Yahoo! بفضل المصادقة بدون كلمة مرور في اليابان، انخفضت الاستفسارات بنسبة 25%، كما زادت من وقت تسجيل الدخول بمقدار 2.6 مرة.

تعرّف على كيفية استخدام Yahoo! أنشأت اليابان نظامًا للهوية بدون كلمات مرور.

Eiji Kitamura

Alexandra Klepper

Yuya Ito

Yahoo! اليابان هي واحدة من أكبر الشركات الإعلامية في اليابان، حيث توفر خدمات مثل البحث والأخبار والتجارة الإلكترونية والبريد الإلكتروني. أكثر من 50 مليون مستخدم تسجيل الدخول إلى Yahoo! خدمات اليابان كل شهر

على مر السنين، تعرّضت حسابات المستخدمين بالعديد من الهجمات والمشاكل التي فقدان إمكانية الوصول إلى الحساب كانت معظم هذه المشاكل متعلقة باستخدام كلمة المرور. للمصادقة.

وبفضل التطورات الحديثة في تقنية المصادقة، يطلق Yahoo! قررت اليابان الانتقال من المصادقة المستندة إلى كلمة المرور إلى المصادقة بدون كلمة مرور.

ما أهمية عدم استخدام كلمات مرور؟

بما أن Yahoo! تقدم اليابان خدمات التجارة الإلكترونية وغيرها من الخدمات المتعلقة بالمال، حدوث ضرر جسيم للمستخدمين في حالة الوصول غير المصرح به أو فقدان الحساب

كانت الهجمات الأكثر شيوعًا المتعلقة بكلمات المرور هي هجمات قائمة كلمات المرور و وعمليات الخداع المتعلقة بالتصيّد الاحتيالي إن أحد أسباب شيوع الهجمات على قائمة كلمات المرور فعالية هي عادة العديد من الأشخاص في استخدام نفس كلمة المرور لعدة مواقع التطبيقات ومواقع الويب.

الأرقام التالية هي نتائج استطلاع أجرته Yahoo! اليابان.

50 _%

استخدام المعرّف وكلمة المرور نفسيهما على ستة مواقع أو أكثر

60 _%

استخدام كلمة المرور نفسها في عدة مواقع إلكترونية

70 _%

استخدام كلمة مرور كطريقة أساسية لتسجيل الدخول

غالبًا ما ينسى المستخدمون كلمات المرور، والتي كانت تمثل غالبية المتعلقة بكلمة المرور. كانت هناك أيضًا استفسارات من المستخدمين الذين لديهم نسيان أرقام تعريف تسجيل الدخول إلى جانب كلمات المرور في ذروتها، هذه أكثر من ثلث جميع الاستفسارات المتعلقة بالحساب.

من خلال عدم استخدام كلمات مرور، Yahoo! لا تهدف اليابان إلى تحسين مستوى الأمان فحسب، وسهولة الاستخدام، دون وضع أي عبء إضافي على المستخدمين.

من منظور الأمان، إزالة كلمات المرور من المستخدم تعمل عملية المصادقة على تقليل الضرر الناجم عن الهجمات المستندة إلى القوائم، ومن منظور سهولة الاستخدام، ويوفر طريقة مصادقة لا تعتمد إنّ تذكُّر كلمات المرور يمنع المستخدمين من تسجيل الدخول لأنهم نسوا كلمة المرور.

Yahoo! مبادرات اليابان التي لا تستخدم كلمات مرور

Yahoo! تتخذ اليابان عددًا من الخطوات للترويج بدون استخدام كلمات المرور المصادقة، والتي يمكن تقسيمها على نطاق واسع إلى ثلاث فئات:

1. توفير وسيلة بديلة لمصادقة كلمات المرور.
2. إلغاء تفعيل كلمة المرور.
3. تسجيل الحساب بدون استخدام كلمة مرور

أول مبادرتين تستهدف المستخدمين الحاليين، بدون استخدام كلمات المرور للمستخدمين الجدد.

1. توفير وسائل مصادقة بديلة لكلمات المرور

Yahoo! تقدّم اليابان البدائل التالية لكلمات المرور.

1. مصادقة الرسائل القصيرة
2. FIDO باستخدام WebAuthn

بالإضافة إلى ذلك، نقدّم أيضًا طرقًا للمصادقة، مثل البريد الإلكتروني. المصادقة، وكلمة المرور إلى جانب كلمة المرور الصالحة لمرة واحدة (OTP) عبر الرسائل القصيرة SMS كلمة المرور إلى جانب كلمة المرور لمرة واحدة في البريد الإلكتروني.

