Узнайте о том, как Yahoo! Япония создала систему идентификации без пароля.
Yahoo! JAPAN — одна из крупнейших медиакомпаний Японии, предоставляющая такие услуги, как поиск, новости, электронная коммерция и электронная почта. Более 50 миллионов пользователей заходят в Yahoo! ЯПОНИЯ услуги каждый месяц.
За прошедшие годы произошло множество атак на учетные записи пользователей и проблем, которые привели к потере доступа к учетной записи. Большинство этих проблем были связаны с использованием пароля для аутентификации.
Благодаря недавним достижениям в области технологий аутентификации Yahoo! ЯПОНИЯ решила перейти от аутентификации на основе пароля к аутентификации без пароля.
Почему без пароля?
Как Yahoo! ЯПОНИЯ предлагает электронную коммерцию и другие услуги, связанные с деньгами, существует риск значительного ущерба для пользователей в случае несанкционированного доступа или потери аккаунта.
Наиболее распространенными атаками, связанными с паролями, были атаки по списку паролей и фишинг. Одной из причин распространенности и эффективности атак по спискам паролей является привычка многих людей использовать один и тот же пароль для нескольких приложений и веб-сайтов.
Следующие цифры являются результатами опроса, проведенного Yahoo! ЯПОНИЯ.
50 %
используйте один и тот же идентификатор и пароль на шести или более сайтах
60 %
Используйте один и тот же пароль на нескольких сайтах
70 %
используйте пароль в качестве основного способа входа в систему
Пользователи часто забывают свои пароли, что составляет большую часть запросов, связанных с паролями. Также поступали запросы от пользователей, которые помимо паролей забыли свои логины. На пике популярности эти запросы составляли более трети всех запросов, связанных со счетами.
Отказав пароль, Yahoo! ЯПОНИЯ стремилась улучшить не только безопасность, но и удобство использования, не создавая при этом дополнительной нагрузки на пользователей.
С точки зрения безопасности исключение паролей из процесса аутентификации пользователя снижает ущерб от атак на основе списков, а с точки зрения удобства использования предоставление метода аутентификации, который не зависит от запоминания паролей, предотвращает ситуации, когда пользователь не может войти в систему, потому что он забыл их пароль.
Yahoo! Беспарольные инициативы Японии
Yahoo! ЯПОНИЯ предпринимает ряд шагов для продвижения аутентификации без пароля, которые можно условно разделить на три категории:
- Предоставьте альтернативные средства аутентификации паролям.
- Деактивация пароля.
- Беспарольная регистрация аккаунта.
Первые две инициативы ориентированы на существующих пользователей, а регистрация без пароля — на новых пользователей.
1. Предоставление альтернативных средств аутентификации паролям.
Yahoo! ЯПОНИЯ предлагает следующие альтернативы паролям.
Кроме того, мы также предлагаем такие методы аутентификации, как аутентификация по электронной почте, пароль в сочетании с SMS OTP (одноразовый пароль) и пароль в сочетании с OTP по электронной почте.
SMS-аутентификация
SMS-аутентификация — это система, которая позволяет зарегистрированному пользователю получить шестизначный код аутентификации посредством SMS. Как только пользователь получит SMS, он сможет ввести код аутентификации в приложении или на веб-сайте.
Apple уже давно разрешила iOS читать SMS-сообщения и предлагать коды аутентификации из текста. Недавно стало возможным использовать предложения, указав «одноразовый код» в атрибуте autocomplete входного элемента. Chrome на Android, Windows и Mac может обеспечить те же возможности, используя WebOTP API .
Например:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Оба подхода предназначены для предотвращения фишинга путем включения домена в тело SMS и предоставления предложений только для указанного домена.
Для получения дополнительной информации об API WebOTP и autocomplete="one-time-code" ознакомьтесь с рекомендациями по созданию формы SMS OTP .
FIDO с WebAuthn
FIDO с WebAuthn использует аппаратный аутентификатор для генерации пары шифров с открытым ключом и подтверждения владения. Когда в качестве аутентификатора используется смартфон, его можно комбинировать с биометрической аутентификацией (например, датчиками отпечатков пальцев или распознаванием лиц) для выполнения одноэтапной двухфакторной аутентификации. В этом случае на сервер отправляются только подпись и подтверждение успешной биометрической аутентификации, поэтому риск кражи биометрических данных отсутствует.
