מזהה העסק האימות ללא סיסמה של יפן הפחית ב-25% את מספר השאילתות, והכניסה לחשבון איצה פי 2.6

איך מערכת Yahoo! ביפן פיתחו מערכת זהויות ללא סיסמה.

Eiji Kitamura

Alexandra Klepper

Yuya Ito

Yahoo!‎ JAPAN היא אחת מחברות המדיה הגדולות ביותר ביפן, שמספקת שירותים כמו חיפוש, חדשות, מסחר אלקטרוני ואימייל. יותר מ-50 מיליון משתמשים נכנסים ל-Yahoo!‎ שירותי JAPAN בכל חודש.

במהלך השנים היו הרבה התקפות על חשבונות משתמשים ובעיות שהובילו לאובדן הגישה לחשבון. רוב הבעיות האלה היו קשורות לשימוש בסיסמה לאימות.

בעקבות ההתקדמות האחרונה בטכנולוגיית האימות, Yahoo!‎ ביפן החליטו לעבור מאימות מבוסס-סיסמה לאימות ללא סיסמה.

למה כדאי להשתמש ללא סיסמה?

כי ב-Yahoo! JAPAN מציע מסחר אלקטרוני ושירותים אחרים שקשורים לכסף, ולכן יש סיכון לנזק משמעותי למשתמשים במקרה של גישה לא מורשית או אובדן חשבון.

ההתקפות הנפוצות ביותר שקשורות לסיסמאות היו התקפות על רשימות סיסמאות ותרמיות פישינג. אחת הסיבות לכך שהתקפות על רשימות סיסמאות נפוצות ויעילות היא הנטייה של אנשים רבים להשתמש באותה סיסמה בכמה אפליקציות ואתרים.

הנתונים הבאים הם תוצאות של סקר שנערך על ידי Yahoo!‏. יפן.

50_%

להשתמש באותו מזהה ובאותה סיסמה בשישה אתרים או יותר

60 _%

שימוש באותה סיסמה במספר אתרים

70 _%

להשתמש בסיסמה כדרך הראשית לכניסה לחשבון

משתמשים שוכחים את הסיסמאות שלהם לעיתים קרובות, וזו הייתה הסיבה לרוב הבקשות שקשורות לסיסמאות. היו גם פניות ממשתמשים ששכחו את מזהי ההתחברות בנוסף לסיסמאות שלהם. בשיא, הבקשות האלה היוו יותר משליש מכל הבקשות שקשורות לחשבון.

בזכות המעבר לשימוש ללא סיסמה, Yahoo!‎ JAPAN רצתה לשפר לא רק את האבטחה, אלא גם את נוחות השימוש, בלי להעמיס על המשתמשים.

מבחינת אבטחה, הסרת הסיסמאות מתהליך האימות של המשתמשים מפחיתה את הנזק מתקיפות שמבוססות על רשימות. מבחינת נוחות השימוש, מתן שיטת אימות שלא מסתמכת על זכירה של סיסמאות מונע מצבים שבהם משתמש לא יכול להתחבר כי הוא שכח את הסיסמה.

Yahoo!‎ יוזמות ללא סיסמאות ביפן

Yahoo!‎ ביפן ננקטים כמה צעדים כדי לקדם אימות ללא סיסמה, שאפשר לחלק לשלושה סוגים:

1. לספק אמצעי אימות חלופי לסיסמאות.
2. השבתת הסיסמה.
3. רישום חשבון ללא סיסמה.

שתי היוזמות הראשונות מיועדות למשתמשים קיימים, והרישום ללא סיסמה מיועד למשתמשים חדשים.

1. מתן אמצעי אימות חלופיים לסיסמאות

Yahoo!‎ JAPAN מציעה את החלופות הבאות לסיסמאות.

1. אימות באמצעות SMS
2. FIDO עם WebAuthn

בנוסף, אנחנו מציעים גם שיטות אימות כמו אימות אימייל, סיסמה בשילוב עם SMS OTP (סיסמה חד-פעמית) וסיסמה בשילוב עם OTP של כתובת האימייל.

