Yahoo! जापान में बिना पासवर्ड के पुष्टि करने की सुविधा से जुड़ी क्वेरी 25% कम हुई. साथ ही, साइन इन करने के समय में 2.6 गुना की बढ़ोतरी हुई

जानें कि Yahoo! जापान ने बिना पासवर्ड के पहचान करने वाला सिस्टम बनाया.

Eiji Kitamura

Alexandra White

Yuya Ito

Yahoo! JAPAN, जापान की सबसे बड़ी मीडिया कंपनियों में से एक है. यह खोज, समाचार, ई-कॉमर्स, और ई-मेल जैसी सेवाएं देती है. 5 करोड़ से ज़्यादा उपयोगकर्ता Yahoo! JAPAN सेवाएं हर महीने उपलब्ध हैं.

पिछले कुछ सालों में, उपयोगकर्ता खातों पर कई हमले हुए और उनकी समस्याओं की वजह से खाते का ऐक्सेस खो गया. इनमें से ज़्यादातर समस्याएं, पुष्टि करने के लिए पासवर्ड का इस्तेमाल करने से जुड़ी थीं.

प्रमाणीकरण तकनीक में हाल ही में हुए सुधारों के साथ, Yahoo! JAPAN ने पासवर्ड के आधार पर, बिना पासवर्ड के पुष्टि करने की सुविधा इस्तेमाल करने का फ़ैसला किया है.

बिना पासवर्ड के क्यों?

जैसा कि Yahoo! JAPAN, ई-कॉमर्स और पैसों से जुड़ी अन्य सेवाएं देता है. बिना अनुमति के ऐक्सेस करने या खाता खोने की स्थिति में, लोगों को काफ़ी नुकसान हो सकता है.

पासवर्ड से जुड़े सबसे आम हमले, पासवर्ड लिस्ट हमले और फ़िशिंग स्कैम थे. पासवर्ड सूची हमले आम और असरदार होने की एक वजह यह है कि कई लोगों में कई ऐप्लिकेशन और वेबसाइटों पर एक ही पासवर्ड इस्तेमाल करने की आदत होती है.

नीचे दिए गए आंकड़े Yahoo! के एक सर्वे के नतीजे हैं. जापान.

50 _%

छह या ज़्यादा साइटों पर एक ही आईडी और पासवर्ड का इस्तेमाल करने के लिए

60 _%

कई साइटों पर एक ही पासवर्ड का इस्तेमाल करना

70 _%

में लॉगिन करने के लिए मुख्य तरीके के रूप में पासवर्ड का इस्तेमाल

लोग अक्सर अपने पासवर्ड भूल जाते हैं. इस वजह से, पासवर्ड से जुड़ी ज़्यादातर पूछताछ की जाती है. ऐसे उपयोगकर्ताओं से भी पूछताछ की गई थी, जिन्होंने अपने पासवर्ड के साथ-साथ अपनी लॉगिन आईडी भी भूल ली थीं. अपने चरम पर, खाते से संबंधित सभी पूछताछ के एक तिहाई से भी ज़्यादा इन पूछताछों के लिए ज़िम्मेदार थी.

बिना पासवर्ड के Yahoo! JAPAN का लक्ष्य, न सिर्फ़ सुरक्षा को बेहतर बनाना, बल्कि उपयोगकर्ताओं पर कोई ज़्यादा बोझ डाले बिना, इस्तेमाल करने के तरीके को भी बेहतर बनाना था.

सुरक्षा के नज़रिए से, उपयोगकर्ता की पुष्टि करने की प्रक्रिया में सेव किए गए पासवर्ड हटाने से, सूची के आधार पर किए जाने वाले हमलों से होने वाले नुकसान में कमी आती है. साथ ही, इस्तेमाल करने के लिहाज़ से, पुष्टि करने का ऐसा तरीका उपलब्ध कराने से जिसमें पासवर्ड याद नहीं रखने की ज़रूरत नहीं पड़ती. ऐसे मामलों में, उपयोगकर्ता लॉगिन नहीं कर पाते. ऐसा इसलिए होता है, क्योंकि वे अपना पासवर्ड भूल जाते हैं.

Yahoo! बिना पासवर्ड के JAPAN के कैंपेन

Yahoo! JAPAN, बिना पासवर्ड के पुष्टि करने की सुविधा को प्रमोट करने के लिए कई कदम उठा रहा है. इन्हें तीन कैटगरी में बांटा जा सकता है:

1. पासवर्ड की पुष्टि करने के लिए, कोई दूसरा तरीका उपलब्ध कराएं.
2. पासवर्ड हटाना.
3. बिना पासवर्ड के खाते का रजिस्ट्रेशन.

