Dowiedz się, jak Yahoo! Japan opracowało system tożsamości bez haseł.
Przenoszenie linków do podstron Yahoo! JAPAN to jedna z największych firm medialnych w Japonii, która świadczy takie usługi jak wyszukiwarka, wiadomości, handel elektroniczny oraz poczta e-mail. Ponad 50 milionów użytkowników loguje się na konta Yahoo! JAPAN.
Na przestrzeni lat miało miejsce wiele ataków na konta użytkowników i problemy, które prowadziły do utraty dostępu do nich. Większość tych problemów była związana z używaniem haseł do uwierzytelniania.
Dzięki postępom w technologii uwierzytelniania Yahoo! JAPAN.
Dlaczego nie wymaga hasła?
Ponieważ Yahoo! JAPAN oferuje handel elektroniczny i inne usługi finansowe, w przypadku nieautoryzowanego dostępu lub utraty konta może to stanowić poważne zagrożenie dla użytkowników.
Najczęstsze ataki związane z hasłami to ataki na listy haseł i próby wyłudzenia informacji. Jednym z powodów, dla których ataki na listę haseł są powszechne i skuteczne, jest nawyk używania tego samego hasła w wielu aplikacjach i witrynach.
Wyniki ankiety przeprowadzonej przez firmę Yahoo! Japan.
50 %
używają tego samego identyfikatora i hasła w co najmniej 6 witrynach.
60 %
Używanie tego samego hasła w wielu witrynach
70 %
używać hasła jako podstawowego sposobu logowania się,
Użytkownicy często zapominają swoich haseł, co stanowiło najczęstszą przyczynę najczęstszych pytań o hasła. Zdarzało się też, że użytkownicy zapominali swojego identyfikatora logowania. W szczytowym momencie zapytania te odpowiadały za ponad jedną trzecią wszystkich zapytań dotyczących kont.
Rezygnacja z hasła powoduje, że Yahoo! JAPAN.
Z punktu widzenia bezpieczeństwa wyeliminowanie haseł z procesu uwierzytelniania użytkowników zmniejsza szkody wynikające z ataków opartych na listach, a z perspektywy przydatności zapewnia metodę uwierzytelniania, która nie polega na zapamiętywaniu haseł, zapobiega sytuacji, w której użytkownik nie może się zalogować z powodu zapomnienia hasła.
Przenoszenie linków do podstron Yahoo! Japan bez hasła
Przenoszenie linków do podstron Yahoo! Japan podejmuje wiele działań w celu promowania uwierzytelniania bez hasła. Można je podzielić na 3 kategorie:
- udostępniać alternatywne metody uwierzytelniania haseł,
- Dezaktywacja hasła.
- Rejestracja konta bez hasła.
Pierwsze 2 inicjatywy są skierowane do obecnych użytkowników, a rejestracja bez hasła – z myślą o nowych użytkownikach.
1. Zapewnianie alternatywnych sposobów uwierzytelniania haseł
Przenoszenie linków do podstron Yahoo! JAPAN.
Oferujemy też metody uwierzytelniania, takie jak uwierzytelnianie poczty e-mail, hasło połączone z hasłem jednorazowym SMS-em (hasłem jednorazowym) oraz hasło w połączeniu z hasłem jednorazowym wysyłanym e-mailem.
Uwierzytelnianie SMS
Uwierzytelnianie za pomocą SMS-ów to system, który umożliwia zarejestrowanym użytkownikom otrzymywanie sześciocyfrowych kodów uwierzytelniających SMS-y. Po otrzymaniu SMS-a użytkownik może wpisać kod uwierzytelniania w aplikacji lub na stronie.
Apple od dawna pozwala iOS odczytywać SMS-y i sugerować kody uwierzytelniające z ich treści. Ostatnio można korzystać z sugestii, określając „jednorazowy kod” w atrybucie autocomplete elementu wejściowego. Chrome na urządzeniach z Androidem, Windows i Mac może działać w taki sam sposób przy użyciu interfejsu WebOTP API.
