Dowiedz się, jak Yahoo! Japan opracowało system tożsamości bez hasła.
Przenoszenie linków do podstron Yahoo! JAPAN to jedna z największych firm medialnych w Japonii, która świadczy usługi takie jak wyszukiwarka, wiadomości, e-commerce oraz poczta e-mail. Ponad 50 milionów użytkowników loguje się na Yahoo! JAPAN.
W kolejnych latach nastąpiło wiele ataków na konta użytkowników i problemy, które prowadziły do utraty dostępu do kont. Większość z nich była związana z użyciem hasła do uwierzytelniania.
Dzięki najnowszym rozwiązaniom uwierzytelniania Yahoo! Japan zdecydowało się przejść z uwierzytelniania opartego na haśle na bez hasła.
Dlaczego bez hasła?
Ponieważ Yahoo! JAPAN oferuje handel elektroniczny i inne usługi związane z pieniędzmi, w przypadku nieautoryzowanego dostępu lub utraty konta istnieje ryzyko znaczącej szkody dla użytkowników.
Najczęstsze ataki związane z hasłami to ataki na listy haseł i próby wyłudzenia informacji. Jednym z powodów, dla których ataki przy użyciu listy haseł są powszechne i skuteczne, jest nawyk używania tego samego hasła w wielu aplikacjach i witrynach.
Poniższe liczby przedstawiają wyniki ankiety przeprowadzonej przez firmę Yahoo! Japan.
50 %
używają tego samego identyfikatora i hasła w co najmniej 6 witrynach.
60 %
Używanie tego samego hasła na wielu stronach
70 %
używać hasła jako głównego sposobu logowania
Użytkownicy często zapominają hasła, a to stanowiło większość pytań na temat haseł. Pytaliśmy też o pytania użytkowników, którzy nie pamiętali identyfikatora logowania. W szczytowym momencie zapytania te stanowiły ponad jedną trzecią wszystkich zapytań o konta.
Rezygnacja z hasła oznacza, że Yahoo! Celem JAPAN było nie tylko zwiększenie bezpieczeństwa, ale i łatwość obsługi bez dodatkowego obciążenia dla użytkowników.
Z punktu widzenia bezpieczeństwa eliminacja haseł z procesu uwierzytelniania użytkownika zmniejsza szkody wynikające z ataków opartych na listach. Z perspektywy łatwości obsługi taka metoda uwierzytelniania, która nie polega na zapamiętywaniu haseł, zapobiega sytuacji, w której użytkownik nie może się zalogować z powodu zapomnienia hasła.
Przenoszenie linków do podstron Yahoo! Japan bez hasła
Przenoszenie linków do podstron Yahoo! Japan podejmuje wiele działań, aby promować uwierzytelnianie bez hasła. Można je podzielić na 3 kategorie:
- udostępniać alternatywne metody uwierzytelniania względem haseł,
- Dezaktywacja hasła.
- Rejestracja konta bez hasła.
Pierwsze 2 inicjatywy są kierowane do obecnych użytkowników, a rejestracja bez hasła – do nowych użytkowników.
1. Zapewnianie alternatywnych sposobów uwierzytelniania haseł
Przenoszenie linków do podstron Yahoo! JAPAN oferuje następujące alternatywy dla haseł.
Oferujemy też metody uwierzytelniania, takie jak uwierzytelnianie poczty e-mail, hasło połączone z hasłem jednorazowym SMS (hasło jednorazowe) oraz hasło połączone z hasłem jednorazowym wysyłanym e-mailem.
Uwierzytelnianie SMS-ów
Uwierzytelnianie SMS-em to system, który umożliwia zarejestrowanym użytkownikom otrzymanie sześciocyfrowego kodu uwierzytelniającego SMS-em. Po otrzymaniu SMS-a użytkownik może wpisać kod uwierzytelniający w aplikacji lub na stronie.