مصادقة الرسائل القصيرة

مصادقة الرسائل القصيرة SMS هي نظام يتيح للمستخدم المسجل بتلقي رمز مصادقة مكوَّن من ستة أرقام عبر رسالة SMS. وبمجرد أن يتلقى المستخدم الرسالة القصيرة، يمكنهم إدخال رمز المصادقة في التطبيق أو الموقع الإلكتروني

تسمح شركة Apple لنظام التشغيل iOS منذ فترة طويلة بقراءة رسائل SMS واقتراح المصادقة. الرموز من نص النص. وأصبح من الممكن مؤخرًا استخدام الاقتراحات مع تحديد "رمز لمرة واحدة" في السمة autocomplete للإدخال العنصر. يمكن لمتصفّح Chrome على Android وWindows وMac تقديم التجربة نفسها. باستخدام WebOTP API.

على سبيل المثال:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>

if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

تم تصميم كلا الأسلوبين لمنع التصيد الاحتيالي من خلال تضمين النطاق في نص الرسالة القصيرة SMS ويقدم اقتراحات للنطاق المحدد فقط.

لمزيد من المعلومات حول واجهة برمجة التطبيقات WebOTP API وautocomplete="one-time-code"، يُرجى الاطّلاع على أفضل الممارسات المتعلّقة بنموذج كلمة المرور لمرة واحدة (OTP) عبر الرسائل القصيرة.

FIDO باستخدام WebAuthn

FIDO مع WebAuthn يستخدم أداة مصادقة للأجهزة لإنشاء مفتاح عام زوج التشفير وإثبات حيازته. عند استخدام هاتف ذكي برنامج المصادقة، فيمكن دمجه مع المصادقة بالمقاييس الحيوية (مثل أدوات استشعار بصمة الإصبع أو التعرّف على الوجوه) لتنفيذ إجراء ثنائي الخطوة المصادقة. في هذه الحالة، لن يتجاوز التوقيع ومؤشر النجاح فقط من المصادقة بالمقاييس الحيوية إلى الخادم، لذلك ليست هناك مخاطر لسرقة بيانات المقاييس الحيوية.

يوضح المخطّط التالي تهيئة خادم العميل لـ FIDO. تشير رسالة الأشكال البيانية يصادق برنامج المصادقة على المستخدم باستخدام المقاييس الحيوية ويوقّع النتيجة باستخدام تشفير المفتاح العام. المفتاح الخاص المستخدم لإنشاء يتم تخزين التوقيع بأمان في بيئة تنفيذ موثوقة (TEE). أو موقع جغرافي مشابه يُطلق على مقدم الخدمة الذي يستخدم FIDO اسم الجهة المحظورة (جهة اعتماد).

لمزيد من المعلومات، يُرجى قراءة إرشادات المصادقة من تحالف FIDO Alliance.

Yahoo! تتوافق اليابان مع FIDO على أجهزة Android (تطبيق للأجهزة الجوّالة والويب) وiOS (التطبيق المتوافق مع الأجهزة الجوّالة). والويب) وWindows (Edge وChrome وFirefox) وmacOS (Safari وChrome). نتيجة لذلك، أُنشئت مكتبة مات بلوت ليب في خدمة المستهلك، يمكن استخدام FIDO على أي جهاز تقريبًا، مما يجعله لترويج المصادقة بدون استخدام كلمات المرور.

Yahoo! تنصح JAPAN المستخدمين بالتسجيل في FIDO باستخدام WebAuthn، إذا سبق لهم التسجيل لم تتم مصادقتها من قبل من خلال وسائل أخرى. عندما يحتاج المستخدم إلى تسجيل الدخول باستخدام نفس الجهاز، يمكنهم المصادقة بسرعة باستخدام أداة استشعار للمقاييس الحيوية.

على المستخدمين إعداد مصادقة FIDO على جميع الأجهزة التي يستخدمونها لتسجيل الدخول إلى Yahoo! اليابان.

لتعزيز المصادقة بدون استخدام كلمات المرور ومراعاة احتياجات المستخدمين والتحول من كلمات المرور، فإننا نوفر وسائل متعددة المصادقة. هذا يعني أن المستخدمين المختلفين يمكن أن يكون لديهم وإعدادات طريقة المصادقة وطرق المصادقة التي يمكنهم استخدامها من متصفح إلى آخر. نعتقد أنها ستكون تجربة أفضل إذا يسجّل المستخدمون الدخول باستخدام طريقة المصادقة نفسها في كل مرة.

