जानें कि Yahoo! जापान ने बिना पासवर्ड वाला आइडेंटिटी सिस्टम बनाया है.
Yahoo! JAPAN, जापान की सबसे बड़ी मीडिया कंपनियों में से एक है. यह खोज, खबरें, ई-कॉमर्स, और ईमेल जैसी सेवाएं देती है. 50 करोड़ से ज़्यादा उपयोगकर्ता, Yahoo! हर महीने JAPAN की सेवाएं पाएं.
पिछले कुछ सालों में, उपयोगकर्ता खातों पर कई हमले हुए और ऐसी समस्याएं आईं जिनकी वजह से खाते का ऐक्सेस खो गया. इनमें से ज़्यादातर समस्याएं, पुष्टि करने के लिए पासवर्ड के इस्तेमाल से जुड़ी थीं.
पुष्टि करने की टेक्नोलॉजी में हाल ही में हुए बदलावों के साथ, Yahoo! जापान ने पासवर्ड के बजाय, बिना पासवर्ड के पुष्टि करने की सुविधा को अपनाने का फ़ैसला लिया है.
बिना पासवर्ड के साइन इन करने की सुविधा क्यों?
चूंकि Yahoo! JAPAN, ई-कॉमर्स और पैसे से जुड़ी अन्य सेवाएं देता है. इसलिए, अगर खाते को बिना अनुमति के ऐक्सेस किया जाता है या खाता खो जाता है, तो उपयोगकर्ताओं को काफ़ी नुकसान हो सकता है.
पासवर्ड से जुड़े सबसे सामान्य हमले, पासवर्ड की सूची से जुड़े हमले और फ़िशिंग से जुड़े धोखाधड़ी वाले हमले थे. पासवर्ड की सूची पर हमले आम और असरदार होते हैं, इसकी एक वजह यह है कि कई लोगों को एक से ज़्यादा ऐप्लिकेशन और वेबसाइटों के लिए एक ही पासवर्ड इस्तेमाल करने की आदत होती है.
यहां दिए गए आंकड़े, Yahoo! के एक सर्वे के नतीजे हैं. जापान.
50 %
छह या उससे ज़्यादा साइटों पर एक ही आईडी और पासवर्ड का इस्तेमाल करना
60 %
कई साइटों के लिए एक ही पासवर्ड का इस्तेमाल करना
70 %
लॉगिन करने के लिए मुख्य तरीके के तौर पर पासवर्ड का इस्तेमाल करना
उपयोगकर्ता अक्सर अपने पासवर्ड भूल जाते हैं. इसलिए, पासवर्ड से जुड़ी ज़्यादातर पूछताछ इसी वजह से होती हैं. हमें उन उपयोगकर्ताओं से भी पूछताछ मिली जिन्होंने पासवर्ड के साथ-साथ अपना लॉगिन आईडी भी भूल दिया था. सबसे ज़्यादा संख्या में, खाते से जुड़ी सभी क्वेरी में से एक तिहाई से ज़्यादा क्वेरी, इनसे जुड़ी थीं.
बिना पासवर्ड के साइन इन करने की सुविधा देने के बाद, Yahoo! JAPAN का मकसद, उपयोगकर्ताओं पर कोई अतिरिक्त बोझ डाले बिना, न सिर्फ़ सुरक्षा को बेहतर बनाना था, बल्कि इस्तेमाल करने के तरीके को भी बेहतर बनाना था.
सुरक्षा के लिहाज़ से, उपयोगकर्ता की पुष्टि करने की प्रोसेस से पासवर्ड हटाने पर, सूची पर आधारित हमलों से होने वाले नुकसान को कम किया जा सकता है. साथ ही, इस्तेमाल करने के लिहाज़ से, पुष्टि करने का ऐसा तरीका उपलब्ध कराना जो पासवर्ड याद रखने पर निर्भर न हो, इससे उपयोगकर्ता को लॉगिन करने में होने वाली समस्याओं से बचा जा सकता है.
