Yahoo! JAPAN' şifresiz kimlik doğrulaması sorguları %25 azalttı ve oturum açma süresini 2,6 kat hızlandırdı

Yahoo! Japan şifresiz bir kimlik sistemi oluşturdu.

Eiji Kitamura
Eiji Kitamura
Twitter GitHub Glitch Mastodon
Alexandra Beyazı
Alexandra White
Twitter GitHub Mastodon
Yuya İto
Yuya Ito
Twitter

Yahoo! arama, haber, e-ticaret ve e-posta gibi hizmetler sunan JAPAN, Japonya'daki en büyük medya şirketlerinden biridir. 50 milyondan fazla kullanıcı Yahoo! Japan JAPAN hizmeti almaya devam edecek.

Yıllar içinde kullanıcı hesaplarına yönelik çok sayıda saldırı ve bu saldırılar, hesap erişiminin kaybedilmesine yol açan sorunlar oldu. Bu sorunların çoğu, kimlik doğrulama için şifre kullanımıyla ilgiliydi.

Kimlik doğrulama teknolojisindeki son gelişmelerle birlikte Yahoo! JAPAN tarafından şifre tabanlı kimlik doğrulamasından şifresiz kimlik doğrulamaya geçmeye karar verildi.

Neden şifresiz?

Yahoo! JAPAN, e-ticaret ve parayla ilgili diğer hizmetleri sunuyor olsa da yetkisiz erişim veya hesap kaybı durumlarında kullanıcılar için ciddi zararlara yol açma riski vardır.

Şifrelerle ilgili olarak en yaygın saldırılar, şifre listesi saldırıları ve kimlik avı dolandırıcılığıdır. Şifre listesi saldırılarının yaygın ve etkili olmasının nedenlerinden biri, birçok kişinin birden fazla uygulama ve web sitesi için aynı şifreyi kullanma alışkanlığıdır.

Aşağıdaki rakamlar, Yahoo! JAPAN tarafından işletilir.

    %50

    altı veya daha fazla sitede aynı kimlik ve şifreyi kullanmalıdır

    %60

    Aynı şifreyi birden fazla sitede kullanma

    %70

    giriş yapmak için birincil yöntem olarak şifre kullanın

Kullanıcılar şifrelerini sıklıkla unutur. Şifreyle ilgili sorguların çoğunluğunda bu şifreden kaynaklanır. Şifrelerine ek olarak giriş kimliklerini unutan kullanıcılardan da sorgular ortaya çıktı. Trafiğin zirve yaptığı dönemde bu sorgular hesapla ilgili tüm sorguların üçte birinden fazlasını oluşturuyordu.

Yahoo! JAPAN, kullanıcılara ek yük yüklemeden yalnızca güvenliği değil, kullanılabilirliği de iyileştirmeyi amaçladı.

Güvenlik açısından bakıldığında, kullanıcı kimlik doğrulama sürecinde şifrelerin ortadan kaldırılması, liste tabanlı saldırılardan kaynaklanan zararı azaltır. Ayrıca, kullanılabilirlik açısından şifrelerin hatırlanmasına dayalı olmayan bir kimlik doğrulama yöntemi sunmak kullanıcının şifresini unuttuğu için giriş yapamadığı durumları önler.

Yahoo! JAPAN'ın şifresiz girişimleri

Yahoo! JAPAN, şifresiz kimlik doğrulamayı desteklemek için bir dizi adım uygulamaktadır. Bu adımlar genel olarak üç kategoriye ayrılabilir:

  1. Şifrelerde kimlik doğrulaması için alternatif bir yöntem sağlama.
  2. Şifre devre dışı bırakma.
  3. Şifresiz hesap kaydı.

İlk iki girişim mevcut kullanıcıları, şifresiz kayıt ise yeni kullanıcıları hedeflemektedir.

1. Şifrelere alternatif kimlik doğrulama yöntemi sağlama

Yahoo! JAPAN, şifrelere aşağıdaki alternatifleri sunar.

  1. SMS kimlik doğrulaması
  2. WebAuthn ile FIDO

Ayrıca, e-posta kimlik doğrulaması, SMS OTP (tek kullanımlık şifre) ile şifre ve e-posta OTP'si ile birleştirilen şifre gibi kimlik doğrulama yöntemleri de sunuyoruz.

SMS ile kimlik doğrulama

SMS kimlik doğrulaması, kayıtlı bir kullanıcının SMS üzerinden altı haneli kimlik doğrulama kodu almasına olanak tanıyan bir sistemdir. Kullanıcı SMS'i aldıktan sonra, kimlik doğrulama kodunu uygulamaya veya web sitesine girebilir.

