Yahoo! Japonya, şifresiz bir kimlik sistemi oluşturdu.
Yahoo! JAPAN, arama, haber, e-ticaret ve e-posta gibi hizmetler sunan Japonya'daki en büyük medya şirketlerinden biridir. 50 milyondan fazla kullanıcı Yahoo! JAPAN hizmetlerini her ay
Yıllar içinde kullanıcı hesaplarına birçok saldırı ve hesap erişiminin kaybedilmesine yol açan sorunlar yaşandı. Bu sorunların çoğu, kimlik doğrulama için şifre kullanımıyla ilgiliydi.
Kimlik doğrulama teknolojisindeki son gelişmeler sayesinde Yahoo! JAPAN, şifre tabanlı kimlik doğrulamadan şifresiz kimlik doğrulamaya geçmeye karar verdi.
Neden şifresiz?
Yahoo! JAPAN e-ticaret ve parayla ilgili diğer hizmetleri sunar. Yetkisiz erişim veya hesap kaybı durumunda kullanıcılara ciddi zarar verme riski vardır.
Şifrelerle ilgili en yaygın saldırılar şifre listesi saldırıları ve kimlik avı dolandırıcılıklarıydı. Şifre listesi saldırılarının yaygın ve etkili olmasının nedenlerinden biri, birçok kullanıcının birden fazla uygulama ve web sitesinde aynı şifreyi kullanmasıdır.
Aşağıdaki grafikler, Yahoo! tarafından yapılan bir anketin sonuçlarını göstermektedir. JAPAN.
50 %
Altı veya daha fazla sitede aynı kimliği ve şifreyi kullanmak
60 %
Aynı şifreyi birden fazla sitede kullanma
70 %
Birincil giriş yöntemi olarak şifre kullanın
Kullanıcılar genellikle şifrelerini unutur. Şifreyle ilgili sorguların çoğu bu nedenle gerçekleşir. Şifrelerinin yanı sıra giriş kimliklerini de unutmuş olan kullanıcılardan da sorular aldık. Bu tür sorguların sayısı en yüksek seviyeye ulaştığında, hesaplarla ilgili tüm sorguların üçte birinden fazlasını oluşturuyordu.
Yahoo! JAPAN, kullanıcılara ek yük bindirmeden yalnızca güvenliği değil, kullanılabilirliği de iyileştirmeyi amaçladı.
Güvenlik açısından, şifreleri kullanıcı kimlik doğrulama sürecinden kaldırmak, liste tabanlı saldırılardan kaynaklanan hasarı azaltır. Kullanılabilirlik açısından ise şifreleri hatırlamaya dayalı olmayan bir kimlik doğrulama yöntemi sunmak, kullanıcının şifresini unuttuğu için giriş yapamadığı durumları önler.
Yahoo! JAPAN'ın şifresiz girişimleri
Yahoo! JAPAN, şifresiz kimlik doğrulamayı yaygınlaştırmak için birkaç adım atıyor. Bu adımlar genel olarak üç kategoriye ayrılabilir:
- Şifrelere alternatif bir kimlik doğrulama yöntemi sunun.
- Şifrenin devre dışı bırakılması.
- Şifresiz hesap kaydı.
İlk iki girişim mevcut kullanıcıları, şifresiz kayıt ise yeni kullanıcıları hedefliyor.
1. Şifreler için alternatif bir kimlik doğrulama yöntemi sunma
Yahoo! JAPAN, şifrelere alternatif olarak aşağıdaki seçenekleri sunar.
Ayrıca e-posta kimlik doğrulaması, SMS OTP (tek kullanımlık şifre) ile şifre ve e-posta OTP ile şifre gibi kimlik doğrulama yöntemleri de sunuyoruz.
SMS kimlik doğrulaması
SMS kimlik doğrulaması, kayıtlı bir kullanıcının SMS aracılığıyla altı haneli bir kimlik doğrulama kodu almasına olanak tanıyan bir sistemdir. Kullanıcı SMS'yi aldıktan sonra kimlik doğrulama kodunu uygulamaya veya web sitesine girebilir.
Apple, iOS'in SMS mesajlarını okumasına ve metin gövdesinden kimlik doğrulama kodları önermesine uzun zamandır izin vermektedir. Yakın zamanda, giriş öğesinin autocomplete özelliğinde "one-time-code" değerini belirterek önerileri kullanmak mümkün hale geldi. Android, Windows ve Mac'te Chrome, WebOTP API'yi kullanarak aynı deneyimi sunabilir.