ولاستيفاء هذه المتطلبات، من الضروري تتبع المصادقة السابقة وربط هذه المعلومات بالعميل من خلال تخزينها على شكل وملفات تعريف الارتباط وما إلى ذلك. يمكننا بعد ذلك تحليل كيفية عمل المتصفحات والتطبيقات المختلفة يُستخدم للمصادقة. يُطلب من المستخدم تقديم معلومات المصادقة استنادًا إلى إعدادات المستخدم، الطرق المستخدمة، والحد الأدنى لمستوى المصادقة المطلوب.

2. إلغاء تفعيل كلمة المرور

Yahoo! تطلب اليابان من المستخدمين إعداد طريقة مصادقة بديلة ثم إيقاف كلمة مروره حتى لا يمكن استخدامها. بالإضافة إلى إعداد مصادقة بديلة، وتعطيل مصادقة كلمة المرور (وبالتالي جعل من المستحيل تسجيل الدخول باستخدام كلمة مرور فقط) في حماية المستخدمين من الهجمات المستندة إلى القوائم.

لقد اتخذنا الخطوات التالية لتشجيع المستخدمين على إيقاف كلمات المرور.

• الترويج لطرق مصادقة بديلة عندما يعيد المستخدمون ضبط كلمات المرور
• يمكن أن يؤدي تشجيع المستخدمين على إعداد طرق مصادقة سهلة الاستخدام (مثل FIDO) وتعطيل كلمات المرور في الحالات التي تتطلب تكرارًا المصادقة.
• حث المستخدمين على تعطيل كلمات المرور قبل استخدام الخدمات عالية الخطورة، مثل دفعات التجارة الإلكترونية.

إذا نسي مستخدم كلمة المرور، يمكنه إجراء عملية استرداد للحساب. سابقًا تطلب ذلك إعادة تعيين كلمة المرور. الآن، يمكن للمستخدمين اختيار إعداد طريقة المصادقة، ونحن نشجعهم على ذلك.

3- تسجيل الحساب بدون كلمة مرور

يمكن للمستخدمين الجدد إنشاء حساب Yahoo! بدون كلمة مرور الحسابات اليابانية. المستخدمون هم في المقام الأول مطلوب للتسجيل باستخدام مصادقة الرسائل القصيرة. بعد تسجيلهم الدخول، تشجيع المستخدم على إعداد مصادقة FIDO

نظرًا لأن FIDO عبارة عن إعداد لكل جهاز، فقد يكون من الصعب استرداد الحساب، في حال توقف الجهاز عن العمل. لذلك، نطلب من المستخدمين الاحتفاظ رقم هاتفك المسجل، حتى بعد إعداد مصادقة إضافية.

التحديات الرئيسية للمصادقة بدون كلمة مرور

تعتمد كلمات المرور على الذاكرة البشرية وهي مستقلة عن الجهاز. من ناحية أخرى، طُرق المصادقة التي تم تقديمها حتى الآن في مبادرتنا بدون كلمات مرور تعتمد على الجهاز. وهذا يفرض عدة تحديات.

عند استخدام أجهزة متعددة، تكون هناك بعض المشاكل المتعلقة بسهولة الاستخدام:

• عند استخدام مصادقة الرسائل القصيرة لتسجيل الدخول من جهاز كمبيوتر، يجب على المستخدمين التحقق من الهاتف الجوال للرسائل القصيرة الواردة. قد يكون هذا غير مريح، حيث تتطلب أن يكون هاتف المستخدم متاحًا ويسهل الوصول إليه في أي وقت.
• وباستخدام FIDO، خاصةً مع مصادقات النظام الأساسي، يستطيع المستخدم الذي يمتلك عدة فلن تتمكن الأجهزة من المصادقة على الأجهزة غير المسجلة. ويجب إكمال التسجيل لكل جهاز ينوي استخدامه.

ترتبط مصادقة FIDO بأجهزة محدّدة، ما يتطلب أن تظل في وحيازة المستخدم ونشطته.

• إذا تم إلغاء عقد الخدمة، لن تتمكن من إرسال الرسالة. إرسال الرسائل القصيرة إلى رقم الهاتف المسجَّل.
• يخزِّن FIDO المفاتيح الخاصة على جهاز معيّن. في حالة فقدان الجهاز، فإن تلك تكون المفاتيح غير قابلة للاستخدام.

Yahoo! تتخذ اليابان خطوات مختلفة لمعالجة هذه المشاكل.