पहली दो पहल, मौजूदा उपयोगकर्ताओं के लिए हैं, जबकि बिना पासवर्ड वाले रजिस्ट्रेशन का मकसद नए उपयोगकर्ताओं को ध्यान में रखकर बनाया गया है.

1. पासवर्ड की पुष्टि करने के लिए, कोई दूसरा तरीका उपलब्ध कराना

Yahoo! JAPAN, पासवर्ड के बजाय ये विकल्प देता है.

1. एसएमएस के ज़रिए पुष्टि करना
2. WebAuthn के साथ FIDO

इसके अलावा, हम पुष्टि करने के तरीके भी उपलब्ध कराते हैं. जैसे, ई-मेल पुष्टि, पासवर्ड को एसएमएस ओटीपी (एक बार इस्तेमाल होने वाला पासवर्ड), और ईमेल ओटीपी के साथ पासवर्ड जोड़ना.

एसएमएस की मदद से पुष्टि करना

एसएमएस की मदद से पुष्टि करने का एक सिस्टम, रजिस्टर्ड उपयोगकर्ता को एसएमएस के ज़रिए छह अंकों वाला पुष्टि करने वाला कोड पाने की अनुमति देता है. एसएमएस मिलने के बाद, उपयोगकर्ता ऐप्लिकेशन या वेबसाइट में पुष्टि करने वाला कोड डाल सकता है.

Apple ने लंबे समय से iOS को मैसेज (एसएमएस) पढ़ने और टेक्स्ट के मुख्य हिस्से से पुष्टि करने वाले कोड के सुझाव देने की अनुमति दी है. हाल ही में, इनपुट एलिमेंट के autocomplete एट्रिब्यूट में "one-time-code" में "one-time-code" तय करके सुझावों का इस्तेमाल किया जा सकता है. Android, Windows, और Mac पर Chrome WebOTP API का इस्तेमाल करके वही अनुभव दे सकता है.

उदाहरण के लिए:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>

if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

दोनों तरीकों को फ़िशिंग को रोकने के लिए डिज़ाइन किया गया है. इसके लिए, एसएमएस के मुख्य हिस्से में डोमेन को शामिल करना और सिर्फ़ बताए गए डोमेन के लिए सुझाव देना.

WebOTP API और autocomplete="one-time-code" के बारे में ज़्यादा जानने के लिए, एसएमएस ओटीपी फ़ॉर्म इस्तेमाल करने के सबसे सही तरीके देखें.

WebAuthn के साथ FIDO

WebAuthn के साथ FIDO, हार्डवेयर पुष्टि करने वाले टूल का इस्तेमाल करता है. इसकी मदद से, सार्वजनिक कुंजी वाला साइफ़र पेयर जनरेट किया जाता है और अपने पास मौजूद प्रॉपर्टी की पुष्टि की जाती है. जब किसी स्मार्टफ़ोन को पुष्टि करने वाले के तौर पर इस्तेमाल किया जाता है, तो एक चरण में दो तरीकों से पुष्टि करने के लिए, इसे बायोमेट्रिक ऑथेंटिकेशन (जैसे कि फ़िंगरप्रिंट सेंसर या चेहरे की पहचान) के साथ जोड़ा जा सकता है. इस मामले में, सिर्फ़ बायोमेट्रिक ऑथेंटिकेशन से मिले हस्ताक्षर और पुष्टि की प्रोसेस के संकेत सर्वर को भेजे जाते हैं. इससे बायोमेट्रिक डेटा चोरी होने का खतरा नहीं होता.

नीचे दिया गया डायग्राम, FIDO के लिए सर्वर क्लाइंट कॉन्फ़िगरेशन को दिखाता है. क्लाइंट की पुष्टि करने वाला टूल, उपयोगकर्ता की पुष्टि बायोमेट्रिक्स से करता है और सार्वजनिक पासकोड क्रिप्टोग्राफ़ी का इस्तेमाल करके, नतीजे पर हस्ताक्षर करता है. हस्ताक्षर बनाने के लिए इस्तेमाल की जाने वाली निजी कुंजी को, TEE (ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट) या ऐसी ही जगह पर सुरक्षित तरीके से सेव किया जाता है. FIDO का इस्तेमाल करने वाले सेवा देने वाले को आरपी (भरोसेमंद पक्ष) कहा जाता है.