Örneğin:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Her iki yaklaşım da alanı SMS gövdesine ekleyerek ve yalnızca belirtilen alan için öneriler sunarak kimlik avını önlemek üzere tasarlanmıştır.
WebOTP API ve autocomplete="one-time-code" hakkında daha fazla bilgi için SMS OTP formu en iyi uygulamalarına göz atın.
WebAuthn ile FIDO
WebAuthn ile FIDO, ortak anahtar şifre çifti oluşturmak ve sahipliği kanıtlamak için bir donanım kimlik doğrulayıcı kullanır. Kimlik doğrulayıcı olarak akıllı telefon kullanıldığında, tek adımlı iki faktörlü kimlik doğrulama gerçekleştirmek için biyometrik kimlik doğrulama (ör. parmak izi sensörleri veya yüz tanıma) ile birlikte kullanılabilir. Bu durumda, sunucuya yalnızca biyometrik kimlik doğrulamadan gelen imza ve başarı göstergesi gönderilir. Bu nedenle, biyometrik verilerin çalınması riski yoktur.
Aşağıdaki şemada, FIDO için sunucu-istemci yapılandırması gösterilmektedir. İstemci kimlik doğrulayıcı, kullanıcının kimliğini biyometri ile doğrular ve sonucu ortak anahtar kriptografisi kullanarak imzalar. İmzayı oluşturmak için kullanılan özel anahtar, TEE (Güvenilir Yürütme Ortamı) veya benzer bir konumda güvenli bir şekilde saklanır. FIDO kullanan bir hizmet sağlayıcıya RP (bağımlı taraf) denir.
Kullanıcı kimlik doğrulamasını gerçekleştirdikten sonra (genellikle biyometrik tarama veya PIN ile), kimlik doğrulayıcı, tarayıcıya imzalı bir doğrulama sinyali göndermek için özel anahtar kullanır. Tarayıcı daha sonra bu sinyali RP'nin web sitesiyle paylaşır.
Ardından RP web sitesi, imzalı doğrulama sinyalini RP'nin sunucusuna gönderir. Bu sunucu, kimlik doğrulamayı tamamlamak için imzayı herkese açık anahtarla doğrular.
Daha fazla bilgi için FIDO Alliance'ın kimlik doğrulama yönergelerini okuyun.
Yahoo! JAPAN; Android (mobil uygulama ve web), iOS (mobil uygulama ve web), Windows (Edge, Chrome, Firefox) ve macOS (Safari, Chrome) işletim sistemlerinde FIDO'yu destekler. Tüketicilere yönelik bir hizmet olan FIDO, neredeyse her cihazda kullanılabilir. Bu da şifresiz kimlik doğrulamayı tanıtmak için iyi bir seçenek olmasını sağlar.
Yahoo! JAPAN, kullanıcıların daha önce başka yöntemlerle kimlik doğrulaması yapmadıysa WebAuthn ile FIDO'ya kaydolmalarını önerir. Kullanıcıların aynı cihazla giriş yapması gerektiğinde biyometrik sensör kullanarak hızlıca kimlik doğrulaması yapabilirler.
Kullanıcıların, Yahoo!'a giriş yapmak için kullandıkları tüm cihazlarda FIDO kimlik doğrulamasını ayarlamaları gerekir. JAPAN.
Şifresiz kimlik doğrulamayı teşvik etmek ve şifre kullanmayı bırakan kullanıcılara yardımcı olmak için birden fazla kimlik doğrulama yöntemi sunuyoruz. Bu, farklı kullanıcıların farklı kimlik doğrulama yöntemi ayarlarına sahip olabileceği ve kullanabilecekleri kimlik doğrulama yöntemlerinin tarayıcıdan tarayıcıya farklılık gösterebileceği anlamına gelir. Kullanıcıların her seferinde aynı kimlik doğrulama yöntemini kullanarak giriş yapmasının daha iyi bir deneyim olduğuna inanıyoruz.
