Weitere Informationen dazu, wie Yahoo! Japan hat ein passwortloses Identitätssystem entwickelt.
Yahoo! JAPAN ist eines der größten Medienunternehmen in Japan, das Dienstleistungen wie Suche, News, E-Commerce und E-Mail anbietet. Über 50 Millionen Nutzer melden sich bei Yahoo! Japan-Dienste pro Monat.
Im Laufe der Jahre gab es viele Angriffe auf Nutzerkonten und Probleme, die zum Verlust des Kontozugriffs führten. Die meisten dieser Probleme bezogen sich auf die Verwendung von Passwörtern zur Authentifizierung.
Angesichts der jüngsten Fortschritte bei der Authentifizierungstechnologie, Yahoo! JAPAN hat beschlossen, von der passwortbasierten Authentifizierung zu wechseln.
Warum passwortlos?
Da Yahoo! JAPAN bietet E-Commerce- und andere finanzbezogene Dienstleistungen an, sodass im Falle nicht autorisierter Zugriffe oder Kontoverluste das Risiko erheblicher Schäden für Nutzer besteht.
Die häufigsten Angriffe im Zusammenhang mit Passwörtern waren Passwortlistenangriffe und Phishing-Angriffe. Passwortlistenangriffe sind unter anderem deshalb so effektiv und verbreitet, weil viele Nutzer angewohnt sind, dasselbe Passwort für mehrere Anwendungen und Websites zu verwenden.
Die folgenden Zahlen entsprechen den Ergebnissen einer Umfrage von Yahoo! JAPAN.
50 %
dieselbe ID und dasselbe Passwort für sechs oder mehr Websites verwenden
60 %
Dasselbe Passwort für mehrere Websites verwenden
70 %
Passwort als primäre Methode zur Anmeldung verwenden
Nutzer vergessen oft ihre Passwörter, was für die meisten passwortbezogenen Anfragen verantwortlich war. Es gab auch Anfragen von Nutzern, die neben ihren Passwörtern auch ihre Log-in-IDs vergessen hatten. Zu Spitzenzeiten machten diese Anfragen mehr als ein Drittel aller kontobezogenen Anfragen aus.
Wenn Yahoo! JAPAN wollte nicht nur die Sicherheit, sondern auch die Nutzerfreundlichkeit verbessern, ohne die Nutzer zusätzlich zu belasten.
Aus Sicherheitsperspektive reduziert das Entfernen von Passwörtern aus dem Nutzerauthentifizierungsprozess den Schaden durch listenbasierte Angriffe. Aus Sicht der Nutzerfreundlichkeit wird durch die Bereitstellung einer Authentifizierungsmethode, die nicht auf dem Speichern von Passwörtern beruht, Situationen verhindert, in denen sich ein Nutzer nicht anmelden kann, weil er sein Passwort vergessen hat.
Yahoo! Initiativen in Japan ohne Passwort
Yahoo! JAPAN unternimmt eine Reihe von Schritten, um die passwortlose Authentifizierung zu fördern, die sich grob in drei Kategorien unterteilen lässt:
- Stellen Sie eine alternative Methode zur Authentifizierung von Passwörtern bereit.
- Passwortdeaktivierung
- Passwortlose Kontoregistrierung
Die ersten beiden Initiativen richten sich an bestehende Nutzer, während die Registrierung ohne Passwort auf neue Nutzer ausgerichtet ist.
1. Eine alternative Methode zur Authentifizierung von Passwörtern anbieten
Yahoo! JAPAN bietet die folgenden Alternativen zu Passwörtern.
Darüber hinaus bieten wir auch Authentifizierungsmethoden wie E-Mail-Authentifizierung, Passwort in Kombination mit SMS-OTP (Einmalpasswort) und Passwort in Kombination mit E-Mail-OTP.
SMS-Authentifizierung
Die SMS-Authentifizierung ist ein System, das es einem registrierten Nutzer ermöglicht, einen sechsstelligen Authentifizierungscode per SMS zu erhalten. Sobald der Nutzer die SMS erhält, kann er den Authentifizierungscode in der App oder auf der Website eingeben.