Yahoo! JAPAN के बिना पासवर्ड वाले इनिशिएटिव
Yahoo! जापान, पासवर्ड के बिना पुष्टि करने की सुविधा को बढ़ावा देने के लिए कई कदम उठा रहा है. इन्हें मुख्य रूप से तीन कैटगरी में बांटा जा सकता है:
- पासवर्ड की पुष्टि करने के लिए कोई अन्य तरीका उपलब्ध कराएं.
- पासवर्ड बंद करना.
- बिना पासवर्ड के खाता रजिस्टर करना.
पहले दो इनिशिएटिव, मौजूदा उपयोगकर्ताओं के लिए हैं. वहीं, पासवर्ड के बिना रजिस्ट्रेशन करने की सुविधा, नए उपयोगकर्ताओं के लिए है.
1. पासवर्ड की पुष्टि करने के लिए कोई और तरीका उपलब्ध कराना
Yahoo! जापान में, पासवर्ड के लिए ये विकल्प उपलब्ध हैं.
इसके अलावा, हम पुष्टि करने के अन्य तरीके भी उपलब्ध कराते हैं. जैसे, ईमेल से पुष्टि करना, एसएमएस ओटीपी (एक बार इस्तेमाल होने वाला पासवर्ड) के साथ पासवर्ड डालना, और ईमेल ओटीपी के साथ पासवर्ड डालना.
एसएमएस से पुष्टि करना
एसएमएस से पुष्टि करने की सुविधा एक ऐसा सिस्टम है जिसकी मदद से रजिस्टर किए गए उपयोगकर्ता को एसएमएस के ज़रिए, पुष्टि करने के लिए छह अंकों का कोड मिलता है. एसएमएस मिलने के बाद, उपयोगकर्ता ऐप्लिकेशन या वेबसाइट में पुष्टि करने वाला कोड डाल सकता है.
Apple ने iOS को एसएमएस मैसेज पढ़ने और टेक्स्ट बॉडी से पुष्टि करने वाले कोड का सुझाव देने की अनुमति दी है. हाल ही में, इनपुट एलिमेंट के autocomplete एट्रिब्यूट में "one-time-code" की जानकारी देकर, सुझावों का इस्तेमाल किया जा सकता है. Android, Windows, और Mac पर Chrome, WebOTP API का इस्तेमाल करके, यही अनुभव दे सकता है.
उदाहरण के लिए:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
दोनों तरीकों को, एसएमएस के मुख्य हिस्से में डोमेन शामिल करके और सिर्फ़ तय किए गए डोमेन के लिए सुझाव देकर, फ़िशिंग को रोकने के लिए डिज़ाइन किया गया है.
WebOTP API और autocomplete="one-time-code" के बारे में ज़्यादा जानकारी के लिए, एसएमएस ओटीपी वाले फ़ॉर्म के इस्तेमाल के सबसे सही तरीके देखें.
WebAuthn के साथ FIDO
WebAuthn के साथ FIDO, सार्वजनिक कुंजी और एन्क्रिप्ट (सुरक्षित) करने वाले पासकोड का पेयर जनरेट करने और यह साबित करने के लिए, हार्डवेयर ऑथेंटिकेटर का इस्तेमाल करता है कि पासकोड आपके पास है. जब किसी स्मार्टफ़ोन का इस्तेमाल ऑथेंटिकेटर के तौर पर किया जाता है, तो उसे बायोमेट्रिक ऑथेंटिकेशन (जैसे, फ़िंगरप्रिंट सेंसर या चेहरे की पहचान) के साथ जोड़ा जा सकता है. इससे, एक चरण में दो तरीकों से पुष्टि की जा सकती है. इस मामले में, सिर्फ़ हस्ताक्षर और बायोमेट्रिक ऑथेंटिकेशन से भेजे गए ईमेल के सही होने का संकेत सर्वर को भेजा जाता है. इससे बायोमेट्रिक डेटा के चोरी होने का कोई खतरा नहीं होता.
