Ulteriori informazioni sul funzionamento di Yahoo! Japan ha creato un sistema di identità senza password.
Campagna Yahoo! JAPAN è una delle più grandi società di media in Giappone, fornendo servizi quali ricerca, notizie, e-commerce ed email. Oltre 50 milioni di utenti accedi a Yahoo! JAPAN ogni mese.
Nel corso degli anni, ci sono stati molti attacchi agli account utente e problemi che hanno portato alla perdita dell'accesso all'account. La maggior parte di questi problemi riguarda l'utilizzo delle password per l'autenticazione.
Grazie ai recenti progressi nella tecnologia di autenticazione, Yahoo! JAPAN ha deciso passare dall'autenticazione basata su password a quella senza password.
Perché senza password?
Poiché Yahoo! JAPAN offre servizi di e-commerce e di altro tipo legati al denaro, c'è rischio di danni significativi agli utenti in caso di accesso non autorizzato o perdita di account.
Gli attacchi più comuni correlati alle password sono stati quelli agli elenchi di password e frodi di phishing. Uno dei motivi per cui gli attacchi agli elenchi di password sono comuni efficace è l'abitudine di molti utenti di usare la stessa password per più applicazioni e siti web.
Le cifre riportate di seguito sono i risultati di un sondaggio condotto da Yahoo! GIAPPONE.
50 %
usare lo stesso ID e la stessa password su sei o più siti
60 %
Utilizzare la stessa password su più siti
70 %
usa una password come metodo principale per accedere
Gli utenti spesso dimenticano la password, il che rappresenta la maggior parte dei richieste di informazioni relative alle password. Ci sono state anche richieste di informazioni da parte di utenti che hanno ha dimenticato gli ID di accesso oltre alle password. Al loro apice, questi richieste rappresentavano più di un terzo di tutte le richieste relative all'account.
Passando senza password, Yahoo! JAPAN non solo puntava a migliorare la sicurezza, ma anche l'usabilità, senza sovraccaricare gli utenti.
Dal punto di vista della sicurezza, l'eliminazione delle password dall'utente il processo di autenticazione riduce i danni causati da attacchi basati su elenchi e dal punto di vista dell'usabilità, fornendo un metodo di autenticazione che non si basa sulla memorizzazione delle password impedisce situazioni in cui un utente non sia in grado di accedere perché hanno dimenticato la password.
Campagna Yahoo! Iniziative del JAPAN senza password
Campagna Yahoo! JAPAN sta attuando una serie di misure per promuovere l'assenza di password di autenticazione, che possono essere suddivise in tre categorie generali:
- Fornire un metodo di autenticazione alternativo alle password.
- Disattivazione password.
- Registrazione account senza password.
Le prime due iniziative erano rivolte agli utenti esistenti, senza usare password la registrazione è rivolta ai nuovi utenti.
1. Fornire un mezzo di autenticazione alternativo alle password
Campagna Yahoo! JAPAN offre le seguenti alternative alle password.
Offriamo anche metodi di autenticazione come l'email autenticazione, password combinata con OTP via SMS (password monouso) e password combinata con OTP via email.
Autenticazione SMS
L'autenticazione SMS è un sistema che consente a un utente registrato di ricevere un un codice di autenticazione a sei cifre tramite SMS. Quando l'utente riceve l'SMS, possono inserire il codice di autenticazione nell'app o nel sito web.
Apple consente da tempo a iOS di leggere gli SMS e suggerire l'autenticazione
i codici dal corpo del testo. Di recente, è possibile utilizzare i suggerimenti
che specifica il codice monouso nell'attributo autocomplete dell'input
. Chrome su Android, Windows e Mac può fornire la stessa esperienza
utilizzando l'API WebOTP.
Ad esempio:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Entrambi gli approcci sono progettati per prevenire il phishing includendo il dominio nella il corpo dell'SMS e fornisce suggerimenti solo per il dominio specificato.
Per ulteriori informazioni sull'API WebOTP e su autocomplete="one-time-code",
consulta le best practice per i moduli OTP via SMS.
FIDO con WebAuthn
FIDO con WebAuthn utilizza un autenticatore hardware per generare una chiave pubblica una coppia crittografica e dimostrare il possesso. Quando lo smartphone viene utilizzato come di autenticazione, può essere combinata con l'autenticazione biometrica (ad esempio sensori di impronte digitali o riconoscimento facciale) per eseguire l'autenticazione a due fattori in un solo passaggio autenticazione. In questo caso, solo la firma e l'indicazione di operazione riuscita provenienti dall'autenticazione biometrica vengono inviati al server, quindi non c'è alcun rischio dei furti di dati biometrici.