Apple od dawna pozwala iOS odczytywać SMS-y i sugerować kody uwierzytelniające z treści tekstowej. Ostatnio można korzystać z sugestii, określając „jednorazowy kod” w atrybucie autocomplete elementu wejściowego. Chrome na urządzeniach z Androidem, Windows i Mac może działać w taki sam sposób jak przy użyciu interfejsu WebOTP API.
Na przykład:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Obie metody mają na celu zapobieganie phishingowi przez umieszczenie domeny w SMS-ie i podanie sugestii tylko dla określonej domeny.
Więcej informacji o interfejsie WebOTP API i autocomplete="one-time-code" znajdziesz w sprawdzonych metodach dotyczących formularzy haseł jednorazowych SMS-ów.
FIDO z WebAuthn
FIDO z WebAuthn korzysta z mechanizmu uwierzytelniającego sprzętowego, aby wygenerować parę kluczy publicznych i udowodnić własność. Jeśli smartfon jest używany jako uwierzytelnianie, można go połączyć z uwierzytelnianiem biometrycznym (takim jak czytniki linii papilarnych lub rozpoznawanie twarzy), aby przeprowadzić jednoetapowe uwierzytelnianie dwuskładnikowe. W takim przypadku do serwera jest wysyłany tylko podpis i wskaźnik powodzenia uwierzytelniania biometrycznego, więc nie ma ryzyka kradzieży danych biometrycznych.
Poniższy diagram przedstawia konfigurację serwer-klient dla FIDO. Narzędzie do uwierzytelniania klienta uwierzytelnia użytkownika za pomocą biometrii i podpisuje wynik za pomocą kryptografii klucza publicznego. Klucz prywatny użyty do utworzenia podpisu jest bezpiecznie przechowywany w TEE (Trusted Execution Environment) lub w podobnej lokalizacji. Dostawca usług, który stosuje FIDO, jest nazywany RP (stroną zależną).
Gdy użytkownik przeprowadza uwierzytelnianie (zwykle za pomocą skanowania biometrycznego lub kodu PIN), mechanizm uwierzytelniający używa klucza prywatnego, aby wysłać podpisany sygnał weryfikacyjny do przeglądarki. Następnie przeglądarka udostępnia ten sygnał witrynie strony objętej ograniczeniami.
Następnie strona RP wysyła podpisany sygnał weryfikacyjny do jej serwera, który weryfikuje podpis z kluczem publicznym, aby zakończyć uwierzytelnianie.
Więcej informacji znajdziesz w wytycznych dotyczących uwierzytelniania FIDO Alliance.
Przenoszenie linków do podstron Yahoo! JAPAN obsługuje FIDO na urządzeniach z Androidem (w aplikacjach mobilnych i internecie), iOS (w aplikacjach mobilnych i internecie), Windows (Edge, Chrome, Firefox) oraz macOS (Safari, Chrome). Jest to usługa dla klientów, która może być używana na prawie każdym urządzeniu, dzięki czemu jest dobrym rozwiązaniem do promowania uwierzytelniania bez hasła.
Przenoszenie linków do podstron Yahoo! JAPAN zaleca, by użytkownicy zarejestrowali się w FIDO za pomocą WebAuthn, jeśli nie przeprowadzili jeszcze uwierzytelniania innymi metodami. Gdy użytkownik musi zalogować się na tym samym urządzeniu, może szybko uwierzytelnić się za pomocą czujnika biometrycznego.
Użytkownicy muszą skonfigurować uwierzytelnianie FIDO na wszystkich urządzeniach, których używają do logowania się na konto Yahoo! Japan.
Aby promować uwierzytelnianie bez hasła i zachować ostrożność w przypadku użytkowników, którzy przechodzą z haseł, udostępniamy różne metody uwierzytelniania. Oznacza to, że różni użytkownicy mogą mieć różne ustawienia metod uwierzytelniania, a metody uwierzytelniania, z których mogą korzystać, mogą się różnić w zależności od przeglądarki. Jesteśmy przekonani, że wygodniej będzie się logować, jeśli użytkownicy logują się za każdym razem tą samą metodą uwierzytelniania.