Apple uzun süredir iOS'un SMS mesajlarını okumasına ve metin gövdesinden kimlik doğrulama kodları önermesine izin veriyor. Son zamanlarda giriş öğesinin autocomplete özelliğinde "tek seferlik kod" belirterek önerilerin kullanılması mümkün hale geldi. Android, Windows ve Mac'teki Chrome, WebOTP API'yi kullanarak aynı deneyimi sunabilir.

Örneğin:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>

if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

Her iki yaklaşım da, alanı SMS gövdesine ekleyerek ve yalnızca belirtilen alan için öneriler sunarak kimlik avını önlemek amacıyla tasarlanmıştır.

WebOTP API ve autocomplete="one-time-code" hakkında daha fazla bilgi için SMS OTP formu en iyi uygulamalarına göz atın.

WebAuthn ile FIDO

WebAuthn ile FIDO, ortak anahtar şifre çifti oluşturmak ve sahipliği kanıtlamak için bir donanım kimlik doğrulayıcı kullanır. Kimlik doğrulayıcı olarak akıllı telefon kullanıldığında, bu cihaz, tek adımlı iki faktörlü kimlik doğrulama gerçekleştirmek için biyometrik kimlik doğrulama (parmak izi sensörleri veya yüz tanıma gibi) ile birleştirilebilir. Bu durumda, sunucuya yalnızca biyometrik kimlik doğrulamadaki imza ve başarı göstergesi gönderilir. Böylece biyometrik veri hırsızlığı riski olmaz.

Aşağıdaki şemada FIDO için sunucu-istemci yapılandırması gösterilmektedir. İstemci kimlik doğrulayıcı, biyometri ile kullanıcının kimliğini doğrular ve ortak anahtar kriptografisini kullanarak sonucu imzalar. İmzayı oluşturmak için kullanılan özel anahtar, bir TEE (Güvenilir Yürütme Ortamı) veya benzer bir konumda güvenli bir şekilde saklanır. FIDO'yu kullanan bir servis sağlayıcıya RP (bağımlı taraf) adı verilir.

Kullanıcı, kimlik doğrulamasını (genellikle biyometrik tarama veya PIN ile) gerçekleştirdikten sonra, kimlik doğrulayıcı, tarayıcıya imzalı bir doğrulama sinyali göndermek için özel bir anahtar kullanır. Tarayıcı daha sonra bu sinyali RP'nin web sitesiyle paylaşır.

Ardından RP web sitesi, imzalı doğrulama sinyalini RP sunucusuna gönderir. Bu sinyal, kimlik doğrulamayı tamamlamak için imzayı ortak anahtarla doğrular.

Daha fazla bilgi için FIDO Alliance'taki kimlik doğrulama yönergelerini okuyun.

Yahoo! JAPAN; Android (mobil uygulama ve web), iOS (mobil uygulama ve web), Windows (Edge, Chrome, Firefox) ve macOS (Safari, Chrome)'da FIDO'yu destekler. Bir tüketici hizmeti olarak FIDO hemen hemen tüm cihazlarda kullanılabilir. Bu nedenle şifresiz kimlik doğrulamayı tanıtmak için iyi bir seçenektir.

İşletim Sistemi FIDO desteği
Android Uygulamalar, Tarayıcı (Chrome)
iOS Uygulamalar (iOS14 veya üzeri), Tarayıcı (Safari 14 veya üzeri)
Windows Tarayıcı (Edge, Chrome, Firefox)
Mac (Big Sur veya sonraki sürümler) Tarayıcı (Safari, Chrome)
Örnek Yahoo! JAPAN talimatını kullanabilirsiniz.

Yahoo! JAPAN, başka yöntemlerle önceden kimlik doğrulamamışlarsa kullanıcıların FIDO'ya WebAuthn ile kaydolmalarını önerir. Bir kullanıcının aynı cihazla giriş yapması gerektiğinde, biyometrik sensör kullanarak hızla kimlik doğrulaması yapabilir.

Kullanıcıların Yahoo! JAPAN tarafından işletilir.

Şifresiz kimlik doğrulamayı teşvik etmek ve şifrelerden geçiş yapan kullanıcılara karşı saygılı davranmak için birden fazla kimlik doğrulama yöntemi sağlıyoruz. Bu, farklı kullanıcıların farklı kimlik doğrulama yöntemi ayarlarına sahip olabileceği ve kullanabilecekleri kimlik doğrulama yöntemlerinin tarayıcıdan tarayıcıya farklılık gösterebileceği anlamına gelir. Kullanıcıların her seferinde aynı kimlik doğrulama yöntemini kullanarak giriş yapmasının daha iyi bir deneyim olacağına inanıyoruz.