Il seguente diagramma mostra la configurazione server-client per FIDO. La l'autenticazione client autentica l'utente con la biometria e firma il utilizzando la crittografia a chiave pubblica. La chiave privata utilizzata per creare la firma viene archiviata in modo sicuro in un TEE (Trusted Execution Environment) o località simile. Un fornitore di servizi che utilizza il protocollo FIDO è chiamato RP (parte utilizzante).
Una volta che l'utente esegue l'autenticazione (in genere con una scansione biometrica o un PIN), l'autenticatore utilizza una chiave privata per inviare un segnale di verifica firmato al browser. Il browser condivide quindi questo segnale con il sito web della parte soggetta a limitazioni.
Il sito web della parte soggetta a limitazioni invia quindi il segnale di verifica firmato al server della parte soggetta a limitazioni, che verifica la firma a fronte della chiave pubblica per completare l'autenticazione.
Per ulteriori informazioni, consulta linee guida per l'autenticazione della FIDO Alliance.
Campagna Yahoo! JAPAN supporta FIDO su Android (app mobile e web), iOS (app mobile e web), Windows (Edge, Chrome, Firefox) e macOS (Safari, Chrome). Come assistenza ai consumatori, il protocollo FIDO può essere utilizzato su quasi tutti i dispositivi, il che lo rende una buona per promuovere l'autenticazione senza password.
Campagna Yahoo! JAPAN consiglia agli utenti di registrarsi a FIDO con WebAuthn se hanno non ancora autenticati con altri mezzi. Quando un utente deve eseguire l'accesso con lo stesso dispositivo, possono autenticarsi rapidamente usando un sensore biometrico.
Gli utenti devono configurare l'autenticazione FIDO per tutti i dispositivi che utilizzano per accedere Funzionalità di Yahoo! GIAPPONE.
Per promuovere l'autenticazione senza password e prestare attenzione agli utenti che abbandonando le password, forniamo diversi mezzi per autenticazione. Ciò significa che utenti diversi possono avere le impostazioni dei metodi di autenticazione e i metodi di autenticazione utilizzabili potrebbero variare in base al browser. Riteniamo che sia un'esperienza migliore Gli utenti accedono utilizzando ogni volta lo stesso metodo di autenticazione.
Per soddisfare questi requisiti, è necessario monitorare le autenticazioni precedenti e di collegare queste informazioni al cliente archiviandole sotto forma di cookie ecc. Possiamo quindi analizzare i diversi browser e le varie applicazioni utilizzati per l'autenticazione. All'utente viene chiesto di fornire l'autenticazione basata sulle impostazioni dell'utente, l'autenticazione precedente metodi utilizzati e il livello minimo di autenticazione richiesto.
2. Disattivazione password
Campagna Yahoo! JAPAN chiede agli utenti di impostare un metodo di autenticazione alternativo e quindi disattiva la password in modo che non possa essere utilizzata. Oltre a impostare l'autenticazione alternativa, disattivando l'autenticazione tramite password (quindi rendendo impossibile l'accesso solo con una password) contribuisce a proteggere gli utenti basati sugli elenchi.
Abbiamo adottato le seguenti misure per incoraggiare gli utenti a disattivare i loro password.
- Promozione di metodi di autenticazione alternativi quando gli utenti reimpostano le password.
- Incoraggiare gli utenti a configurare metodi di autenticazione facili da usare (come FIDO) e disabilitare le password nei casi che richiedono autenticazione.
- Sollecitare gli utenti a disattivare la propria password prima di utilizzare servizi ad alto rischio. come i pagamenti e-commerce.
Se un utente dimentica la password, può eseguire un recupero dell'account. In precedenza comportava la reimpostazione della password. Ora gli utenti possono scegliere di configurare metodo di autenticazione e invitiamo gli utenti a farlo.
3. Registrazione di account senza password
I nuovi utenti possono creare account Yahoo! JAPAN. Gli utenti sono prima richiesta per la registrazione con autenticazione SMS. Una volta che avranno eseguito l'accesso, Invita l'utente a configurare l'autenticazione FIDO.
Poiché il FIDO è un'impostazione specifica per ogni dispositivo, può essere difficile recuperare un account. qualora il dispositivo dovesse diventare inutilizzabile. Pertanto, chiediamo agli utenti di mantenere numero di telefono registrato, anche dopo aver configurato un'autenticazione aggiuntiva.
Verifiche principali per l'autenticazione senza password
Le password si basano sulla memoria umana e sono indipendenti dal dispositivo. D'altra parte, i metodi di autenticazione introdotti finora nella nostra iniziativa senza password dipendono dal dispositivo. Ciò presenta diverse sfide.
