Dowiedz się, jak usługi Yahoo! Japan stworzyła system tożsamości bez haseł.
Yahoo! JAPAN to jedna z największych firm medialnych w Japonii, takie jak wyszukiwarka, wiadomości, e-commerce i e-mail. Ponad 50 milionów użytkowników zaloguj się w Yahoo! JAPAN.
W latach pojawiło się wiele ataków na konta użytkowników i problemów, z powodu utraty dostępu do konta. Większość tych problemów była związana z używaniem haseł do uwierzytelniania.
Dzięki niedawnym rozwojowi technologii uwierzytelniania Yahoo! JAPAN przejść z uwierzytelniania opartego na haśle na uwierzytelnianie bez hasła.
Dlaczego warto korzystać bez hasła?
Ponieważ Yahoo! JAPAN oferuje e-commerce i inne usługi związane z pieniędzmi, mogą spowodować poważne szkody użytkownikom w wyniku nieupoważnionego dostępu lub utraty konta.
Najczęstszymi atakami związanymi z hasłami były ataki z wykorzystaniem listy haseł. wyłudzania informacji. Jednym z powodów powszechnych ataków z wykorzystaniem listy haseł skuteczność polega na tym, że wiele osób używa tego samego hasła w wielu, aplikacji i witryn.
Wyniki ankiety przeprowadzonej przez Yahoo! Japan.
50 %
ten sam identyfikator i hasło w co najmniej 6 witrynach
60 %
Używanie tego samego hasła na wielu stronach
70 %
używanie hasła jako głównej metody logowania się
Użytkownicy często zapominają hasła, co stanowiło większość zapytań dotyczących haseł. Pojawiały się również pytania użytkowników, którzy zapomnieli identyfikatora logowania, a nie hasła. W szczycie sezonu stanowiło ponad jedną trzecią wszystkich zapytań dotyczących konta.
Przejście bez hasła Japan chciała zwiększyć nie tylko bezpieczeństwo, łatwość obsługi, nie obciążając użytkowników.
Z perspektywy bezpieczeństwa usunięcie haseł u użytkownika ogranicza szkody spowodowane przez ataki przy użyciu list oraz i łatwości obsługi, co zapewnia metodę uwierzytelniania, która nie wymaga na zapamiętywanie haseł zapobiega sytuacjom, w których użytkownik nie może się zalogować ponieważ nie pamiętali hasła.
Yahoo! Japan
Yahoo! JAPAN podejmuje szereg działań, aby promować nieużywanie haseł które można ogólnie podzielić na 3 kategorie:
- Udostępnij alternatywne metody uwierzytelniania haseł.
- Dezaktywacja hasła.
- Rejestracja konta bez hasła.
Pierwsze 2 inicjatywy skierowane do obecnych użytkowników jest kierowane do nowych użytkowników.
1. Udostępnianie alternatywnych sposobów uwierzytelniania haseł
Yahoo! JAPAN oferuje następujące alternatywy dla haseł.
Dostępne są też metody uwierzytelniania, takie jak za pomocą poczty e-mail uwierzytelniania, hasła w połączeniu z hasłem jednorazowym (SMS) i hasłem jednorazowym. i hasła jednorazowego wysyłanego e-mailem.
Uwierzytelnianie SMS-ów
Uwierzytelnianie SMS to system umożliwiający zarejestrowanemu użytkownikowi 6-cyfrowy kod weryfikacyjny wysłany SMS-em. Gdy użytkownik otrzyma SMS-a, wpisz kod uwierzytelniający w aplikacji lub na stronie internetowej.
Apple od dawna pozwala iOS na odczytywanie SMS-ów i sugerowanie uwierzytelniania
z treści tekstu. Ostatnio można korzystać z sugestii przez
określenie „kod jednorazowy” w atrybucie autocomplete danych wejściowych
. Przeglądarka Chrome na urządzeniach z systemem Android, Windows i macOS może działać tak samo
za pomocą interfejsu WebOTP API.
Na przykład:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Oba sposoby mają na celu zapobieganie wyłudzaniu informacji przez umieszczenie domeny treść SMS-a i sugestie tylko dla określonej domeny.
Aby dowiedzieć się więcej o interfejsie WebOTP API i autocomplete="one-time-code",
zapoznaj się ze sprawdzonymi metodami korzystania z formularzy do generowania haseł jednorazowych SMS-ów.
FIDO z WebAuthn
FIDO z WebAuthn wykorzystuje sprzętowy mechanizm uwierzytelniania do generowania klucza publicznego za pomocą pary szyfrów i udowodnić posiadanie. Gdy smartfon jest używany jako uwierzytelniający, można go połączyć z uwierzytelnieniem biometrycznym (takim jak czytnika linii papilarnych lub rozpoznawania twarzy) do weryfikacji uwierzytelnianie. W tym przypadku tylko podpis i oznaka powodzenia dane z uwierzytelniania biometrycznego są wysyłane na serwer, więc nie ma ryzyka kradzieży danych biometrycznych.