Na przykład:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Oba podejścia mają na celu zapobieganie wyłudzaniu informacji przez uwzględnienie domeny w treści SMS-a i podanie sugestii tylko dla wskazanej domeny.
Aby dowiedzieć się więcej o interfejsie WebOTP API i autocomplete="one-time-code", zapoznaj się ze sprawdzonymi metodami tworzenia haseł jednorazowych SMS-ów.
FIDO z WebAuthn
FIDO z WebAuthn używa uwierzytelniania sprzętowego do generowania pary kluczy publicznych i potwierdzania własności. Jeśli jako uwierzytelniania używany jest smartfon, można go połączyć z uwierzytelnianiem biometrycznym (np. za pomocą czujników odcisku palca lub rozpoznawania twarzy), aby przeprowadzić jednoetapowe uwierzytelnianie dwuskładnikowe. W tym przypadku do serwera jest wysyłany tylko podpis i wskaźnik powodzenia z uwierzytelniania biometrycznego, więc nie ma ryzyka kradzieży danych biometrycznych.
Poniższy diagram przedstawia konfigurację FIDO serwer-klient. Narzędzie uwierzytelniające klienta uwierzytelnia użytkownika za pomocą biometrii i podpisuje wynik za pomocą kryptografii klucza publicznego. Klucz prywatny użyty do utworzenia podpisu jest bezpiecznie przechowywany w zaufanym środowisku wykonawczym (TEE) lub podobnej lokalizacji. Dostawca usług, który stosuje FIDO, jest nazywany RP (stroną uzależnioną).
Gdy użytkownik przeprowadza uwierzytelnianie (zwykle za pomocą skanowania biometrycznego lub kodu PIN), mechanizm uwierzytelniający za pomocą klucza prywatnego wysyła do przeglądarki podpisany sygnał weryfikacyjny. Następnie przeglądarka udostępnia ten sygnał stronie RP.
Witryna RP wysyła następnie podpisany sygnał weryfikacyjny do serwera RP, który sprawdza podpis przy użyciu klucza publicznego, aby zakończyć uwierzytelnianie.
Więcej informacji znajdziesz w wytycznych dotyczących uwierzytelniania FIDO Alliance.
Przenoszenie linków do podstron Yahoo! JAPAN obsługuje FIDO na urządzeniach z Androidem (aplikacja mobilna i strona), iOS (aplikacja mobilna i strona internetowa), Windows (Edge, Chrome, Firefox) i macOS (Safari, Chrome). FIDO jest usługą dla klientów indywidualnych i może być używane na prawie każdym urządzeniu, dzięki czemu doskonale sprawdza się w przypadku uwierzytelniania bez hasła.
Przenoszenie linków do podstron Yahoo! JAPAN zaleca, by użytkownicy zarejestrowali się w FIDO za pomocą WebAuthn, jeśli nie przeprowadzili jeszcze uwierzytelniania innymi metodami. Gdy użytkownik musi zalogować się na tym samym urządzeniu, może szybko uwierzytelnić się za pomocą czujnika biometrycznego.
Użytkownicy muszą skonfigurować uwierzytelnianie FIDO na wszystkich urządzeniach, których używają do logowania się do Yahoo! Japan.
Aby promować uwierzytelnianie bez hasła i wziąć pod uwagę użytkowników, którzy zaczynają używać innych haseł, udostępniamy różne metody uwierzytelniania. Oznacza to, że różni użytkownicy mogą mieć różne ustawienia metod uwierzytelniania, a metody uwierzytelniania, z których mogą korzystać, mogą się różnić w zależności od przeglądarki. Naszym zdaniem użytkownicy będą za każdym razem logować się tą samą metodą uwierzytelniania.