אימות באמצעות SMS

אימות באמצעות SMS הוא מערכת שמאפשרת למשתמש רשום לקבל קוד אימות בן שישה ספרות באמצעות SMS. אחרי שהמשתמש יקבל את הודעת ה-SMS, הוא יוכל להזין את קוד האימות באפליקציה או באתר.

ב-Apple אפשר כבר מזמן ל-iOS לקרוא הודעות SMS ולהציע קודי אימות מגוף הטקסט. לאחרונה אפשר להשתמש בהצעות על ידי ציון 'קוד חד-פעמי' במאפיין autocomplete של רכיב הקלט. ב-Chrome ל-Android, ל-Windows ול-Mac אפשר ליהנות מאותה חוויה באמצעות WebOTP API.

לדוגמה:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>

if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

שתי הגישות נועדו למנוע פישינג על ידי הכללת הדומיין בגוף הודעת ה-SMS ומתן הצעות רק לדומיין שצוין.

מידע נוסף על WebOTP API ו-autocomplete="one-time-code" זמין במאמר שיטות מומלצות לשימוש בטופס של סיסמה חד-פעמית (OTP) ב-SMS.

FIDO עם WebAuthn

ב-FIDO עם WebAuthn נעשה שימוש במאמת חומרה כדי ליצור זוג מפתחות הצפנה ציבוריים ולהוכיח בעלות. כשמשתמשים בסמארטפון בתור המאמת, אפשר לשלב אותו באימות ביומטרי (כמו חיישני טביעות אצבע או זיהוי פנים) כדי לבצע אימות דו-שלבי בשלב אחד. במקרה כזה, רק החתימה והאישור על הצלחת האימות הביומטרי נשלחים לשרת, כך שאין סיכון לגניבה של נתונים ביומטריים.

התרשים הבא מציג את תצורת שרת-לקוח עבור FIDO. אימות הלקוח מאמת את המשתמש באמצעות נתונים ביומטריים וחותם על התוצאה באמצעות קריפטוגרפיה של מפתח ציבורי. המפתח הפרטי שמשמש ליצירת החתימה מאוחסן באופן מאובטח ב-TEE (סביבת מחשוב אמינה) או במיקום דומה. ספק שירות שמשתמש ב-FIDO נקרא RP (צד נסמך).

למידע נוסף, קראו את ההנחיות לאימות של FIDO Alliance.

Yahoo!‎ JAPAN תומכת ב-FIDO ב-Android (באפליקציה לנייד ובאינטרנט), ב-iOS (באפליקציה לנייד ובאינטרנט), ב-Windows (Edge, Chrome, Firefox) וב-macOS (Safari, Chrome). כשירות לצרכנים, אפשר להשתמש ב-FIDO כמעט בכל מכשיר, ולכן הוא פתרון טוב לקידום אימות ללא סיסמה.

Yahoo!‎ ביפן ממליצים למשתמשים להירשם ל-FIDO באמצעות WebAuthn, אם הם עדיין לא עברו אימות באמצעים אחרים. כשמשתמש צריך להתחבר באמצעות אותו מכשיר, הוא יכול לבצע אימות מהיר באמצעות חיישן ביומטרי.

המשתמשים צריכים להגדיר אימות FIDO בכל המכשירים שבהם הם משתמשים כדי להתחבר ל-Yahoo!‏. יפן.

כדי לקדם אימות ללא סיסמה ולכבד משתמשים שעוברים מתהליך של ביטול השימוש בסיסמאות, אנחנו מספקים כמה אמצעי אימות. כלומר, למשתמשים שונים יכולות להיות הגדרות שונות של שיטות אימות, ושיטות האימות שבהן הם יכולים להשתמש עשויות להשתנות מדפדפן לדפדפן. אנחנו מאמינים שחוויית השימוש תהיה טובה יותר אם המשתמשים ייכנסו לחשבון באמצעות אותה שיטת אימות בכל פעם.