Apple erlaubt seit Langem iOS, SMS zu lesen und Authentifizierungscodes aus dem Textkörper vorzuschlagen. Seit Kurzem ist es möglich, Vorschläge zu verwenden, indem im autocomplete-Attribut des Eingabeelements "einmaliger Code" angegeben wird. Chrome unter Android, Windows und Mac kann über die WebOTP API genutzt werden.
Beispiel:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Beide Ansätze sollen Phishing verhindern, indem die Domain in den SMS-Text aufgenommen wird und Vorschläge nur für die angegebene Domain bereitgestellt werden.
Weitere Informationen zur WebOTP API und autocomplete="one-time-code" findest du unter Best Practices für SMS-OTP-Formulare.
FIDO mit WebAuthn
FIDO mit WebAuthn verwendet einen Hardware-Authenticator, um ein öffentliches Schlüsselpaar zu generieren und den Besitz nachzuweisen. Wenn ein Smartphone als Authenticator verwendet wird, kann es mit biometrischer Authentifizierung (z. B. Fingerabdrucksensoren oder Gesichtserkennung) kombiniert werden, um eine einstufige Authentifizierung in zwei Schritten durchzuführen. In diesem Fall werden nur die Signatur und die Erfolgsanzeige aus der biometrischen Authentifizierung an den Server gesendet, sodass kein Risiko des Diebstahls biometrischer Daten besteht.
Das folgende Diagramm zeigt die Server-Client-Konfiguration für FIDO. Die Clientauthentifizierung authentifiziert den Nutzer mit biometrischen Verfahren und signiert das Ergebnis mithilfe von Public-Key-Kryptografie. Der zum Erstellen der Signatur verwendete private Schlüssel wird sicher in einem TEE (Trusted Execution Environment) oder einem ähnlichen Speicherort gespeichert. Ein Dienstanbieter, der FIDO verwendet, wird als RP (stellende Partei) bezeichnet.
Nachdem der Nutzer die Authentifizierung durchgeführt hat (üblicherweise mit einem biometrischen Scan oder einer PIN), verwendet der Authenticator einen privaten Schlüssel, um ein signiertes Bestätigungssignal an den Browser zu senden. Der Browser gibt dieses Signal dann an die Website des RP weiter.
Die RP-Website sendet dann das signierte Bestätigungssignal an den RP-Server, der die Signatur anhand des öffentlichen Schlüssels überprüft, um die Authentifizierung abzuschließen.
Weitere Informationen finden Sie in den Authentifizierungsrichtlinien der FIDO Alliance.
Yahoo! JAPAN unterstützt FIDO unter Android (mobile App und Web), iOS (mobile App und Web), Windows (Edge, Chrome, Firefox) und macOS (Safari, Chrome). Als Verbraucherdienst kann FIDO auf fast jedem Gerät verwendet werden und ist damit eine gute Option für die passwortlose Authentifizierung.
Yahoo! JAPAN empfiehlt Nutzern, sich mit WebAuthn für FIDO zu registrieren, wenn dies noch nicht auf andere Weise erfolgt ist. Wenn sich ein Nutzer mit demselben Gerät anmelden muss, kann er sich schnell mit einem biometrischen Sensor authentifizieren.
Nutzer müssen die FIDO-Authentifizierung für alle Geräte einrichten, mit denen sie sich bei Yahoo! JAPAN.
Wir bieten mehrere Möglichkeiten der Authentifizierung, um eine passwortlose Authentifizierung zu fördern und Nutzer, die von Passwörtern abweichen, rücksichtsvoll zu behandeln. Das bedeutet, dass unterschiedliche Nutzer unterschiedliche Einstellungen für Authentifizierungsmethoden haben können und die Authentifizierungsmethoden, die sie verwenden können, von Browser zu Browser unterschiedlich sein können. Wir sind der Ansicht, dass es besser ist, wenn sich Nutzer jedes Mal mit derselben Authentifizierungsmethode anmelden.