Aby spełnić te wymagania, konieczne jest śledzenie poprzednich metod uwierzytelniania i łączenie tych informacji z klientem poprzez przechowywanie ich w postaci plików cookie itp. Możemy następnie analizować wykorzystanie różnych przeglądarek i aplikacji do uwierzytelniania. Użytkownik jest proszony o odpowiednie uwierzytelnienie na podstawie jego ustawień, używanych wcześniej metod uwierzytelniania oraz minimalnego wymaganego poziomu uwierzytelniania.
2. Dezaktywacja hasła
Przenoszenie linków do podstron Yahoo! JAPAN prosi użytkowników o ustawienie alternatywnej metody uwierzytelniania, a następnie wyłączenie hasła, aby nie można było go używać. Oprócz skonfigurowania uwierzytelniania alternatywnego wyłączenie uwierzytelniania za pomocą hasła (co uniemożliwia zalogowanie się tylko przy użyciu hasła) pomaga chronić użytkowników przed atakami opartymi na listach.
Aby zachęcić użytkowników do wyłączenia haseł, podjęliśmy poniższe kroki.
- Promowanie alternatywnych metod uwierzytelniania, gdy użytkownicy resetują swoje hasła.
- Zachęcanie użytkowników do skonfigurowania łatwych w użyciu metod uwierzytelniania (takich jak FIDO) i wyłączenia haseł w sytuacjach wymagających częstego uwierzytelniania.
- Zachęcanie użytkowników do wyłączenia haseł przed skorzystaniem z usług wysokiego ryzyka, takich jak płatności e-commerce.
Jeśli użytkownik zapomni hasła, może uruchomić odzyskiwanie konta. Wcześniej wymagało to zresetowania hasła. Teraz użytkownicy mogą wybrać inną metodę uwierzytelniania i zachęcamy ich do tego.
3. Rejestracja konta bez hasła
Nowi użytkownicy mogą tworzyć konta Yahoo! JAPAN. Użytkownicy muszą najpierw zarejestrować się za pomocą uwierzytelniania SMS. Zalecamy, aby po zalogowaniu się skonfigurował uwierzytelnianie FIDO.
Ustawienia FIDO dotyczą konkretnych urządzeń, dlatego odzyskanie konta może być trudne, jeśli urządzenie przestanie działać. Dlatego wymagamy, aby użytkownicy zachowali numery telefonów, nawet jeśli skonfigurują dodatkowe uwierzytelnianie.
Najważniejsze wyzwania dotyczące uwierzytelniania bez hasła
Hasła wykorzystują ludzką pamięć i są niezależne od urządzenia. Z drugiej strony metody uwierzytelniania wprowadzone do tej pory w ramach naszej inicjatywy bez hasła zależą od urządzenia. Wiąże się to z kilkoma wyzwaniami.
W przypadku używania wielu urządzeń mogą wystąpić problemy związane z obsługą:
- Podczas logowania z komputera przy użyciu uwierzytelniania SMS-y użytkownicy muszą sprawdzać, czy w telefonach komórkowych nie przychodzą SMS-y. Może to być niewygodne, ponieważ telefon musi być dostępny i łatwy do użycia w każdej chwili.
- Dzięki FIDO, a zwłaszcza w przypadku aplikacji uwierzytelniających na platformie, użytkownik korzystający z wielu urządzeń nie może uwierzytelniać się na niezarejestrowanych urządzeniach. Każde urządzenie, którego chce używać, musi zostać zarejestrowane.
Uwierzytelnianie FIDO jest powiązane z konkretnymi urządzeniami, co wymaga, aby pozostawały w posiadaniu użytkownika i były aktywne.
- Jeśli umowa o świadczenie usług zostanie anulowana, nie będzie można wysyłać SMS-ów na zarejestrowany numer telefonu.
- FIDO przechowuje klucze prywatne na konkretnym urządzeniu. Jeśli urządzenie zostanie utracone, klucze będą bezużyteczne.