Poniższy diagram przedstawia konfigurację serwer-klient dla FIDO. Aplikacja uwierzytelniająca klienta uwierzytelnia użytkownika za pomocą danych biometrycznych i podpisuje z użyciem kryptografii klucza publicznego. Klucz prywatny użyty do utworzenia podpis jest bezpiecznie przechowywany w zaufanym środowisku wykonawczym TEE (Trusted Execution Environment). lub podobnej lokalizacji. Dostawca usług korzystający z FIDO jest nazywany RP. (strona uzależniona).
Gdy użytkownik przeprowadzi uwierzytelnianie (zwykle za pomocą skanowania biometrycznego lub kodu PIN), mechanizm uwierzytelniający używa klucza prywatnego, aby wysłać podpisany sygnał weryfikacyjny do przeglądarki. Następnie przeglądarka udostępnia ten sygnał witrynie RP.
Następnie witryna RP wysyła podpisany sygnał weryfikacyjny do serwera RP, który weryfikuje podpis z kluczem publicznym, aby dokończyć uwierzytelnianie.
Więcej informacji: wytycznymi uwierzytelniania FIDO Alliance.
Yahoo! JAPAN obsługuje protokół FIDO na urządzeniach z Androidem (aplikacje mobilne i internet) oraz na iOS (aplikacje mobilne) i internet), Windows (Edge, Chrome, Firefox) i macOS (Safari, Chrome). Jako standardu FIDO można stosować na prawie każdym urządzeniu, do promowania uwierzytelniania bez hasła.
Yahoo! JAPAN zaleca, aby użytkownicy rejestrowali się w systemie FIDO za pomocą WebAuthn, nie zostało jeszcze uwierzytelnione w inny sposób. Gdy użytkownik musi się zalogować używając tego samego urządzenia, mogą szybko uwierzytelnić się za pomocą czujnika biometrycznego.
Użytkownicy muszą skonfigurować uwierzytelnianie FIDO na wszystkich urządzeniach, na których logują się Grupy reklam Yahoo! Japan.
promować uwierzytelnianie bez hasła i wzajemnie szanować użytkowników, którzy odchodzimy od haseł, oferujemy wiele sposobów uwierzytelnianie. Oznacza to, że różni użytkownicy mogą mieć różne ustawienia metod uwierzytelniania, a także metody, których mogą używać może różnić się w zależności od przeglądarki. Naszym zdaniem wygodniejsza jest loguje się przy użyciu tej samej metody uwierzytelniania.
Aby spełnić te wymagania, musisz śledzić wcześniejsze uwierzytelnianie i wiąż te informacje z klientem, zapisując je w postaci itp. Możemy przeanalizować działanie różnych przeglądarek i aplikacji używane do uwierzytelniania. Użytkownik jest proszony o podanie odpowiednich uwierzytelnianie na podstawie ustawień użytkownika, używanych metod i minimalnego wymaganego poziomu uwierzytelniania.
2. Dezaktywacja hasła
Yahoo! JAPAN prosi o skonfigurowanie alternatywnej metody uwierzytelniania. a następnie wyłączyć jego hasło, by nie można było go użyć. Oprócz ustawienia alternatywne uwierzytelnianie, wyłączenie uwierzytelniania za pomocą hasła (co (logowanie się wyłącznie przy użyciu hasła) pomaga chronić użytkowników ataków opartych na listach.
Aby zachęcić użytkowników do wyłączenia haseł.
- Promowanie alternatywnych metod uwierzytelniania, gdy użytkownicy resetują swoje hasła.
- Zachęcanie użytkowników do skonfigurowania łatwych w użyciu metod uwierzytelniania (takich jak FIDO) i wyłączać hasła w sytuacjach, które wymagają częstego uwierzytelnianie.
- Zachęcanie użytkowników do wyłączenia haseł przed skorzystaniem z usług wysokiego ryzyka. np. płatności e-commerce.
Jeśli użytkownik zapomni hasła, może uruchomić odzyskiwanie konta. Wcześniej wymagał zresetowania hasła. Teraz użytkownicy mogą skonfigurować różne metody uwierzytelniania i zachęcamy ich do tego.
3. Rejestracja konta bez hasła
Nowi użytkownicy mogą tworzyć konta Yahoo! bez hasła JAPAN. Użytkownicy są na pierwszym miejscu wymagane przy rejestracji za pomocą uwierzytelniania SMS. Gdy się zalogują, zachęcić użytkowników do skonfigurowania uwierzytelniania FIDO.
Ustawienia FIDO dotyczą konkretnego urządzenia, więc odzyskanie konta może być trudne. jeśli urządzenie przestanie działać. Dlatego wymagamy od użytkowników zachowania zarejestrowanym numerem telefonu, nawet po skonfigurowaniu dodatkowego uwierzytelniania.
Najważniejsze wyzwania związane z uwierzytelnianiem bez hasła
Hasła korzystają z pamięci ludzkiej i urządzenia są niezależne od urządzenia. Z drugiej strony, metod uwierzytelniania wprowadzonych dotąd w ramach inicjatywy zależą od urządzenia. Wiąże się to z kilkoma wyzwaniami.