Um diese Anforderungen zu erfüllen, müssen bisherige Authentifizierungsmethoden nachverfolgt und diese Informationen beispielsweise in Form von Cookies gespeichert werden, um sie mit dem Client zu verknüpfen. Anschließend können wir analysieren, wie verschiedene Browser und Anwendungen für die Authentifizierung verwendet werden. Der Nutzer wird aufgefordert, basierend auf seinen Einstellungen, den zuvor verwendeten Authentifizierungsmethoden und dem erforderlichen Mindestmaß an Authentifizierung eine angemessene Authentifizierung durchzuführen.
2. Passwortdeaktivierung
Yahoo! JAPAN fordert die Nutzer auf, eine alternative Authentifizierungsmethode einzurichten und dann ihr Passwort zu deaktivieren, damit es nicht mehr verwendet werden kann. Neben der Einrichtung einer alternativen Authentifizierung schützt die Deaktivierung der Passwortauthentifizierung (wodurch es unmöglich ist, sich nur mit einem Passwort anzumelden), vor listenbasierten Angriffen.
Wir haben die folgenden Schritte unternommen, um Nutzer dazu anzuregen, ihre Passwörter zu deaktivieren.
- Es werden alternative Authentifizierungsmethoden beim Zurücksetzen von Passwörtern beworben.
- Nutzer werden dazu ermutigt, benutzerfreundliche Authentifizierungsmethoden (z. B. FIDO) einzurichten und Passwörter in Situationen zu deaktivieren, in denen eine häufige Authentifizierung erforderlich ist.
- Aufforderung von Nutzern, ihre Passwörter zu deaktivieren, bevor sie Dienste mit hohem Risiko wie E-Commerce-Zahlungen nutzen
Wenn ein Nutzer sein Passwort vergisst, kann er eine Kontowiederherstellung durchführen. Zuvor musste das Passwort zurückgesetzt werden. Jetzt können Nutzer eine andere Authentifizierungsmethode einrichten. Wir empfehlen ihnen, dies zu tun.
3. Passwortlose Kontoregistrierung
Neue Nutzer können passwortfreie Yahoo! JAPAN-Konten. Nutzer müssen sich zuerst per SMS-Authentifizierung registrieren. Nach der Anmeldung empfehlen wir den Nutzern, die FIDO-Authentifizierung einzurichten.
Da FIDO eine gerätespezifische Einstellung ist, kann es schwierig sein, ein Konto wiederherzustellen, falls das Gerät nicht mehr funktioniert. Daher müssen Nutzer ihre Telefonnummer weiterhin registrieren, auch nachdem sie eine zusätzliche Authentifizierung eingerichtet haben.
Wichtige Identitätsbestätigungen für die Authentifizierung ohne Passwort
Passwörter basieren auf dem menschlichen Gedächtnis und sind geräteunabhängig. Andererseits sind die bisher im Rahmen unserer passwortlosen Initiative eingeführten Authentifizierungsmethoden geräteabhängig. Das ist mit mehreren Herausforderungen verbunden.
Wenn mehrere Geräte verwendet werden, gibt es im Zusammenhang mit der Nutzerfreundlichkeit einige Probleme:
- Wenn sich Nutzer mit der SMS-Authentifizierung von einem PC aus anmelden, müssen sie ihr Mobiltelefon auf eingehende SMS prüfen. Dies kann umständlich sein, da das Smartphone des Nutzers jederzeit verfügbar und leicht zugänglich sein muss.
- Bei FIDO kann sich ein Nutzer mit mehreren Geräten nicht auf nicht registrierten Geräten authentifizieren, insbesondere mit Plattformauthentifizierungsmechanismen. Die Registrierung muss für jedes Gerät abgeschlossen werden, das er verwenden möchte.
Die FIDO-Authentifizierung ist an bestimmte Geräte gebunden. Daher müssen diese im Besitz des Nutzers bleiben und aktiv sein.
- Wenn der Servicevertrag gekündigt wird, können keine SMS mehr an die registrierte Telefonnummer gesendet werden.
- FIDO speichert private Schlüssel auf einem bestimmten Gerät. Wenn das Gerät verloren geht, sind diese Schlüssel nicht mehr nutzbar.
Yahoo! JAPAN unternimmt verschiedene Schritte, um diese Probleme anzugehen.
