind der Meinung, dass wir die Sicherheit nur dann verbessern können, wenn wir zuerst die Nutzerfreundlichkeit verbessern. Das erfordert einzigartige Innovationen für jeden Dienst.
Fazit
Die Passwortauthentifizierung birgt Risiken in Bezug auf die Sicherheit und birgt Herausforderungen in Bezug auf die Nutzerfreundlichkeit. Da Technologien zur Authentifizierung ohne Passwort, wie die WebOTP API und FIDO, immer häufiger verfügbar sind, ist es an der Zeit, auf die passwortlose Authentifizierung umzustellen.
Bei Yahoo! JAPAN, dieser Ansatz hat sich sowohl auf die Nutzerfreundlichkeit als auch auf die Sicherheit ausgewirkt. Viele Nutzer verwenden jedoch immer noch Passwörter. Deshalb werden wir weiterhin mehr Nutzer dazu anregen, zu passwortlosen Authentifizierungsmethoden zu wechseln. Außerdem arbeiten wir kontinuierlich daran, unsere Produkte zu verbessern, um die Nutzerfreundlichkeit für passwortlose Authentifizierungsmethoden zu optimieren.
Foto von olieman.eth auf Unsplash