W przypadku korzystania z kilku urządzeń mogą występować problemy z obsługą:
- Aby zalogować się z komputera przy użyciu uwierzytelniania SMS-em, użytkownik musi sprawdzić swoje na telefonie komórkowym dla przychodzących SMS-ów. Może to być niewygodne, ponieważ wymaga, aby telefon użytkownika był zawsze dostępny i łatwy do użycia.
- W przypadku FIDO, zwłaszcza w przypadku uwierzytelniania platformy, użytkownik z kilkoma urządzenia nie będą mogły przeprowadzić uwierzytelniania na niezarejestrowanych urządzeniach. Rejestracja musi zostać ukończona w przypadku każdego urządzenia, z którego zamierza korzystać.
Uwierzytelnianie FIDO jest powiązane z konkretnymi urządzeniami, co oznacza, że muszą one pozostać gdy użytkownik jest w posiadaniu i jest aktywny.
- Jeśli umowa o świadczenie usług zostanie anulowana, nie będzie już można wysłać SMS-y pod zarejestrowany numer telefonu.
- FIDO przechowuje klucze prywatne na konkretnym urządzeniu. Jeśli urządzenie zostanie zgubione, są bezużyteczne.
Yahoo! JAPAN podejmuje różne działania, aby rozwiązać te problemy.
Najważniejszym rozwiązaniem jest zachęcenie użytkowników do skonfigurowania uwierzytelniania. Zapewnia to alternatywny dostęp do konta, gdy urządzenia z powodu utraty danych. Ponieważ klucze FIDO zależą od urządzenia, warto też są rejestrowane klucze prywatne FIDO na wielu urządzeniach.
Użytkownicy mogą też użyć interfejsu WebOTP API, aby przejść weryfikację SMS-em z telefonu z Androidem do Chrome na komputerze.
Uważamy, że rozwiązanie tych problemów nabierze jeszcze większego znaczenia, uwierzytelniania bez hasła.
Promowanie uwierzytelniania bez hasła
Yahoo! JAPAN pracuje nad tymi inicjatywami bez haseł od 2015 roku. Zaczęło się od tego, że w maju 2015 r. uzyskaliśmy certyfikat serwera FIDO. po czym nastąpiło uwierzytelnianie SMS-em i dezaktywacja hasła. i obsługi FIDO dla każdego urządzenia.
Obecnie ponad 30 milionów aktywnych użytkowników miesięcznie wyłączyło haseł i używają metod uwierzytelniania niezwiązanych z hasłem. Yahoo! JAPAN standard FIDO zaczyna się od Chrome na Androida, a teraz jest już ponad 10 milionów uwierzytelnianie FIDO.
W rezultacie Yahoo! JAPAN, odsetek zapytań dotyczących zapomnianych identyfikatorów logowania lub haseł spadła o 25% w porównaniu z w okresie, w którym liczba takich zapytań była najwyższa. możemy potwierdzić, że nieupoważniony dostęp został odrzucony w wyniku oznacza wzrost liczby kont bez haseł.
Ze względu na to, że konfiguracja FIDO jest tak łatwa w konfiguracji, ma wyjątkowo wysoki współczynnik konwersji. W rzeczywistości Yahoo! Japan ma wyższy CVR niż SMS-y FIDO uwierzytelnianie.
25, %
Spadek liczby żądań usunięcia zapomnianych danych logowania
74 %
Użytkownicy odnoszą sukces dzięki uwierzytelnianiu FIDO
65 %
Udało się zweryfikować za pomocą SMS-a
FIDO odznacza się wyższym wskaźnikiem sukcesu niż uwierzytelnianie SMS-em oraz szybszym
mediana czasów uwierzytelniania. Jeśli chodzi o hasła, niektóre grupy mają krótkie
podczas uwierzytelniania. Podejrzewamy, że jest to spowodowane
autocomplete="current-password"
Największym wyzwaniem w oferowaniu kont bez haseł jest to, uwierzytelniania, a także popularyzowanie narzędzi uwierzytelniających. Jeśli korzystanie z usługi bez haseł nie jest łatwe w użyciu, nie będzie łatwe.
Uważamy, że aby poprawić bezpieczeństwo, musimy najpierw poprawić łatwość obsługi, co wymaga innowacyjności w każdej usłudze.
Podsumowanie
Uwierzytelnianie za pomocą hasła jest ryzykowne z punktu widzenia bezpieczeństwa, ale też wiąże się pod względem łatwości obsługi. Technologie obsługujące uwierzytelnianie bez hasła, takie jak WebOTP API czy FIDO, jest coraz teraz należy przejść na uwierzytelnianie bez hasła.
Na stronie Yahoo! Japan takie podejście miało zdecydowany wpływ na łatwość obsługi i bezpieczeństwo. Wielu użytkowników nadal używa jednak haseł, będą nadal zachęcać użytkowników do przejścia na uwierzytelnianie bez hasła . Będziemy też nadal ulepszać nasze usługi, aby optymalizować uwierzytelniania bez hasła.
Zdjęcie: olieman.eth, Unsplash