नीचे दिए गए डायग्राम में, FIDO के लिए सर्वर-क्लाइंट कॉन्फ़िगरेशन दिखाया गया है. क्लाइंट ऑथेंटिकेटर, बायोमेट्रिक्स की मदद से उपयोगकर्ता की पुष्टि करता है और सार्वजनिक पासकोड क्रिप्टोग्राफ़ी का इस्तेमाल करके नतीजे पर हस्ताक्षर करता है. हस्ताक्षर बनाने के लिए इस्तेमाल की गई निजी कुंजी, टीईई (ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट) या ऐसी ही किसी जगह पर सुरक्षित रूप से सेव की जाती है. FIDO का इस्तेमाल करने वाली सेवा देने वाली कंपनी को आरपी (भरोसेमंद पक्ष) कहा जाता है.
जब उपयोगकर्ता पुष्टि करता है (आम तौर पर, बायोमेट्रिक स्कैन या पिन की मदद से), तो पुष्टि करने वाला टूल, निजी कुंजी का इस्तेमाल करके ब्राउज़र को पुष्टि का सिग्नल भेजता है. इसके बाद, ब्राउज़र उस सिग्नल को आरपी की वेबसाइट के साथ शेयर करता है.
इसके बाद, आरपी की वेबसाइट, हस्ताक्षर किए गए पुष्टि का सिग्नल, आरपी के सर्वर पर भेजती है. सर्वर, पुष्टि की प्रक्रिया को पूरा करने के लिए, इस हस्ताक्षर की पुष्टि सार्वजनिक पासकोड से करता है.
ज़्यादा जानकारी के लिए, FIDO Alliance के पुष्टि करने के दिशा-निर्देश पढ़ें.
Yahoo! जापान में, Android (मोबाइल ऐप्लिकेशन और वेब), iOS (मोबाइल ऐप्लिकेशन और वेब), Windows (Edge, Chrome, Firefox), और macOS (Safari, Chrome) पर FIDO काम करता है. उपभोक्ता सेवा के तौर पर, FIDO का इस्तेमाल लगभग किसी भी डिवाइस पर किया जा सकता है. इसलिए, यह बिना पासवर्ड के पुष्टि करने की सुविधा को बढ़ावा देने के लिए एक अच्छा विकल्प है.
Yahoo! JAPAN का सुझाव है कि अगर उपयोगकर्ताओं ने पहले ही किसी दूसरे तरीके से पुष्टि नहीं की है, तो वे WebAuthn की मदद से FIDO के लिए रजिस्टर करें. जब उपयोगकर्ता को उसी डिवाइस से लॉग इन करना हो, तो वह बायोमेट्रिक सेंसर का इस्तेमाल करके तुरंत पुष्टि कर सकता है.
उपयोगकर्ताओं को उन सभी डिवाइसों पर FIDO पुष्टि करने की सुविधा सेट अप करनी होगी जिनका इस्तेमाल करके वे Yahoo! में लॉग इन करते हैं. जापान.
हम बिना पासवर्ड के पुष्टि करने की सुविधा का प्रमोशन करते हैं. साथ ही, हम उन उपयोगकर्ताओं के लिए भी पुष्टि करने के कई तरीके उपलब्ध कराते हैं जो पासवर्ड का इस्तेमाल करना बंद कर रहे हैं. इसका मतलब है कि अलग-अलग उपयोगकर्ताओं के लिए, पुष्टि करने के तरीके की सेटिंग अलग-अलग हो सकती हैं. साथ ही, पुष्टि करने के लिए इस्तेमाल किए जा सकने वाले तरीके, ब्राउज़र के हिसाब से अलग-अलग हो सकते हैं. हमारा मानना है कि अगर उपयोगकर्ता हर बार एक ही प्रमाणीकरण विधि का उपयोग करके लॉग इन करते हैं, तो यह बेहतर अनुभव है.
