Pelajari cara Yahoo! Jepang membuat sistem identitas tanpa sandi.
Yahoo! JAPAN adalah salah satu perusahaan media terbesar di Jepang, yang menyediakan layanan seperti penelusuran, berita, e-commerce, dan email. Lebih dari 50 juta pengguna login ke Yahoo! JAPAN setiap bulan.
Selama bertahun-tahun, ada banyak serangan terhadap akun pengguna dan masalah yang menyebabkan hilangnya akses akun. Sebagian besar masalah ini terkait dengan penggunaan sandi untuk autentikasi.
Dengan kemajuan teknologi autentikasi terbaru, Yahoo! JAPAN telah memutuskan untuk beralih dari autentikasi berbasis sandi ke autentikasi tanpa sandi.
Mengapa tanpa sandi?
Sebagai Yahoo! JAPAN menawarkan e-commerce dan layanan terkait uang lainnya, sehingga ada risiko kerusakan yang signifikan bagi pengguna jika terjadi akses tidak sah atau kehilangan akun.
Serangan paling umum yang terkait dengan sandi adalah serangan daftar sandi dan scam phishing. Salah satu alasan serangan daftar sandi umum dan efektif adalah kebiasaan banyak orang menggunakan sandi yang sama untuk beberapa aplikasi dan situs.
Angka-angka berikut adalah hasil survei yang dilakukan oleh Yahoo! JEPANG.
50 %
menggunakan ID dan sandi yang sama di enam situs atau lebih
60 %
Menggunakan sandi yang sama di beberapa situs
70 %
menggunakan sandi sebagai cara utama untuk login
Pengguna sering kali lupa sandi mereka, yang merupakan mayoritas permintaan terkait sandi. Ada juga pertanyaan dari pengguna yang telahลืม ID login mereka selain sandi mereka. Pada puncaknya, permintaan ini menyumbang lebih dari sepertiga dari semua permintaan terkait akun.
Dengan menggunakan login tanpa sandi, Yahoo! JAPAN bertujuan untuk meningkatkan tidak hanya keamanan, tetapi juga kegunaan, tanpa membebani pengguna.
Dari perspektif keamanan, menghilangkan sandi dari proses autentikasi pengguna akan mengurangi kerusakan dari serangan berbasis daftar, dan dari perspektif kegunaan, menyediakan metode autentikasi yang tidak mengandalkan mengingat sandi akan mencegah situasi saat pengguna tidak dapat login karena lupa sandinya.
Yahoo! Inisiatif tanpa sandi Yahoo! JAPAN
Yahoo! JAPAN mengambil sejumlah langkah untuk mempromosikan autentikasi tanpa sandi, yang secara luas dapat dibagi menjadi tiga kategori:
- Menyediakan cara autentikasi alternatif untuk sandi.
- Penonaktifan sandi.
- Pendaftaran akun tanpa sandi.
Dua inisiatif pertama ditujukan untuk pengguna lama, sedangkan pendaftaran tanpa sandi ditujukan untuk pengguna baru.
1. Menyediakan cara autentikasi alternatif untuk sandi
Yahoo! JAPAN menawarkan alternatif berikut untuk sandi.
Selain itu, kami juga menawarkan metode autentikasi seperti autentikasi email, sandi yang digabungkan dengan OTP SMS (sandi sekali pakai), dan sandi yang digabungkan dengan OTP email.
Autentikasi SMS
Autentikasi SMS adalah sistem yang memungkinkan pengguna terdaftar menerima kode autentikasi enam digit melalui SMS. Setelah menerima SMS, pengguna dapat memasukkan kode autentikasi di aplikasi atau situs.
Apple telah lama mengizinkan iOS membaca pesan SMS dan menyarankan kode autentikasi
dari isi teks. Baru-baru ini, Anda dapat menggunakan saran dengan
menentukan "kode sekali pakai" dalam atribut autocomplete
elemen
input. Chrome di Android, Windows, dan Mac dapat memberikan pengalaman yang sama
menggunakan WebOTP API.
Contoh:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Kedua pendekatan ini dirancang untuk mencegah phishing dengan menyertakan domain dalam isi SMS dan memberikan saran hanya untuk domain yang ditentukan.
Untuk mengetahui informasi selengkapnya tentang WebOTP API dan autocomplete="one-time-code"
,
lihat Praktik terbaik formulir OTP SMS.
FIDO dengan WebAuthn
FIDO dengan WebAuthn menggunakan pengautentikasi hardware untuk membuat pasangan cipher kunci publik dan membuktikan kepemilikan. Jika smartphone digunakan sebagai pengautentikasi, autentikasi ini dapat digabungkan dengan autentikasi biometrik (seperti sensor sidik jari atau pengenalan wajah) untuk melakukan autentikasi dua langkah satu langkah. Dalam hal ini, hanya tanda tangan dan indikasi keberhasilan dari autentikasi biometrik yang dikirim ke server sehingga tidak ada risiko pencurian data biometrik.