الحل الأهم هو تشجيع المستخدمين على إعداد ملفات طرق المصادقة. يوفّر ذلك إمكانية الوصول البديل إلى الحساب عندما تستخدم الأجهزة وتفقدها. نظرًا لأن مفاتيح FIDO تعتمد على الجهاز، فمن الممارسات الجيدة أيضًا تسجيل مفاتيح FIDO الخاصة على أجهزة متعددة.

بدلاً من ذلك، يمكن للمستخدمين استخدام WebOTP API لاجتياز عملية التحقّق من خلال الرسائل القصيرة SMS. الرموز البرمجية من هاتف Android إلى Chrome على جهاز الكمبيوتر الشخصي.

ونعتقد أن معالجة هذه المشكلات ستصبح أكثر أهمية تنتشر المصادقة بدون كلمات مرور.

الترويج للمصادقة بدون كلمات مرور

Yahoo! تعمل JAPAN على هذه المبادرات بدون كلمات المرور منذ عام 2015. وبدأت هذه الخطوة باكتساب شهادة خادم FIDO في أيار (مايو) 2015، ثم طرحت خدمة مصادقة الرسائل القصيرة SMS، وإلغاء تفعيل كلمة المرور و FIDO لكل جهاز.

واليوم، أوقف أكثر من 30 مليون مستخدم نشط شهريًا كلمات المرور وتستخدم طرق مصادقة غير كلمة المرور. Yahoo! اليابان وبدأ دعم FIDO باستخدام متصفّح Chrome على أجهزة Android، وأصبح الآن أكثر من 10 ملايين مستخدم قام المستخدمون بإعداد مصادقة FIDO.

نتيجة لـ Yahoo! مبادرات اليابان، ونسبة الاستفسارات التي تتضمن كلمات مرور أو معرّفات تسجيل دخول منسيّة انخفضت بنسبة% 25 مقارنةً الفترة التي بلغ فيها عدد هذه الاستفسارات أعلى مستوياته، وسجّلنا أيضًا من تأكيد رفض الوصول غير المُصرّح به نتيجة زيادة عدد الحسابات التي لا تستخدم كلمات مرور.

نظرًا لسهولة إعداد FIDO، فهو يتميّز بمعدل إحالة ناجحة مرتفع بصفة خاصة. في الواقع، Yahoo! في اليابان، تبيّن أنّ معدّل الإحالات الناجحة في FIDO أعلى من معدّل الإحالات الناجحة للرسائل القصيرة. المصادقة.

25 _%

انخفاض في طلبات بيانات الاعتماد المنسية

74 _%

نجاح المستخدمين باستخدام مصادقة FIDO

65 _%

تم إكمال عملية إثبات الهوية باستخدام الرسائل القصيرة.

يتميز FIDO بمعدل نجاح أعلى من مصادقة الرسائل القصيرة SMS ومتوسط وسرعة أكبر متوسط أوقات المصادقة. وبالنسبة إلى كلمات المرور، فإن بعض المجموعات لديها اختصارات وقت المصادقة، ونشتبه في أن هذا بسبب autocomplete="current-password"

إنّ الصعوبة الأكبر في توفير حسابات بدون كلمات مرور ليست هي الإضافة من طرق المصادقة، ولكن مع نشر استخدام أدوات المصادقة. إذا لم تكن تجربة استخدام خدمة بدون كلمة مرور سهلة الاستخدام، لن يكون الانتقال سهلاً.

ونعتقد أنه من أجل تحسين مستوى الأمان، علينا أولاً تحسين سهولة الاستخدام، والتي ستتطلب ابتكارات فريدة لكل خدمة.

الخاتمة

تُعد مصادقة كلمات المرور خطرة من حيث الأمان، كما أنها والتحديات المتعلقة بسهولة الاستخدام. الآن وقد أصبحت التقنيات التي تدعم صارت المصادقة بدون كلمة مرور مثل واجهة برمجة التطبيقات WebOTP API وFIDO على نطاق أوسع متاحة، حان الوقت لبدء العمل على المصادقة بدون كلمات مرور.

في Yahoo! في اليابان، كان لاستخدام هذا النهج تأثير واضح على سهولة الاستخدام والأمان. ومع ذلك، لا يزال العديد من المستخدمين يستخدمون كلمات المرور، ولذلك في تشجيع المزيد من المستخدمين على التبديل إلى المصادقة بدون كلمات مرور الطرق. سنواصل أيضًا تحسين منتجاتنا لتحسين تجربة المستخدم باستخدام طرق المصادقة بدون كلمات مرور.

صورة بواسطة olieman.eth على قناة Unspark