इन ज़रूरी शर्तों को पूरा करने के लिए, पुष्टि करने के पिछले तरीकों को ट्रैक करना ज़रूरी है. साथ ही, इस जानकारी को कुकी वगैरह के तौर पर सेव करके, क्लाइंट से लिंक करना होगा. इसके बाद, हम यह विश्लेषण कर सकते हैं कि पुष्टि करने के लिए, अलग-अलग ब्राउज़र और ऐप्लिकेशन का इस्तेमाल कैसे किया जाता है. उपयोगकर्ता से उसकी सेटिंग, पुष्टि करने के लिए इस्तेमाल किए गए पिछले तरीकों, और पुष्टि के लिए ज़रूरी कम से कम लेवल के आधार पर, सही पुष्टि करने के लिए कहा जाता है.
2. पासवर्ड बंद करना
Yahoo! JAPAN, उपयोगकर्ताओं को पुष्टि करने का कोई दूसरा तरीका सेट अप करने और पासवर्ड बंद करने के लिए कहता है, ताकि उसका इस्तेमाल न किया जा सके. पुष्टि करने का दूसरा तरीका सेट अप करने के अलावा, पासवर्ड की पुष्टि करने की सुविधा बंद करने (इस वजह से, सिर्फ़ पासवर्ड से साइन इन नहीं किया जा सकता) से उपयोगकर्ताओं को सूची में शामिल होने वाले हमलों से बचाने में मदद मिलती है.
हमने उपयोगकर्ताओं को पासवर्ड बंद करने के लिए, ये कदम उठाए हैं.
- उपयोगकर्ताओं के पासवर्ड रीसेट करने पर, पुष्टि करने के अन्य तरीकों का प्रमोशन करना.
- उपयोगकर्ताओं को, पुष्टि करने के आसान तरीकों (जैसे, FIDO) को सेट अप करने के लिए बढ़ावा देना. साथ ही, बार-बार पुष्टि करने की ज़रूरत वाली स्थितियों के लिए, पासवर्ड बंद करना.
- उपयोगकर्ताओं को ज़्यादा जोखिम वाली सेवाओं का इस्तेमाल करने से पहले, अपने पासवर्ड बंद करने के लिए कहना. जैसे, ई-कॉमर्स पेमेंट.
अगर कोई उपयोगकर्ता अपना पासवर्ड भूल जाता है, तो वह खाता वापस पाने की सुविधा का इस्तेमाल कर सकता है. पहले इसमें पासवर्ड रीसेट करना पड़ता था. अब उपयोगकर्ता, पुष्टि करने का कोई दूसरा तरीका सेट अप कर सकते हैं. हमारा सुझाव है कि वे ऐसा करें.
3. बिना पासवर्ड के खाता रजिस्ट्रेशन
नए उपयोगकर्ता, पासवर्ड के बिना Yahoo! JAPAN खाते. उपयोगकर्ताओं को सबसे पहले, मैसेज से पुष्टि करने की सुविधा के साथ रजिस्टर करना होगा. लॉग इन करने के बाद, हम उपयोगकर्ता को FIDO के तौर पर पुष्टि करने की सुविधा सेट अप करने का सुझाव देते हैं.
FIDO, हर डिवाइस के लिए अलग से सेट की जाने वाली सेटिंग है. इसलिए, अगर डिवाइस काम नहीं कर रहा है, तो खाता वापस पाना मुश्किल हो सकता है. इसलिए, हम उपयोगकर्ताओं को अतिरिक्त पुष्टि करने की सुविधा सेट अप करने के बाद भी, अपना फ़ोन नंबर रजिस्टर रखने के लिए कहते हैं.
बिना पासवर्ड के पुष्टि करने की मुख्य चुनौतियां
पासवर्ड, याद रखने पर निर्भर होते हैं और किसी डिवाइस पर काम नहीं करते. दूसरी ओर, बिना पासवर्ड वाले हमारे इनिशिएटिव में अब तक पुष्टि करने के जो तरीके उपलब्ध कराए गए हैं वे डिवाइस पर निर्भर करते हैं. इस वजह से, कई चुनौतियों का सामना करना पड़ सकता है.