Bu koşulları karşılamak için önceki kimlik doğrulama yöntemlerini izlemek ve bu bilgileri çerez vb. biçiminde saklayarak istemciye bağlamak gerekir. Ardından, kimlik doğrulama için farklı tarayıcıların ve uygulamaların nasıl kullanıldığını analiz edebiliriz. Kullanıcıdan, ayarlarına, daha önce kullanılan kimlik doğrulama yöntemlerine ve gereken minimum kimlik doğrulama düzeyine göre uygun kimlik doğrulaması sağlaması istenir.
2. Şifrenin devre dışı bırakılması
Yahoo! JAPAN, kullanıcılardan alternatif bir kimlik doğrulama yöntemi oluşturmalarını ve ardından şifrelerini kullanılamayacak şekilde devre dışı bırakmalarını ister. Alternatif kimlik doğrulamayı ayarlamaya ek olarak, şifre kimlik doğrulamasını devre dışı bırakmak (bu nedenle yalnızca şifreyle oturum açmayı imkansız kılmak) kullanıcıları liste tabanlı saldırılara karşı korumaya yardımcı olur.
Kullanıcıları şifrelerini devre dışı bırakmaya teşvik etmek için aşağıdaki adımları attık.
- Kullanıcılar şifrelerini sıfırladığında alternatif kimlik doğrulama yöntemlerini tanıtın.
- Kullanıcıları, kullanımı kolay kimlik doğrulama yöntemleri (FIDO gibi) oluşturmaya ve sık sık kimlik doğrulama gerektiren durumlarda şifreleri devre dışı bırakmaya teşvik edin.
- Kullanıcıları, e-ticaret ödemeleri gibi yüksek riskli hizmetleri kullanmadan önce şifrelerini devre dışı bırakmaya teşvik edin.
Şifrelerini unutan kullanıcılar hesap kurtarma işlemi yapabilir. Daha önce bu işlem şifre sıfırlama içeriyordu. Artık kullanıcılar farklı bir kimlik doğrulama yöntemi ayarlayabilir. Bunu yapmalarını öneririz.
3. Şifresiz hesap kaydı
Yeni kullanıcılar şifre gerektirmeyen Yahoo! JAPAN hesapları. Kullanıcıların önce SMS kimlik doğrulamasıyla kaydolması gerekir. Kullanıcılar giriş yaptıktan sonra FIDO kimlik doğrulamasını ayarlamaları önerilir.
FIDO, cihaza özel bir ayar olduğundan cihaz kullanılamaz hale gelirse hesabı kurtarmak zor olabilir. Bu nedenle, kullanıcıların ek kimlik doğrulama ayarlarını yaptıktan sonra bile telefon numaralarını kayıtlı tutmaları gerekir.
Şifresiz kimlik doğrulamayla ilgili önemli zorluklar
Şifreler, kullanıcının hafızasına dayanır ve cihazdan bağımsızdır. Öte yandan, şifresiz girişimimizde bugüne kadar kullanıma sunulan kimlik doğrulama yöntemleri cihaza bağlıdır. Bu durum, çeşitli zorluklar ortaya çıkarır.
Birden fazla cihaz kullanıldığında kullanılabilirlikle ilgili bazı sorunlar yaşanır:
- PC'den giriş yapmak için SMS kimlik doğrulamasını kullanan kullanıcıların, gelen SMS mesajları için cep telefonlarını kontrol etmeleri gerekir. Kullanıcının telefonuna her zaman erişilebilmesi ve telefonun açık olması gerektiği için bu yöntem uygun olmayabilir.
- FIDO ile, özellikle platform kimlik doğrulayıcıları ile birden fazla cihazı olan bir kullanıcı, kayıtlı olmayan cihazlarda kimlik doğrulaması yapamaz. Kullanmak istedikleri her cihaz için kayıt işlemi tamamlanmalıdır.
FIDO kimlik doğrulaması belirli cihazlara bağlıdır. Bu nedenle, cihazların kullanıcının elinde kalması ve etkin olması gerekir.
- Hizmet sözleşmesi iptal edilirse kayıtlı telefon numarasına SMS mesajı gönderilemez.
- FIDO, özel anahtarları belirli bir cihazda saklar. Cihaz kaybolursa bu anahtarlar kullanılamaz.
Yahoo! JAPAN bu sorunları gidermek için çeşitli adımlar atmaktadır.