ज़्यादा जानकारी के लिए, FIDO एलायंस से पुष्टि करने के दिशा-निर्देश पढ़ें.

Yahoo! JAPAN, Android (मोबाइल ऐप्लिकेशन और वेब), iOS (मोबाइल ऐप्लिकेशन और वेब), Windows (Edge, Chrome, Firefox), और macOS (Safari, Chrome) पर FIDO के साथ काम करता है. एक उपभोक्ता सेवा के तौर पर, FIDO का इस्तेमाल करीब-करीब किसी भी डिवाइस पर किया जा सकता है. इसलिए, बिना पासवर्ड के पुष्टि करने का प्रमोशन करने के लिए, यह एक अच्छा विकल्प है.

Yahoo! JAPAN का सुझाव है कि अगर लोगों ने किसी दूसरे तरीके से पुष्टि नहीं की है, तो FIDO के लिए WebAuthn के लिए रजिस्टर करें. जब किसी उपयोगकर्ता को एक ही डिवाइस से लॉग इन करना होता है, तो वह बायोमेट्रिक सेंसर का इस्तेमाल करके तुरंत अपनी पहचान की पुष्टि कर सकता है.

उपयोगकर्ताओं को उन सभी डिवाइसों पर FIDO से पुष्टि करने की सुविधा सेट अप करनी होगी जिनका इस्तेमाल वे Yahoo में लॉग इन करने के लिए करते हैं! जापान.

बिना पासवर्ड के पुष्टि करने की सुविधा को बढ़ावा देने और पासवर्ड इस्तेमाल न कर रहे उपयोगकर्ताओं की जानकारी देने के लिए, हम पुष्टि करने के कई तरीके उपलब्ध कराते हैं. इसका मतलब है कि अलग-अलग उपयोगकर्ताओं की पुष्टि करने के तरीकों की सेटिंग अलग-अलग हो सकती हैं. साथ ही, हर ब्राउज़र के लिए पुष्टि करने के तरीके अलग-अलग हो सकते हैं. हमारा मानना है कि अगर उपयोगकर्ता हर बार एक ही पुष्टि करने के तरीके का इस्तेमाल करके लॉग इन करते हैं, तो यह बेहतर अनुभव है.

इन ज़रूरी शर्तों को पूरा करने के लिए, पुष्टि करने के पुराने तरीकों को ट्रैक करना ज़रूरी है. साथ ही, इस जानकारी को कुकी वगैरह में स्टोर करके, क्लाइंट से जोड़ना होगा. इसके बाद, हम यह विश्लेषण कर सकते हैं कि पुष्टि करने के लिए अलग-अलग ब्राउज़र और ऐप्लिकेशन कैसे इस्तेमाल किए जाते हैं. उपयोगकर्ता से कहा जाता है कि वह उपयोगकर्ता की सेटिंग, पुष्टि करने के पहले इस्तेमाल किए गए तरीकों, और पुष्टि करने के कम से कम लेवल के आधार पर सही पुष्टि करे.

2. पासवर्ड हटाना

Yahoo! JAPAN, उपयोगकर्ताओं को पुष्टि करने का कोई अन्य तरीका सेट अप करने और अपना पासवर्ड बंद करने के लिए कहता है, ताकि उसका इस्तेमाल न किया जा सके. पुष्टि करने के वैकल्पिक तरीके सेट अप करने के अलावा, पासवर्ड की पुष्टि करने की सुविधा बंद करने से (सिर्फ़ पासवर्ड से साइन इन करना नामुमकिन हो जाता है) उपयोगकर्ताओं को सूची वाले हमलों से सुरक्षित रखने में मदद करता है.

उपयोगकर्ताओं को अपने पासवर्ड बंद करने के लिए बढ़ावा देने के लिए, हमने यह तरीका अपनाया है.

• पासवर्ड रीसेट करने के दौरान, पुष्टि करने के वैकल्पिक तरीकों का प्रमोशन करना.
• उपयोगकर्ताओं को पुष्टि करने के आसान तरीके (जैसे, FIDO) सेट अप करने और ऐसी स्थितियों के लिए पासवर्ड बंद करने के लिए बढ़ावा देना जहां बार-बार पुष्टि की ज़रूरत होती है.
• उपयोगकर्ताओं से ई-कॉमर्स से पैसे चुकाने जैसी ज़्यादा जोखिम वाली सेवाओं का इस्तेमाल करने से पहले, उनके पासवर्ड बंद करने का अनुरोध करना.