Spełnienie tych wymagań wymaga śledzenia wcześniejszych metod uwierzytelniania i łączenia tych informacji z klientem poprzez przechowywanie ich w postaci plików cookie itp. Następnie możemy analizować, jak różne przeglądarki i aplikacje są używane do uwierzytelniania. Użytkownik jest proszony o właściwe uwierzytelnienie na podstawie jego ustawień, wcześniej użytych metod uwierzytelniania i minimalnego wymaganego poziomu uwierzytelniania.
2. Dezaktywacja hasła
Przenoszenie linków do podstron Yahoo! JAPAN. prosi o ustawienie alternatywnej metody uwierzytelniania, a następnie wyłączenie hasła, aby nie można było z niego korzystać. Oprócz skonfigurowania uwierzytelniania alternatywnego wyłączenie uwierzytelniania za pomocą hasła, które uniemożliwia zalogowanie się tylko przy użyciu hasła, pomaga chronić użytkowników przed atakami z wykorzystaniem list.
Aby zachęcić użytkowników do wyłączenia haseł, podjęliśmy takie kroki.
- promowanie alternatywnych metod uwierzytelniania w przypadku resetowania haseł przez użytkowników,
- Zachęcanie użytkowników do konfigurowania łatwych w użyciu metod uwierzytelniania (np. FIDO) i wyłączania haseł w sytuacjach wymagających częstego uwierzytelniania.
- Zachęcanie użytkowników do wyłączenia haseł przed skorzystaniem z usług wysokiego ryzyka, takich jak płatności e-commerce.
Jeśli użytkownik zapomni hasła, może rozpocząć odzyskiwanie konta. Wcześniej wymagało to zresetowania hasła. Teraz użytkownicy mogą ustawić inną metodę uwierzytelniania i zachęcamy do tego.
3. Rejestracja konta bez hasła
Nowi użytkownicy mogą tworzyć konta Yahoo! JAPAN. Użytkownicy muszą najpierw zarejestrować się za pomocą SMS-a. Zalecamy, aby po zalogowaniu się skonfigurował uwierzytelnianie FIDO.
Ponieważ FIDO to ustawienie powiązane z konkretnym urządzeniem, odzyskanie konta może być trudne, jeśli urządzenie przestanie działać. Dlatego wymagamy, aby numery telefonów były zarejestrowane nawet wtedy, gdy użytkownicy skonfigurowali dodatkowe uwierzytelnianie.
Najważniejsze wyzwania dotyczące uwierzytelniania bez hasła
Hasła wykorzystują pamięć ludzką i są niezależne od urządzenia. Z drugiej strony metody uwierzytelniania wprowadzone do tej pory w ramach inicjatywy niewymagającej haseł zależą od urządzenia. Wiąże się to z kilkoma wyzwaniami.
Korzystanie z kilku urządzeń może powodować problemy związane z obsługą:
- Podczas logowania się z komputera przy użyciu uwierzytelniania SMS-y użytkownicy muszą sprawdzić, czy w telefonie komórkowym nie przychodzą SMS-y. Może to być niewygodne, ponieważ telefon użytkownika musi być dostępny i łatwo dostępny w dowolnym momencie.
- Dzięki FIDO, zwłaszcza w przypadku uwierzytelniania platform, użytkownik mający wiele urządzeń nie będzie w stanie uwierzytelnić się na niezarejestrowanych urządzeniach. Rejestracja musi być przeprowadzona w przypadku każdego urządzenia, którego zamierza on używać.
Uwierzytelnianie FIDO jest powiązane z konkretnymi urządzeniami, co wymaga, aby pozostawały one w posiadaniu użytkownika i były aktywne.
- Jeśli umowa dotycząca świadczenia usług zostanie anulowana, nie będzie już można wysyłać SMS-ów na zarejestrowany numer telefonu.
- FIDO przechowuje klucze prywatne na określonym urządzeniu. Jeśli urządzenie zostanie utracone, klucze będą bezużyteczne.
Przenoszenie linków do podstron Yahoo! JAPAN podejmuje różne działania, by rozwiązać te problemy.