En önemli çözüm, kullanıcıları birden fazla kimlik doğrulama yöntemi oluşturmaya teşvik etmektir. Bu sayede, cihazlar kaybolduğunda alternatif hesap erişimi sağlanır. FIDO anahtarları cihaza bağlı olduğundan FIDO özel anahtarlarını birden fazla cihaza kaydetmek de iyi bir uygulamadır.
Alternatif olarak kullanıcılar, Android telefondan PC'deki Chrome'a SMS doğrulama kodlarını iletmek için WebOTP API'yi kullanabilir.
Şifresiz kimlik doğrulama yaygınlaştıkça bu sorunların ele alınmasının daha da önemli hale geleceğini düşünüyoruz.
Şifresiz kimlik doğrulamayı tanıtma
Yahoo! JAPAN, 2015'ten beri şifresiz girişimler üzerinde çalışıyor. Bu süreç, Mayıs 2015'te FIDO sunucu sertifikasının alınmasıyla başladı. Ardından SMS kimlik doğrulaması, şifre devre dışı bırakma özelliği ve her cihaz için FIDO desteği kullanıma sunuldu.
Günümüzde aylık etkin kullanıcı sayısı 30 milyondan fazla olan kullanıcılar şifrelerini devre dışı bırakmış ve şifre kullanmayan kimlik doğrulama yöntemlerini kullanıyor. Yahoo! JAPAN'ın FIDO desteği, Android'de Chrome ile başladı ve şu anda 10 milyondan fazla kullanıcı FIDO kimlik doğrulamasını ayarladı.
Yahoo! JAPAN'ın girişimleri sayesinde, unutulan giriş kimlikleri veya şifrelerle ilgili sorguların yüzdesi, bu tür sorguların en yüksek olduğu döneme kıyasla% 25 oranında azaldı. Ayrıca, şifresiz hesapların sayısındaki artış nedeniyle yetkisiz erişimin de azaldığını doğrulayabildik.
FIDO'nun kurulumu çok kolay olduğundan özellikle yüksek bir dönüşüm oranına sahiptir. Aslında Yahoo! JAPAN, FIDO'nun SMS kimlik doğrulamasından daha yüksek bir CVR'ye sahip olduğunu tespit etti.
25 %
Unutulmuş kimlik bilgileri isteklerinin azalması
74 %
Kullanıcılar FIDO kimlik doğrulamasıyla başarılı olur
65 %
SMS doğrulamasını başarıyla tamamlama
FIDO, SMS kimlik doğrulamasından daha yüksek bir başarı oranına ve daha hızlı ortalama ve medyan kimlik doğrulama sürelerine sahiptir. Şifrelere gelince, bazı grupların kimlik doğrulama süreleri kısa. Bunun nedeninin tarayıcı autocomplete="current-password" olmasından şüpheleniyoruz.
Şifresiz hesap sunmanın en büyük zorluğu, kimlik doğrulama yöntemlerinin eklenmesi değil, kimlik doğrulayıcıların kullanımını yaygınlaştırmaktır. Şifresiz bir hizmeti kullanma deneyimi kullanıcı dostu değilse geçiş kolay olmaz.
Daha iyi bir güvenlik elde etmek için öncelikle kullanılabilirliği iyileştirmemiz gerektiğine inanıyoruz. Bu da her hizmet için benzersiz yenilikler gerektirecektir.
Sonuç
Şifre kimlik doğrulaması güvenlik açısından risklidir ve kullanılabilirlik açısından da zorluklar oluşturur. WebOTP API ve FIDO gibi şifresiz kimlik doğrulamayı destekleyen teknolojiler artık daha yaygın olarak kullanılabildiğinden, şifresiz kimlik doğrulama üzerinde çalışmaya başlamanın zamanı geldi.
Yahoo! JAPAN, bu yaklaşımın hem kullanılabilirlik hem de güvenlik üzerinde kesin bir etkisi oldu. Ancak birçok kullanıcı hâlâ şifre kullanıyor. Bu nedenle, daha fazla kullanıcıyı şifresiz kimlik doğrulama yöntemlerine geçmeye teşvik etmeye devam edeceğiz. Ayrıca, şifresiz kimlik doğrulama yöntemleri için kullanıcı deneyimini optimize etmek amacıyla ürünlerimizi iyileştirmeye devam edeceğiz.
Fotoğraf: olieman.eth (Unsplash)