Diagram berikut menunjukkan konfigurasi server-klien untuk FIDO. Otentikator klien mengautentikasi pengguna dengan biometrik dan menandatangani hasilnya menggunakan kriptografi kunci publik. Kunci pribadi yang digunakan untuk membuat tanda tangan disimpan dengan aman di TEE (Trusted Execution Environment) atau lokasi serupa. Penyedia layanan yang menggunakan FIDO disebut RP (pihak tepercaya).
Untuk informasi selengkapnya, baca pedoman autentikasi dari FIDO Alliance.
Yahoo! JAPAN mendukung FIDO di Android (aplikasi seluler dan web), iOS (aplikasi seluler dan web), Windows (Edge, Chrome, Firefox), dan macOS (Safari, Chrome). Sebagai layanan konsumen, FIDO dapat digunakan di hampir semua perangkat, sehingga menjadikannya opsi yang baik untuk mempromosikan autentikasi tanpa sandi.
Yahoo! JAPAN merekomendasikan agar pengguna mendaftar ke FIDO dengan WebAuthn, jika mereka belum diautentikasi melalui cara lain. Saat pengguna perlu login dengan perangkat yang sama, mereka dapat mengautentikasi dengan cepat menggunakan sensor biometrik.
Pengguna harus menyiapkan autentikasi FIDO dengan semua perangkat yang mereka gunakan untuk login ke Yahoo! JEPANG.
Untuk mempromosikan autentikasi tanpa sandi dan mempertimbangkan pengguna yang bertransisi dari sandi, kami menyediakan beberapa cara autentikasi. Artinya, pengguna yang berbeda dapat memiliki setelan metode autentikasi yang berbeda, dan metode autentikasi yang dapat mereka gunakan mungkin berbeda dari browser ke browser. Kami yakin akan pengalaman yang lebih baik jika pengguna login menggunakan metode autentikasi yang sama setiap saat.
Untuk memenuhi persyaratan ini, Anda perlu melacak metode autentikasi sebelumnya dan menautkan informasi ini ke klien dengan menyimpannya dalam bentuk cookie, dll. Kemudian, kita dapat menganalisis cara berbagai browser dan aplikasi digunakan untuk autentikasi. Pengguna diminta untuk memberikan autentikasi yang sesuai berdasarkan setelan pengguna, metode autentikasi sebelumnya yang digunakan, dan tingkat autentikasi minimum yang diperlukan.
2. Penonaktifan sandi
Yahoo! JAPAN meminta pengguna untuk menyiapkan metode autentikasi alternatif, lalu menonaktifkan sandi mereka agar tidak dapat digunakan. Selain menyiapkan autentikasi alternatif, menonaktifkan autentikasi sandi (sehingga tidak memungkinkan login hanya dengan sandi) membantu melindungi pengguna dari serangan berbasis daftar.
Kami telah melakukan langkah-langkah berikut untuk mendorong pengguna menonaktifkan sandi mereka.
- Mempromosikan metode autentikasi alternatif saat pengguna mereset sandi mereka.
- Mendorong pengguna untuk menyiapkan metode autentikasi yang mudah digunakan (seperti FIDO) dan menonaktifkan sandi untuk situasi yang memerlukan autentikasi yang sering.
- Menghimbau pengguna untuk menonaktifkan sandi mereka sebelum menggunakan layanan berisiko tinggi, seperti pembayaran e-commerce.
Jika lupa sandi, pengguna dapat menjalankan pemulihan akun. Sebelumnya, proses ini melibatkan reset sandi. Sekarang, pengguna dapat memilih untuk menyiapkan metode autentikasi yang berbeda, dan sebaiknya mereka melakukannya.
3. Pendaftaran akun tanpa sandi
Pengguna baru dapat membuat Yahoo! JAPAN. Pengguna harus mendaftar terlebih dahulu dengan autentikasi SMS. Setelah login, sebaiknya pengguna menyiapkan autentikasi FIDO.
Karena FIDO adalah setelan per perangkat, pemulihan akun mungkin sulit dilakukan, jika perangkat tidak dapat digunakan. Oleh karena itu, kami mewajibkan pengguna untuk tetap mendaftarkan nomor telepon mereka, bahkan setelah mereka menyiapkan autentikasi tambahan.
Tantangan utama untuk autentikasi tanpa sandi
Sandi mengandalkan memori manusia dan tidak bergantung pada perangkat. Di sisi lain, metode autentikasi yang diperkenalkan sejauh ini dalam inisiatif tanpa sandi kami bergantung pada perangkat. Hal ini menimbulkan beberapa tantangan.