כדי לעמוד בדרישות האלה, צריך לעקוב אחרי שיטות אימות קודמות ולקשר את המידע הזה ללקוח על ידי אחסון שלו בצורת קובצי cookie וכו'. לאחר מכן נוכל לנתח את האופן שבו דפדפנים ואפליקציות שונים משמשים לאימות. המשתמש יתבקש לספק אימות מתאים על סמך ההגדרות של המשתמש, שיטות האימות הקודמות והרמה המינימלית הנדרשת של האימות.

2. השבתת סיסמה

Yahoo!‎ ביפן, המשתמשים מתבקשים להגדיר שיטת אימות חלופית ואז להשבית את הסיסמה שלהם כדי שלא ניתן יהיה להשתמש בה. בנוסף להגדרת אימות חלופי, השבתת אימות באמצעות סיסמה (כך שלא ניתן להיכנס לחשבון באמצעות סיסמה בלבד) עוזרת להגן על המשתמשים מפני התקפות שמבוססות על רשימות.

כדי לעודד משתמשים להשבית את הסיסמאות שלהם, נקטנו את הפעולות הבאות:

• קידום שיטות אימות חלופיות כשמשתמשים מאפסים את הסיסמאות שלהם.
• מומלץ לעודד משתמשים להגדיר שיטות אימות פשוטות לשימוש (כמו FIDO) ולהשבית סיסמאות במצבים שבהם נדרש אימות תדיר.
• מומלץ לבקש מהמשתמשים להשבית את הסיסמאות שלהם לפני שהם משתמשים בשירותים בסיכון גבוה, כמו תשלומים במסחר אלקטרוני.

אם משתמש שוכח את הסיסמה שלו, הוא יכול להפעיל שחזור חשבון. בעבר, הפעולה הזו כללה איפוס סיסמה. עכשיו המשתמשים יכולים לבחור להגדיר שיטת אימות אחרת, ואנחנו ממליצים להם לעשות זאת.

3. רישום חשבון ללא סיסמה

משתמשים חדשים יכולים ליצור חשבון Yahoo!‎ ללא סיסמה. חשבונות JAPAN. המשתמשים נדרשים קודם להירשם באמצעות אימות באמצעות SMS. אחרי שהמשתמשים מתחברים, מומלץ להם להגדיר אימות FIDO.

מכיוון ש-FIDO הוא הגדרה לכל מכשיר, יכול להיות שיהיה קשה לשחזר חשבון אם המכשיר לא יפעל. לכן אנחנו דורשים מהמשתמשים להשאיר את מספר הטלפון שלהם רשום, גם אחרי שהם מגדירים אימות נוסף.

האתגרים העיקריים באימות ללא סיסמה

הסיסמאות מסתמכות על זיכרון אנושי והן תלויות במכשיר. לעומת זאת, שיטות האימות שהשקנו עד עכשיו ביוזמה שלנו ללא סיסמאות תלויות במכשיר. יש לכך כמה אתגרים.

כשמשתמשים במספר מכשירים, יש כמה בעיות שקשורות לנוחות השימוש:

• כשמשתמשים באימות באמצעות SMS כדי להתחבר מהמחשב, המשתמשים צריכים לבדוק אם יש הודעות SMS נכנסות בטלפון הנייד. יכול להיות שהשיטה הזו לא תהיה נוחה, כי הטלפון של המשתמש צריך להיות זמין וקל לגשת אליו בכל שלב.
• כשמשתמשים ב-FIDO, במיוחד עם מאמתי פלטפורמות, משתמשים עם מספר מכשירים לא יוכלו לבצע אימות במכשירים לא רשומים. צריך להשלים את תהליך הרישום לכל מכשיר שבו הם מתכוונים להשתמש.

אימות FIDO מקושר למכשירים ספציפיים, כך שהם צריכים להישאר בבעלות המשתמש ולהיות פעילים.

• אם חוזה השירות יבוטל, לא תהיה יותר אפשרות לשלוח הודעות SMS למספר הטלפון הרשום.
• FIDO מאחסן מפתחות פרטיים במכשיר ספציפי. אם המכשיר יאבד, לא תוכלו להשתמש במפתחות האלה.

Yahoo!‎ JAPAN נוקטת פעולות שונות כדי לטפל בבעיות האלה.