Przenoszenie linków do podstron Yahoo! Japan podejmuje różne działania, by rozwiązać te problemy.
Najważniejszym rozwiązaniem jest zachęcenie użytkowników do skonfigurowania wielu metod uwierzytelniania. Zapewnia to alternatywny dostęp do konta w przypadku utraty urządzeń. Klucze FIDO są zależne od urządzenia, dlatego warto też zarejestrować je na wielu urządzeniach.
Użytkownicy mogą też używać interfejsu WebOTP API do przekazywania SMS-ów kodów weryfikacyjnych z telefonu z Androidem do Chrome na komputerze.
Wierzymy, że rozwiązanie tych problemów będzie jeszcze ważniejsze w miarę rozprzestrzeniania się uwierzytelniania bez hasła.
promowanie uwierzytelniania bez hasła,
Przenoszenie linków do podstron Yahoo! Japan zajmuje się tymi inicjatywami bez haseł od 2015 roku. Zaczęło się to od nabycia certyfikatu serwerów FIDO w maju 2015 r., a następnie wprowadzenia uwierzytelniania SMS-ów, funkcji dezaktywacji hasła i obsługi FIDO dla każdego urządzenia.
Obecnie ponad 30 milionów aktywnych użytkowników miesięcznie wyłączyło już swoje hasła i korzystało z metod uwierzytelniania bez hasła. Przenoszenie linków do podstron Yahoo! Japan zaczęło się od Chrome na Androidzie, a uwierzytelnianie FIDO skonfigurowało obecnie ponad 10 milionów użytkowników.
W efekcie Yahoo! Japan, odsetek zapytań dotyczących zapomnianych identyfikatorów logowania lub haseł zmalał o 25% w porównaniu do okresu, w którym liczba takich zapytań była najwyższa. Udało nam się też stwierdzić, że z powodu wzrostu liczby kont bez hasła nastąpił spadek nieautoryzowanego dostępu.
Ponieważ FIDO jest bardzo łatwe w konfiguracji, ma wyjątkowo wysoki współczynnik konwersji. Usługa Yahoo! Japan ustaliło, że FIDO ma wyższy CVR niż uwierzytelnianie SMS.
25 %
Zmniejszenie liczby żądań zapomnianych danych logowania
74 %
Użytkownicy odnoszą sukcesy dzięki uwierzytelnianiu FIDO
65 %
Powodzenie weryfikacji przez SMS
FIDO zapewnia większą szansę na sukces niż uwierzytelnianie SMS oraz szybsze średnie i medialne czasy uwierzytelniania. Jeśli chodzi o hasła, w niektórych grupach czas uwierzytelniania jest krótki. Podejrzewamy, że jest to spowodowane autocomplete="current-password" przeglądarki.
Największą trudnością z udostępnianiem kont bez hasła nie jest dodanie metod uwierzytelniania, ale spopularyzowanie korzystania z aplikacji uwierzytelniających. Jeśli korzystanie z usługi bez hasła nie jest łatwe w użyciu, przejście nie będzie łatwe.
Uważamy, że aby poprawić bezpieczeństwo, musimy najpierw poprawić łatwość obsługi, co będzie wymagało innowacji w przypadku każdej usługi.
Podsumowanie
Uwierzytelnianie za pomocą hasła jest ryzykowne pod względem bezpieczeństwa i utrudnia też obsługę. Gdy technologie obsługujące uwierzytelnianie bez hasła, takie jak WebOTP API i FIDO, są szerzej dostępne, nadszedł czas, by zacząć pracować nad uwierzytelnianiem bez hasła.
W Yahoo! Japan, to podejście miało zdecydowanie wpływ na użyteczność i bezpieczeństwo. Wielu użytkowników nadal używa haseł, więc będziemy nadal zachęcać kolejnych użytkowników do przejścia na metody uwierzytelniania bez hasła. Będziemy też dalej ulepszać nasze usługi, aby optymalizować wygodę użytkowników korzystających z metod uwierzytelniania bez hasła.
Fot. olieman.eth na stronie Unsplash