Saat beberapa perangkat digunakan, ada beberapa masalah terkait kegunaan:
- Saat menggunakan autentikasi SMS untuk login dari PC, pengguna harus memeriksa ponsel mereka untuk melihat pesan SMS yang masuk. Hal ini mungkin merepotkan, karena memerlukan ponsel pengguna untuk tersedia dan mudah diakses kapan saja.
- Dengan FIDO, terutama dengan pengautentikasi platform, pengguna dengan beberapa perangkat tidak akan dapat melakukan autentikasi di perangkat yang tidak terdaftar. Pendaftaran harus diselesaikan untuk setiap perangkat yang ingin digunakan.
Autentikasi FIDO dikaitkan dengan perangkat tertentu, yang mengharuskan perangkat tersebut tetap berada di tangan pengguna dan aktif.
- Jika kontrak layanan dibatalkan, Anda tidak akan dapat lagi mengirim pesan SMS ke nomor telepon yang terdaftar.
- FIDO menyimpan kunci pribadi di perangkat tertentu. Jika perangkat hilang, kunci tersebut tidak dapat digunakan.
Yahoo! JAPAN mengambil berbagai langkah untuk mengatasi masalah ini.
Solusi yang paling penting adalah mendorong pengguna untuk menyiapkan beberapa metode autentikasi. Tindakan ini memberikan akses akun alternatif saat perangkat hilang. Karena kunci FIDO bergantung pada perangkat, sebaiknya daftarkan kunci pribadi FIDO di beberapa perangkat.
Atau, pengguna dapat menggunakan WebOTP API untuk meneruskan kode verifikasi SMS dari ponsel Android ke Chrome di PC.
Kami yakin bahwa mengatasi masalah ini akan menjadi lebih penting seiring penyebaran autentikasi tanpa sandi.
Mempromosikan autentikasi tanpa sandi
Yahoo! JAPAN telah mengerjakan inisiatif tanpa sandi ini sejak tahun 2015. Hal ini dimulai dengan akuisisi sertifikasi server FIDO pada Mei 2015, diikuti dengan pengenalan autentikasi SMS, fitur penonaktifan sandi, dan dukungan FIDO untuk setiap perangkat.
Saat ini, lebih dari 30 juta pengguna aktif bulanan telah menonaktifkan sandi mereka dan menggunakan metode autentikasi tanpa sandi. Yahoo! Dukungan JEPANG untuk FIDO dimulai dengan Chrome di Android, dan kini lebih dari 10 juta pengguna telah menyiapkan autentikasi FIDO.
Sebagai hasil penelusuran Yahoo! JAPAN, persentase pertanyaan terkait ID login atau sandi yang terlupakan telah menurun sebesar 25% dibandingkan dengan periode saat jumlah pertanyaan tersebut mencapai puncaknya, dan kami juga dapat mengonfirmasi bahwa akses tidak sah telah menurun sebagai akibat dari peningkatan jumlah akun tanpa sandi.
Karena sangat mudah disiapkan, FIDO memiliki rasio konversi yang sangat tinggi. Faktanya, Yahoo! JAPAN telah menemukan bahwa FIDO memiliki CVR yang lebih tinggi daripada autentikasi SMS.
25 %
Penurunan permintaan untuk kredensial yang terlupakan
74 %
Pengguna berhasil melakukan autentikasi FIDO
65 %
Berhasil dengan verifikasi SMS
FIDO memiliki tingkat keberhasilan yang lebih tinggi daripada autentikasi SMS, dan waktu autentikasi rata-rata dan median yang lebih cepat. Untuk sandi, beberapa grup memiliki waktu autentikasi
yang singkat, dan kami menduga hal ini disebabkan oleh
autocomplete="current-password"
browser.
Kesulitan terbesar untuk menawarkan akun tanpa sandi bukanlah penambahan metode autentikasi, tetapi mempopulerkan penggunaan pengautentikasi. Jika pengalaman menggunakan layanan tanpa sandi tidak mudah digunakan, transisi tidak akan mudah.
Kami percaya bahwa untuk meningkatkan keamanan, kita harus meningkatkan kegunaan terlebih dahulu, yang akan memerlukan inovasi unik untuk setiap layanan.
Kesimpulan
Autentikasi sandi berisiko dalam hal keamanan, dan juga menimbulkan tantangan dalam hal kegunaan. Setelah teknologi yang mendukung autentikasi tanpa sandi, seperti WebOTP API dan FIDO, tersedia secara lebih luas, sekarang saatnya untuk mulai beralih ke autentikasi tanpa sandi.
Di Yahoo! JAPAN, pendekatan ini telah memberikan dampak yang jelas pada kegunaan dan keamanan. Namun, banyak pengguna masih menggunakan sandi, jadi kami akan terus mendorong lebih banyak pengguna untuk beralih ke metode autentikasi tanpa sandi. Kami juga akan terus meningkatkan kualitas produk kami guna mengoptimalkan pengalaman pengguna untuk metode autentikasi tanpa sandi.
Foto oleh olieman.eth di Unsplash