Die wichtigste Lösung besteht darin, Nutzer dazu anzuregen, mehrere Authentifizierungsmethoden einzurichten. Dies bietet einen alternativen Kontozugriff, wenn Geräte verloren gehen. Da FIDO-Schlüssel geräteabhängig sind, empfiehlt es sich auch, private FIDO-Schlüssel auf mehreren Geräten zu registrieren.
Alternativ können Nutzer die WebOTP API verwenden, um SMS-Bestätigungscodes von einem Android-Smartphone an Chrome auf einem PC zu übergeben.
Wir sind davon überzeugt, dass die Behebung dieser Probleme durch die Verbreitung der passwortlosen Authentifizierung noch wichtiger wird.
Authentifizierung ohne Passwort hochstufen
Yahoo! JAPAN arbeitet seit 2015 an diesen Initiativen ohne Passwort. Dies begann mit der Übernahme der FIDO-Serverzertifizierung im Mai 2015, gefolgt von der Einführung der SMS-Authentifizierung, einer Funktion zur Deaktivierung von Passwörtern und der FIDO-Unterstützung für jedes Gerät.
Inzwischen haben bereits mehr als 30 Millionen monatlich aktive Nutzer ihre Passwörter deaktiviert und verwenden Authentifizierungsmethoden ohne Passwort. Yahoo! Die Unterstützung von FIDO in JAPAN begann mit Chrome auf Android. Inzwischen haben mehr als 10 Millionen Nutzer die FIDO-Authentifizierung eingerichtet.
Nachdem Yahoo! Japans Initiativen hat sich der Prozentsatz der Anfragen zu vergessenen Log-in-IDs oder Passwörtern im Vergleich zum Zeitraum mit der höchsten Anzahl an solchen Anfragen um 25% verringert. Außerdem konnten wir bestätigen, dass die Zahl der nicht autorisierten Zugriffe infolge der Zunahme der Anzahl von Konten ohne Passwort zurückgegangen ist.
Da FIDO so einfach einzurichten ist, erzielen sie eine besonders hohe Conversion-Rate. Tatsächlich ist es möglich, dass Yahoo! JAPAN hat festgestellt, dass FIDO eine höhere CVR als die SMS-Authentifizierung hat.
25 %
Weniger Anfragen nach vergessenen Anmeldedaten
74 %
Nutzer sind mit FIDO-Authentifizierung erfolgreich
65 %
Erfolgreiche SMS-Bestätigung
FIDO hat eine höhere Erfolgsquote als die SMS-Authentifizierung und schnellere durchschnittliche und durchschnittliche Authentifizierungszeiten. Was Passwörter betrifft, haben einige Gruppen kurze Authentifizierungszeiten. Wir vermuten, dass dies auf den autocomplete="current-password" des Browsers zurückzuführen ist.
Die größte Schwierigkeit für das Anbieten passwortloser Konten besteht nicht darin, zusätzliche Authentifizierungsmethoden hinzuzufügen, sondern die Verwendung von Authenticatoren zu populär zu machen. Wenn die Nutzung eines passwortlosen Dienstes nicht nutzerfreundlich ist, wird die Umstellung nicht einfach sein.
Wir sind der Überzeugung, dass wir zur Verbesserung der Sicherheit zuerst die Nutzerfreundlichkeit verbessern müssen, was individuelle Innovationen für jeden Dienst erfordert.
Fazit
Die Passwortauthentifizierung ist in puncto Sicherheit riskant und birgt auch Herausforderungen im Hinblick auf die Nutzerfreundlichkeit. Da Technologien, die die Authentifizierung ohne Passwort unterstützen, wie die WebOTP API und FIDO jetzt umfassender verfügbar sind, ist es an der Zeit, auf eine passwortlose Authentifizierung hin zu arbeiten.
Bei Yahoo! JAPAN hat sich eindeutig auf die Nutzerfreundlichkeit und die Sicherheit ausgewirkt. Viele Nutzer verwenden jedoch noch immer Passwörter. Daher werden wir weitere Nutzer dazu ermutigen, zu passwortlosen Authentifizierungsmethoden zu wechseln. Wir werden auch unsere Produkte weiter verbessern, um die Nutzerfreundlichkeit für Authentifizierungsmethoden ohne Passwort zu optimieren.
Foto von olieman.eth auf Unsplash