अगर कोई उपयोगकर्ता अपना पासवर्ड भूल जाता है, तो वह खाता वापस पाने की प्रोसेस शुरू कर सकता है. पहले इसमें पासवर्ड रीसेट करना शामिल था. अब, उपयोगकर्ता पुष्टि करने का कोई दूसरा तरीका सेट अप कर सकते हैं और हम उन्हें ऐसा करने के लिए बढ़ावा देते हैं.

3. बिना पासवर्ड के खाते का रजिस्ट्रेशन

नए उपयोगकर्ता पासवर्ड के बिना Yahoo! JAPAN खाते. उपयोगकर्ताओं को सबसे पहले, एसएमएस से पुष्टि करने के लिए रजिस्टर करना ज़रूरी होता है. लॉग इन करने के बाद, हम उपयोगकर्ता को FIDO से पुष्टि करने की सुविधा सेट अप करने का सुझाव देते हैं.

FIDO हर डिवाइस के लिए एक सेटिंग है, इसलिए किसी खाते को वापस पाना मुश्किल हो सकता है. इसलिए, हम चाहते हैं कि उपयोगकर्ता अतिरिक्त पुष्टि सेट अप करने के बाद भी अपना फ़ोन नंबर रजिस्टर रखें.

बिना पासवर्ड के पुष्टि करने से जुड़ी मुख्य चुनौतियां

पासवर्ड, किसी व्यक्ति की मेमोरी पर निर्भर करते हैं और डिवाइस पर निर्भर नहीं होते हैं. वहीं दूसरी ओर, बिना पासवर्ड वाली पहल में अब तक, पुष्टि करने के जो तरीके पेश किए गए हैं वे डिवाइस पर निर्भर करते हैं. इसमें कई तरह की चुनौतियां आ सकती हैं.

जब एक से ज़्यादा डिवाइस का इस्तेमाल किया जाता है, तो उपयोगिता से जुड़ी कुछ समस्याएं आती हैं:

• पीसी से लॉग इन करने के लिए एसएमएस की मदद से लॉग इन करते समय, उपयोगकर्ताओं को आने वाले एसएमएस के लिए अपना मोबाइल फ़ोन देखना होगा. इससे आपको परेशानी हो सकती है, क्योंकि इसके लिए उपयोगकर्ता का फ़ोन उपलब्ध रहना और उसे आसानी से ऐक्सेस करना ज़रूरी होता है.
• FIDO की मदद से, खास तौर पर प्लैटफ़ॉर्म पर पुष्टि करने वाले उपयोगकर्ताओं के लिए, एक से ज़्यादा डिवाइस इस्तेमाल करने वाले उपयोगकर्ता को बिना रजिस्ट्रेशन वाले डिवाइस पर पुष्टि करने की सुविधा नहीं मिलेगी. उपयोगकर्ता जिस भी डिवाइस का इस्तेमाल करना चाहते हैं उसके लिए रजिस्ट्रेशन पूरा होना ज़रूरी है.

FIDO पुष्टि कुछ खास डिवाइसों से जुड़ी होती है. इसके लिए, यह ज़रूरी है कि वे डिवाइस उपयोगकर्ता के पास हों और चालू रहे.

• अगर सेवा समझौता रद्द कर दिया जाता है, तो रजिस्टर किए गए फ़ोन नंबर पर एसएमएस मैसेज नहीं भेजे जा सकेंगे.
• FIDO किसी खास डिवाइस पर निजी कुंजियां सेव करता है. अगर डिवाइस खो जाता है, तो उन कुंजियों का इस्तेमाल नहीं किया जा सकता.

Yahoo! JAPAN इन समस्याओं को ठीक करने के लिए कई कदम उठा रहा है.

सबसे ज़रूरी समाधान, उपयोगकर्ताओं को पुष्टि करने के एक से ज़्यादा तरीके सेट अप करने के लिए बढ़ावा देना है. इससे डिवाइसों के खोने पर, दूसरे खाते का ऐक्सेस मिल जाता है. FIDO कुंजियां डिवाइस पर निर्भर करती हैं, इसलिए एक से ज़्यादा डिवाइस पर FIDO निजी कुंजियां रजिस्टर करना भी अच्छा तरीका है.

इसके अलावा, उपयोगकर्ता पीसी पर Android फ़ोन से Chrome पर एसएमएस से पुष्टि करने के लिए कोड पास करने के लिए, WebOTP एपीआई का इस्तेमाल कर सकते हैं.