Quando vengono utilizzati più dispositivi, si verificano alcuni problemi relativi all'usabilità:
- Quando utilizzano l'autenticazione SMS per accedere da un PC, gli utenti devono controllare la propria telefono cellulare per ricevere SMS in arrivo. Questo può essere scomodo perché richiede che lo smartphone dell'utente sia disponibile e facilmente accessibile in qualsiasi momento.
- Con FIDO, soprattutto con gli autenticatori della piattaforma, un utente con più non sarà in grado di eseguire l'autenticazione su dispositivi non registrati. La registrazione deve essere completata per ogni dispositivo che intendono utilizzare.
L'autenticazione FIDO è collegata a dispositivi specifici, il che richiede che rimangano in il possesso dell'utente e sia attivo.
- Se il contratto di servizio viene annullato, non sarà più possibile inviare SMS al numero di telefono registrato.
- FIDO archivia le chiavi private su un dispositivo specifico. In caso di smarrimento del dispositivo, sono inutilizzabili.
Campagna Yahoo! JAPAN sta adottando varie misure per risolvere questi problemi.
La soluzione più importante è incoraggiare gli utenti a configurare più metodi di autenticazione. In questo modo viene fornito un accesso all'account alternativo quando i dispositivi si perdono. Poiché le chiavi FIDO dipendono dal dispositivo, è buona norma Registrare chiavi private FIDO su più dispositivi.
In alternativa, gli utenti possono utilizzare l'API WebOTP per superare la verifica tramite SMS da uno smartphone Android a Chrome su PC.
Riteniamo che affrontare questi problemi diventerà ancora più importante man mano che l'autenticazione senza password
Promozione dell'autenticazione senza password
Campagna Yahoo! JAPAN lavora a queste iniziative senza password dal 2015. Tutto questo è iniziato con l'acquisizione della certificazione per i server FIDO nel maggio 2015. seguita dall'introduzione dell'autenticazione SMS, della disattivazione tramite password e il supporto FIDO per ciascun dispositivo.
Oggi, più di 30 milioni di utenti attivi mensili hanno già disattivato la propria password e utilizzano metodi di autenticazione diversi da password. Campagna Yahoo! JAPAN il supporto per FIDO è iniziato con Chrome su Android e ora più di 10 milioni utenti hanno configurato l'autenticazione FIDO.
Per effetto di Yahoo! le iniziative di JAPAN, la percentuale di richieste che includono password o ID di accesso dimenticati è diminuita del 25% rispetto periodo in cui il numero di tali richieste è stato al massimo e abbiamo anche è stato possibile confermare che un accesso non autorizzato è stato rifiutato a causa del del numero di account senza password.
Poiché il protocollo FIDO è così facile da configurare, ha un tasso di conversione particolarmente elevato. Infatti, Yahoo! JAPAN ha rilevato che FIDO ha un CVR più elevato rispetto a SMS autenticazione.
25 %
Diminuzione delle richieste per credenziali dimenticate
74 %
Gli utenti hanno esito positivo con l'autenticazione FIDO
65 %
Esegui la verifica tramite SMS
FIDO ha una percentuale di successo maggiore rispetto all'autenticazione SMS, oltre a una media e a uno
tempi medi di autenticazione. Per quanto riguarda le password, alcuni gruppi hanno brevi
tempi di autenticazione e sospettiamo che la causa sia la
autocomplete="current-password"
La maggiore difficoltà per offrire account senza password non è l'aggiunta dei metodi di autenticazione, ma che rende più popolare l'uso degli autenticatori. Se l'esperienza di utilizzo di un servizio senza password non è facile da usare, la transizione non sarà facile.
Crediamo che per ottenere una maggiore sicurezza dobbiamo prima migliorare l'usabilità, il che richiederà innovazioni uniche per ogni servizio.
Conclusione
L'autenticazione tramite password è rischiosa in termini di sicurezza e comporta anche sfide in termini di usabilità. Ora che le tecnologie che supportano l'autenticazione non basata su password, come API WebOTP e FIDO, sono più ampiamente utilizzate disponibile, è il momento di iniziare a lavorare verso un'autenticazione senza password.
Presso Yahoo! JAPAN, questo approccio ha avuto un netto effetto su entrambi usabilità e sicurezza. Tuttavia, molti utenti utilizzano ancora le password, quindi continuerà a incoraggiare un numero maggiore di utenti a passare all'autenticazione senza password di machine learning. Continueremo inoltre a migliorare i nostri prodotti per ottimizzare l'esperienza utente per i metodi di autenticazione senza password.
Foto di olieman.eth su Unsplash