एक से ज़्यादा डिवाइसों का इस्तेमाल करने पर, इस्तेमाल करने से जुड़ी कुछ समस्याएं आ सकती हैं:
- पीसी से लॉग इन करने के लिए, एसएमएस से पुष्टि करने की सुविधा का इस्तेमाल करने पर, उपयोगकर्ताओं को अपने मोबाइल फ़ोन पर आने वाले एसएमएस मैसेज देखना होगा. ऐसा करना मुश्किल हो सकता है, क्योंकि इसके लिए उपयोगकर्ता का फ़ोन उपलब्ध होना चाहिए और उसे कभी भी आसानी से ऐक्सेस किया जा सके.
- FIDO की मदद से, खास तौर पर प्लैटफ़ॉर्म ऑथेंटिकेटर की मदद से, एक से ज़्यादा डिवाइस इस्तेमाल करने वाला उपयोगकर्ता, रजिस्टर नहीं किए गए डिवाइसों पर पुष्टि नहीं कर पाएगा. उन्हें हर उस डिवाइस के लिए रजिस्टर करना होगा जिसका इस्तेमाल करना है.
FIDO पुष्टि करने की सुविधा, कुछ खास डिवाइसों से जुड़ी होती है. इसके लिए ज़रूरी है कि वे डिवाइस, उपयोगकर्ता के पास हों और चालू हों.
- अगर सेवा का अनुबंध रद्द कर दिया जाता है, तो रजिस्टर किए गए फ़ोन नंबर पर एसएमएस नहीं भेजे जा सकेंगे.
- FIDO, निजी कुंजियों को किसी खास डिवाइस पर सेव करता है. अगर डिवाइस खो जाता है, तो उन पासकोड का इस्तेमाल नहीं किया जा सकता.
Yahoo! जापान इन समस्याओं को हल करने के लिए कई कदम उठा रहा है.
सबसे अहम समाधान है, उपयोगकर्ताओं को पुष्टि करने के कई तरीके सेट अप करने के लिए बढ़ावा देना. इससे, डिवाइसों के खो जाने पर खाते का ऐक्सेस पाने का दूसरा विकल्प मिलता है. FIDO पासकोड, डिवाइस पर निर्भर करते हैं. इसलिए, एक से ज़्यादा डिवाइसों पर FIDO निजी पासकोड रजिस्टर करना भी एक अच्छा तरीका है.
इसके अलावा, उपयोगकर्ता WebOTP API का इस्तेमाल करके, पुष्टि करने के लिए एसएमएस से मिले कोड को Android फ़ोन से पीसी पर Chrome में भेज सकते हैं.
हम मानते हैं कि बिना पासवर्ड की पुष्टि के ज़्यादा से ज़्यादा लोगों तक इन समस्याओं को हल करना और भी ज़रूरी हो जाएगा.
बिना पासवर्ड के पुष्टि करने की सुविधा का प्रमोशन करना
Yahoo! JAPAN, 2015 से बिना पासवर्ड वाले इन पहलों पर काम कर रहा है. यह मई 2015 में, FIDO सर्वर सर्टिफ़िकेट हासिल करने के साथ शुरू हुआ. इसके बाद, एसएमएस से पुष्टि करने की सुविधा, पासवर्ड बंद करने की सुविधा, और हर डिवाइस के लिए FIDO की सहायता शुरू की गई.
फ़िलहाल, हर महीने 3 करोड़ से ज़्यादा सक्रिय उपयोगकर्ताओं ने अपने पासवर्ड बंद कर दिए हैं. साथ ही, वे पासवर्ड के बिना पुष्टि करने के तरीकों का इस्तेमाल कर रहे हैं. Yahoo! जापान में, Android पर Chrome के साथ FIDO की सुविधा शुरू हुई थी. अब 10 करोड़ से ज़्यादा उपयोगकर्ताओं ने FIDO ऑथेंटिकेशन सेट अप कर लिया है.