हमारा मानना है कि इन समस्याओं को हल करना और भी ज़रूरी हो जाएगा, क्योंकि पासवर्ड के बिना पुष्टि करने की सुविधा, तेज़ी से लोगों तक पहुंचती है.

बिना पासवर्ड के पुष्टि करने का प्रमोशन किया जा रहा है

Yahoo! JAPAN 2015 से बिना पासवर्ड के इन कैंपेन पर काम कर रहा है. इसकी शुरुआत मई 2015 में FIDO सर्वर सर्टिफ़िकेशन को हासिल करने के साथ हुई. इसके बाद मैसेज (एसएमएस) की पुष्टि, पासवर्ड बंद करने की सुविधा, और हर डिवाइस के लिए FIDO सहायता की शुरुआत हुई.

आज, महीने के हिसाब से सक्रिय 3 करोड़ से ज़्यादा उपयोगकर्ताओं ने अपने पासवर्ड बंद कर दिए हैं. ये उपयोगकर्ता, बिना पासवर्ड वाली पुष्टि करने के तरीकों का इस्तेमाल कर रहे हैं. Yahoo! JAPAN, Android पर Chrome के साथ काम करता था. अब उसके एक करोड़ से ज़्यादा उपयोगकर्ताओं ने FIDO से पुष्टि करने की सुविधा सेट अप की है.

Yahoo! JAPAN की पहल के बाद, लॉगिन आईडी या पासवर्ड भूलने से जुड़ी क्वेरी के प्रतिशत में 25% की कमी आई.

FIDO को सेट अप करना बहुत आसान है, इसलिए इसका कन्वर्ज़न रेट खास तौर पर ज़्यादा है. दरअसल, Yahoo! JAPAN को पता चला है कि FIDO में मैसेज (एसएमएस) की पुष्टि करने की तुलना में ज़्यादा CVR है.

25 _%

क्रेडेंशियल भूलने से जुड़े अनुरोधों में कमी

74 _%

उपयोगकर्ता FIDO से पुष्टि कर लेते हैं

65 _%

मैसेज (एसएमएस) से पुष्टि करें

मैसेज (एसएमएस) की मदद से पुष्टि करने के मुकाबले FIDO की सफलता की दर ज़्यादा है. साथ ही, पुष्टि करने की औसत दर और मीडियन समय कम है. जहां तक पासवर्ड की बात है, कुछ ग्रुप की पुष्टि करने में कम समय लगता है और हमें लगता है कि ऐसा ब्राउज़र के autocomplete="current-password" की वजह से हो रहा है.

बिना पासवर्ड के खाते उपलब्ध कराने में सबसे बड़ी मुश्किल, पुष्टि करने के तरीकों को जोड़ना नहीं है, बल्कि पुष्टि करने वाले लोगों का इस्तेमाल बढ़ाना है. अगर बिना पासवर्ड वाली सेवा इस्तेमाल करने का अनुभव उपयोगकर्ता के लिए आसान नहीं है, तो ट्रांज़िशन करना आसान नहीं होगा.

हमारा मानना है कि बेहतर सुरक्षा के लिए सबसे पहले हमें उपयोगिता को बेहतर बनाना होगा, इसके लिए हर सेवा के लिए अनोखे इनोवेशन की ज़रूरत होगी.

नतीजा

सुरक्षा के लिहाज़ से पासवर्ड की पुष्टि करना जोखिम भरा होता है और इसकी वजह से इस्तेमाल करने में चुनौतियां भी आती हैं. अब WebOTP API और FIDO जैसी बिना पासवर्ड की पुष्टि करने वाली टेक्नोलॉजी ज़्यादा उपलब्ध हैं. इसलिए, अब बिना पासवर्ड के पुष्टि करने की सुविधा शुरू करने का समय आ गया है.

Yahoo! JAPAN के इस तरीके को अपनाने से, इस्तेमाल और सुरक्षा, दोनों पर काफ़ी असर पड़ा है. हालांकि, कई उपयोगकर्ता अब भी पासवर्ड का इस्तेमाल कर रहे हैं. इसलिए, हम ज़्यादा उपयोगकर्ताओं को बिना पासवर्ड के पुष्टि करने के तरीकों का इस्तेमाल करने के लिए बढ़ावा देते रहेंगे. साथ ही, हम अपने प्रॉडक्ट में सुधार करते रहेंगे, ताकि बिना पासवर्ड के पुष्टि करने के तरीकों के लिए, उपयोगकर्ता अनुभव को बेहतर बना सकें.

Unsplash पर olieman.eth की फ़ोटो