Bu gereksinimlerin karşılanması için önceki kimlik doğrulama yöntemlerini izlemek ve bu bilgileri çerez vb. biçiminde saklayarak istemciye bağlamak gerekir. Böylece, farklı tarayıcıların ve uygulamaların kimlik doğrulama için nasıl kullanıldığını analiz edebiliriz. Kullanıcıdan; kullanıcı ayarlarına, kullanılan önceki kimlik doğrulama yöntemlerine ve gereken minimum kimlik doğrulama seviyesine göre uygun kimlik doğrulama işlemini sağlaması istenir.

2. Şifreyi devre dışı bırakma

Yahoo! JAPAN, kullanıcılardan alternatif bir kimlik doğrulama yöntemi oluşturmalarını ve ardından kullanılamayacak şekilde şifrelerini devre dışı bırakmalarını ister. Alternatif kimlik doğrulama ayarlarını yapmaya ek olarak, şifre kimlik doğrulamasının devre dışı bırakılması (dolayısıyla yalnızca şifreyle oturum açmayı imkansız hale getirme) kullanıcıların liste tabanlı saldırılardan korunmasına yardımcı olur.

Kullanıcıları, şifrelerini devre dışı bırakmaya teşvik etmek için aşağıdaki adımları uyguladık.

  • Kullanıcılar şifrelerini sıfırladığında alternatif kimlik doğrulama yöntemlerini teşvik etme.
  • Kullanıcıları, kullanımı kolay kimlik doğrulama yöntemleri (ör. FIDO) ayarlamaya ve sık kimlik doğrulama gerektiren durumlarda şifreleri devre dışı bırakmaya teşvik edin.
  • E-ticaret ödemeleri gibi yüksek riskli hizmetleri kullanmadan önce kullanıcılardan şifrelerini devre dışı bırakmalarını isteme.

Kullanıcı, şifresini unutursa hesap kurtarma işlemi gerçekleştirebilir. Daha önce bu işlem için şifre sıfırlama işlemi yapılıyordu. Artık kullanıcılar farklı bir kimlik doğrulama yöntemi belirlemeyi seçebilir. Kullanıcıların bunu yapmasını öneririz.

3. Şifresiz hesap kaydı

Yeni kullanıcılar şifre kullanmadan Yahoo! JAPAN hesapları için geçerlidir. Kullanıcıların öncelikle bir SMS kimlik doğrulamasıyla kaydolması gerekir. Giriş yaptıktan sonra, kullanıcının FIDO kimlik doğrulamasını ayarlamasını öneririz.

FIDO cihaza özel bir ayar olduğundan, cihazın çalışamaz hale gelmesi durumunda hesabın kurtarılması zor olabilir. Bu nedenle, ek kimlik doğrulama ayarlarını yaptıktan sonra bile kullanıcıların telefon numaralarını kayıtlı tutmaları gerekir.

Şifresiz kimlik doğrulama için temel sorgulamalar

Şifreler insan belleğine dayanır ve cihazdan bağımsızdır. Öte yandan, şifresiz girişimimizde şimdiye kadar sunulan kimlik doğrulama yöntemleri ise cihaza bağlıdır. Bu durum, çeşitli zorlukları beraberinde getirir.

Birden fazla cihaz kullanıldığında, kullanılabilirlikle ilgili bazı sorunlar ortaya çıkar:

  • PC'den giriş yapmak için SMS kimlik doğrulaması kullanırken kullanıcılar, gelen SMS mesajları için cep telefonlarını kontrol etmelidir. Bu durum, kullanıcının telefonunun her an kullanılabilir ve kolayca erişilebilir olmasını gerektirdiği için kullanışlı olmayabilir.
  • Özellikle platform kimlik doğrulayıcıları ile FIDO sayesinde birden çok cihaza sahip bir kullanıcı, kayıtlı olmayan cihazlarda kimlik doğrulaması yapamaz. Kayıt işlemi, kullanmayı planladıkları her cihaz için tamamlanmalıdır.

FIDO kimlik doğrulaması, belirli cihazlara bağlıdır. Bu nedenle, söz konusu cihazların kullanıcının elinde ve etkin olması gerekir.

  • Hizmet sözleşmesi iptal edilirse kayıtlı telefon numarasına SMS mesajı gönderilemez.
  • FIDO, özel anahtarları belirli bir cihazda depolar. Cihaz kaybolursa bu anahtarlar kullanılamaz.

Yahoo! JAPAN bu sorunları çözmek için çeşitli adımlar atıyor.