Najważniejszym rozwiązaniem jest zachęcenie użytkowników do skonfigurowania różnych metod uwierzytelniania. Zapewnia to alternatywny dostęp do konta w przypadku utraty urządzeń. Klucze FIDO są zależne od urządzenia, dlatego warto też zarejestrować klucze prywatne FIDO na wielu urządzeniach.
Użytkownicy mogą też używać interfejsu WebOTP API do przesyłania SMS-ów z kodami weryfikacyjnymi z telefonu z Androidem do Chrome na komputerze.
Jesteśmy przekonani, że rozwiązanie tych problemów będzie miało większe znaczenie w miarę rozprzestrzeniania się uwierzytelniania bez hasła.
Promowanie uwierzytelniania bez hasła
Przenoszenie linków do podstron Yahoo! Japan pracuje nad tymi inicjatywami niewymagającymi haseł od 2015 roku. Wszystko zaczęło się od nabycia certyfikatu serwera FIDO w maju 2015 r., a następnie wprowadzenia uwierzytelniania SMS-em, funkcji dezaktywacji hasła oraz obsługi FIDO dla każdego urządzenia.
Obecnie ponad 30 milionów aktywnych użytkowników miesięcznie wyłączyło już swoje hasła i korzystało z metod uwierzytelniania niewymagających hasła. Przenoszenie linków do podstron Yahoo! Japan obsługuje FIDO od Chrome na Androidzie, a uwierzytelnianie FIDO skonfigurowało obecnie ponad 10 milionów użytkowników.
W wyniku działania wyszukiwarki Yahoo! Japan, odsetek zapytań dotyczących zapomnianych identyfikatorów logowania lub haseł zmalał o 25% w porównaniu do okresu, w którym liczba takich zapytań była najwyższa. Udało nam się też potwierdzić spadek nieautoryzowanego dostępu ze względu na wzrost liczby kont bez hasła.
Ponieważ FIDO jest bardzo łatwe w konfiguracji, ma wyjątkowo wysoki współczynnik konwersji. Firma Yahoo! JAPAN.
25 %
Spadek liczby żądań zapomnianych danych logowania
74 %
Sukces użytkowników dzięki uwierzytelnianiu FIDO
65 %
Weryfikacja SMS
FIDO ma wyższy wskaźnik sukcesu niż uwierzytelnianie SMS-em oraz krótszy średni i mediany czasu uwierzytelniania. Jeśli chodzi o hasła, niektóre grupy mają krótki czas uwierzytelniania. Podejrzewamy, że jest to spowodowane przez autocomplete="current-password" przeglądarki.
Największym wyzwaniem w oferowaniu kont bez hasła nie jest dodanie metod uwierzytelniania, ale popularność narzędzi uwierzytelniających. Jeżeli korzystanie z usługi bez hasła nie jest łatwe w użyciu, przejście nie będzie łatwe.
Uważamy, że aby poprawić bezpieczeństwo, musimy najpierw poprawić łatwość obsługi, co będzie wymagało wprowadzenia unikalnych innowacji w każdej usłudze.
Podsumowanie
Uwierzytelnianie za pomocą hasła wiąże się z ryzykiem związanym z bezpieczeństwem i łatwością. Teraz gdy technologie obsługujące uwierzytelnianie bez hasła, takie jak WebOTP API i FIDO, są szerzej dostępne, nadszedł czas, aby zacząć pracować nad uwierzytelnianiem bez hasła.
Na stronie Yahoo! JAPAN. To podejście ma ogromny wpływ na użyteczność i bezpieczeństwo. Wielu użytkowników nadal używa jednak haseł, więc będziemy nadal zachęcać kolejnych użytkowników do przejścia na metody uwierzytelniania bez hasła. Będziemy też dalej ulepszać nasze usługi, aby optymalizować wygodę użytkowników korzystających z metod uwierzytelniania bez hasła.
Fot. olieman.eth w aplikacji Unsplash