הפתרון החשוב ביותר הוא לעודד את המשתמשים להגדיר כמה שיטות אימות. כך תוכלו לגשת לחשבון באופן חלופי במקרה של אובדן המכשירים. מכיוון שמפתחות FIDO תלויים במכשיר, מומלץ גם לרשום מפתחות פרטיים של FIDO במספר מכשירים.

לחלופין, המשתמשים יכולים להשתמש ב-WebOTP API כדי להעביר קודי אימות ב-SMS מטלפון Android ל-Chrome במחשב.

אנחנו מאמינים שהטיפול בבעיות האלה יהפוך לחשוב עוד יותר ככל שהשימוש באימות ללא סיסמה יתרחב.

קידום אימות ללא סיסמאות

Yahoo!‎ JAPAN עובדת על היוזמות האלה ללא סיסמאות כניסה מאז 2015. התהליך הזה התחיל עם קבלת אישור השרת של FIDO במאי 2015, ואחריו הוספנו את התכונות הבאות: אימות באמצעות SMS, תכונת השבתת סיסמה ותמיכה ב-FIDO בכל מכשיר.

נכון להיום, יותר מ-30 מיליון משתמשים פעילים בחודש כבר השביתו את הסיסמאות שלהם והם משתמשים בשיטות אימות ללא סיסמה. Yahoo!‎ התמיכה ב-FIDO ביפן התחילה ב-Chrome ל-Android, וכיום יותר מ-10 מיליון משתמשים הגדרו אימות FIDO.

כתוצאה מ-Yahoo!‎ JAPAN, אחוז הבקשות שקשורות לפרטים אישיים להתחברות או לסיסמאות שנשכחו ירד ב-25% בהשוואה לתקופה שבה מספר הבקשות האלה היה הגבוה ביותר. כמו כן, הצלחנו לאשר שהגישה הלא מורשית ירדה כתוצאה מהעלייה במספר החשבונות ללא סיסמה.

מכיוון שקל מאוד להגדיר את FIDO, שיעור ההמרה שלו גבוה במיוחד. למעשה, Yahoo!‎ ביפן גילו ששיעור ההמרות (CVR) של FIDO גבוה יותר מזה של אימות באמצעות SMS.

25 _%

ירידה במספר הבקשות לפרטי כניסה שנשכחו

74_%

המשתמשים מצליחים באמצעות אימות FIDO

65 _%

אימות באמצעות SMS

שיעור ההצלחה של FIDO גבוה יותר משיעור ההצלחה של אימות באמצעות SMS, וזמני האימות הממוצעים והחציוניים שלו מהירים יותר. לגבי סיסמאות, לקבוצות מסוימות יש זמני אימות קצרים, ואנחנו חושדים שהסיבה לכך היא autocomplete="current-password" של הדפדפן.

הקושי הגדול ביותר בהצעת חשבונות ללא סיסמה הוא לא הוספת שיטות אימות, אלא הפיכת השימוש במכשירי אימות לפופולרי. אם חוויית השימוש בשירות ללא סיסמה לא נוחה למשתמש, המעבר לא יהיה קל.

אנחנו מאמינים שכדי לשפר את האבטחה, קודם צריך לשפר את נוחות השימוש, ולשם כך נדרשים חידושים ייחודיים לכל שירות.

סיכום

אימות באמצעות סיסמה הוא מסוכן מבחינת אבטחה, וגם מציב אתגרים מבחינת נוחות השימוש. עכשיו, כשטכנולוגיות שתומכות באימות ללא סיסמה, כמו WebOTP API ו-FIDO, זמינות יותר, הגיע הזמן להתחיל לעבוד לקראת אימות ללא סיסמה.

ב-Yahoo!‎ JAPAN, לגישה הזו הייתה השפעה מובהקת על השימושיות וגם על האבטחה. עם זאת, משתמשים רבים עדיין משתמשים בסיסמאות, ולכן נמשיך לעודד משתמשים נוספים לעבור לשיטות אימות ללא סיסמה. בנוסף, נמשיך לשפר את המוצרים שלנו כדי לשפר את חוויית המשתמש בשיטות אימות ללא סיסמה.

צילום: olieman.eth ב-Unsplash