En önemli çözüm, kullanıcıları birden fazla kimlik doğrulama yöntemi ayarlamaya teşvik etmektir. Bu sayede, cihazlar kaybolduğunda alternatif hesap erişimi sağlanır. FIDO anahtarları cihaza bağlı olduğundan, FIDO özel anahtarlarını birden fazla cihaza kaydetmek de iyi bir uygulamadır.

Alternatif olarak kullanıcılar, SMS doğrulama kodlarını bir Android telefondan PC'deki Chrome'a geçirmek için WebOTP API'sini kullanabilir.

Şifresiz kimlik doğrulamanın yaygınlaşmasıyla bu sorunların ele alınmasının daha da önemli olacağına inanıyoruz.

Şifresiz kimlik doğrulamayı teşvik etme

Yahoo! JAPAN, 2015'ten beri bu şifresiz girişimler üzerinde çalışmaktadır. Bu süreç Mayıs 2015'te FIDO sunucu sertifikasının alınmasıyla başladı. Ardından SMS kimlik doğrulaması, şifre devre dışı bırakma özelliği ve her cihaz için FIDO desteği kullanıma sunuldu.

Günümüzde 30 milyondan fazla aylık etkin kullanıcı, şifrelerini şimdiden devre dışı bırakmış ve şifre dışında kimlik doğrulama yöntemleri kullanıyor. Yahoo! JAPAN'ın FIDO'ya yönelik desteği Android'de Chrome ile başladı ve şu anda 10 milyondan fazla kullanıcı FIDO kimlik doğrulamasını ayarladı.

Yahoo! Japan'in girişimlerinde, unutulan giriş kimliklerini veya şifreleri içeren sorguların yüzdesi, bu tür sorguların en yüksek olduğu döneme göre% 25 oranında azaldı. Ayrıca, şifresiz hesapların sayısındaki artış nedeniyle yetkisiz erişimin azaldığını da doğrulayabiliyoruz.

FIDO'nun ayarlanması çok kolay olduğu için özellikle dönüşüm oranı yüksektir. Aslında, Yahoo! JAPAN, FIDO'nun DO'nun SMS ile kimlik doğrulamadan daha yüksek olduğunu tespit etti.

    %25

    Unutulan kimlik bilgileri isteklerinde azalma

    %74

    Kullanıcılar, FIDO kimlik doğrulamasıyla başarılı oldu

    %65

    SMS doğrulamasıyla başarılı olun

FIDO, SMS ile kimlik doğrulamadan daha yüksek bir başarı oranına, ayrıca daha kısa ortalama ve ortanca kimlik doğrulama süresine sahiptir. Şifrelerde, bazı grupların kimlik doğrulama süreleri kısadır ve bu durum, tarayıcının autocomplete="current-password" özelliğinden kaynaklandığından şüphelenir.

Şifreler, SMS ve FIDO için kimlik doğrulama süresinin grafik.
FIDO'nun kimlik doğrulaması ortalama 8 saniye sürer, şifreler 21 saniye, SMS ile doğrulama ise 27 saniye sürer.

Şifresiz hesaplar sunmanın en büyük zorluğu, kimlik doğrulama yöntemlerinin eklenmesi değil, kimlik doğrulayıcıların kullanımının popüler hale getirilmesidir. Şifresiz bir hizmetten yararlanma deneyimi kullanıcı dostu değilse geçiş işlemi kolay olmayacaktır.

Gelişmiş güvenlik sağlamak için öncelikle kullanılabilirliği iyileştirmemiz gerektiğine inanıyoruz. Bu da her hizmette benzersiz yenilikler yapılmasını gerektirecektir.

Sonuç

Şifre kimlik doğrulaması, güvenlik açısından risklidir ve kullanılabilirlik açısından da zorluklar oluşturur. WebOTP API ve FIDO gibi şifre dışı kimlik doğrulamayı destekleyen teknolojiler artık daha yaygın olarak kullanılabildiğinden, şifresiz kimlik doğrulama için çalışmaya başlamanın zamanı geldi.

Yahoo! bu yaklaşımı benimsemenin hem kullanılabilirlik hem de güvenlik üzerinde kesin bir etkisi oldu. Bununla birlikte, birçok kullanıcı şifre kullanmaya devam ettiğinden, daha fazla kullanıcıyı şifresiz kimlik doğrulama yöntemlerine geçmeye teşvik etmeye devam edeceğiz. Şifresiz kimlik doğrulama yöntemlerinde kullanıcı deneyimini optimize etmek için ürünlerimizi geliştirmeye devam edeceğiz.

Fotoğraf: olieman.eth tarafından Unsplash'te