Yahoo! जापान में किए गए इन प्रयासों की वजह से, लॉगिन आईडी या पासवर्ड याद न होने से जुड़ी पूछताछ का प्रतिशत, उस अवधि की तुलना में 25% कम हो गया है जब ऐसी पूछताछ की संख्या सबसे ज़्यादा थी. साथ ही, हमें यह पुष्टि करने में भी मदद मिली है कि पासवर्ड के बिना काम करने वाले खातों की संख्या बढ़ने की वजह से, बिना अनुमति के खाते को ऐक्सेस करने की संख्या में कमी आई है.
FIDO को सेट अप करना बहुत आसान है. इसलिए, इसका कन्वर्ज़न रेट काफ़ी ज़्यादा है. असल में, Yahoo! जापान में यह पता चला है कि एसएमएस से पुष्टि करने की तुलना में, FIDO का CVR ज़्यादा है.
25 %
क्रेडेंशियल याद न होने पर, उन्हें वापस पाने के अनुरोधों में कमी आई
74 %
FIDO से पुष्टि करने की प्रोसेस पूरी हुई
65 %
एसएमएस से पुष्टि करने का तरीका
एसएमएस से पुष्टि करने की तुलना में, FIDO से पुष्टि करने की दर ज़्यादा होती है. साथ ही, पुष्टि करने में लगने वाला औसत और मीडियन समय भी कम होता है. पासवर्ड के लिए, कुछ ग्रुप में पुष्टि करने में कम समय लगता है. हमें लगता है कि ऐसा ब्राउज़र के autocomplete="current-password" की वजह से होता है.
बिना पासवर्ड वाले खातों की सुविधा देने में सबसे बड़ी मुश्किल, पुष्टि करने के तरीकों को जोड़ना नहीं है, बल्कि Authenticator के इस्तेमाल को लोकप्रिय बनाना है. अगर पासवर्ड के बिना काम करने वाली सेवा का इस्तेमाल करना आसान नहीं है, तो इस पर स्विच करना आसान नहीं होगा.
हमारा मानना है कि बेहतर सुरक्षा के लिए, हमें पहले इस्तेमाल करने की सुविधा को बेहतर बनाना होगा. इसके लिए, हर सेवा के लिए नए-नए तरीके अपनाने होंगे.
नतीजा
पासवर्ड की मदद से पुष्टि करने की सुविधा, सुरक्षा के लिहाज़ से जोखिम भरा है. साथ ही, इसे इस्तेमाल करने में भी समस्याएं आती हैं. अब पासवर्ड के बिना पुष्टि करने की सुविधा देने वाली टेक्नोलॉजी, जैसे कि WebOTP API और FIDO, ज़्यादातर जगहों पर उपलब्ध हैं. इसलिए, अब बिना पासवर्ड के पुष्टि करने की सुविधा पर काम करने का समय आ गया है.
Yahoo! JAPAN, इस तरीके को अपनाने से उपयोगिता और सुरक्षा, दोनों पर असर पड़ा है. हालांकि, कई उपयोगकर्ता अब भी पासवर्ड का इस्तेमाल कर रहे हैं. इसलिए, हम ज़्यादा से ज़्यादा उपयोगकर्ताओं को बिना पासवर्ड के पुष्टि करने के तरीकों पर स्विच करने के लिए बढ़ावा देना जारी रखेंगे. हम अपने प्रॉडक्ट को लगातार बेहतर बनाते रहेंगे, ताकि बिना पासवर्ड के पुष्टि करने के तरीकों के लिए उपयोगकर्ता अनुभव को ऑप्टिमाइज़ किया जा सके.
Unsplash पर मौजूद, olieman.eth की फ़ोटो