На следующей схеме показана конфигурация сервер-клиент для FIDO. Аутентификатор клиента аутентифицирует пользователя с помощью биометрических данных и подписывает результат с использованием криптографии с открытым ключом. Закрытый ключ, используемый для создания подписи, надежно хранится в TEE (доверенной среде выполнения) или аналогичном месте. Поставщик услуг, использующий FIDO, называется RP (проверяющая сторона).
Как только пользователь выполняет аутентификацию (обычно с помощью биометрического сканирования или PIN-кода), аутентификатор использует закрытый ключ для отправки подписанного сигнала проверки в браузер. Затем браузер передает этот сигнал веб-сайту RP.
Затем веб-сайт RP отправляет подписанный сигнал проверки на сервер RP, который сверяет подпись с открытым ключом для завершения аутентификации.
Для получения дополнительной информации прочтите рекомендации по аутентификации от FIDO Alliance .
Yahoo! ЯПОНИЯ поддерживает FIDO на Android (мобильное приложение и Интернет), iOS (мобильное приложение и Интернет), Windows (Edge, Chrome, Firefox) и macOS (Safari, Chrome). В качестве потребительской службы FIDO можно использовать практически на любом устройстве, что делает его хорошим вариантом для продвижения аутентификации без пароля.
Yahoo! ЯПОНИЯ рекомендует пользователям регистрироваться в FIDO с помощью WebAuthn, если они еще не прошли аутентификацию другими способами. Когда пользователю необходимо войти в систему с того же устройства, он может быстро пройти аутентификацию с помощью биометрического датчика.
Пользователи должны настроить аутентификацию FIDO на всех устройствах, которые они используют для входа в Yahoo! ЯПОНИЯ.
Чтобы продвигать аутентификацию без пароля и быть внимательным к пользователям, которые отказываются от паролей, мы предоставляем несколько способов аутентификации. Это означает, что разные пользователи могут иметь разные настройки метода аутентификации, а методы аутентификации, которые они могут использовать, могут отличаться от браузера к браузеру. Мы считаем, что будет удобнее, если пользователи каждый раз будут входить в систему, используя один и тот же метод аутентификации.
Чтобы удовлетворить этим требованиям, необходимо отслеживать предыдущие методы аутентификации и связывать эту информацию с клиентом, сохраняя ее в виде файлов cookie и т. д. Затем мы можем проанализировать, как для аутентификации используются различные браузеры и приложения. Пользователю предлагается предоставить соответствующую аутентификацию на основе настроек пользователя, предыдущих использованных методов аутентификации и минимального требуемого уровня аутентификации.
2. Деактивация пароля
Yahoo! ЯПОНИЯ просит пользователей настроить альтернативный метод аутентификации, а затем отключить пароль, чтобы его нельзя было использовать. Помимо настройки альтернативной аутентификации, отключение аутентификации по паролю (что делает невозможным вход в систему только с паролем) помогает защитить пользователей от атак на основе списков.
Мы предприняли следующие шаги, чтобы побудить пользователей отключить свои пароли.
- Продвижение альтернативных методов аутентификации, когда пользователи сбрасывают свои пароли.
- Поощряйте пользователей настраивать простые в использовании методы аутентификации (например, FIDO) и отключать пароли в ситуациях, требующих частой аутентификации.
- Призываем пользователей отключать свои пароли перед использованием услуг высокого риска, таких как платежи в электронной коммерции.
Если пользователь забудет свой пароль, он может запустить восстановление учетной записи. Раньше это включало сброс пароля. Теперь пользователи могут выбрать другой метод аутентификации, и мы рекомендуем им это сделать.
3. Регистрация аккаунта без пароля
Новые пользователи могут создавать Yahoo! без пароля. ЯПОНСКИЕ счета. Пользователям сначала необходимо зарегистрироваться с помощью SMS-аутентификации. После входа в систему мы рекомендуем пользователю настроить аутентификацию FIDO.
Поскольку FIDO является настройкой для каждого устройства, восстановить учетную запись может быть сложно, если устройство выйдет из строя. Поэтому мы требуем, чтобы пользователи сохраняли свой номер телефона зарегистрированным даже после того, как они настроили дополнительную аутентификацию.
Ключевые проблемы аутентификации без пароля
Пароли зависят от человеческой памяти и не зависят от устройства. С другой стороны, методы аутентификации, представленные до сих пор в нашей инициативе без пароля, зависят от устройства. Это создает несколько проблем.
При использовании нескольких устройств возникают некоторые проблемы, связанные с удобством использования:
- При использовании аутентификации по SMS для входа в систему с ПК пользователи должны проверять свой мобильный телефон на наличие входящих SMS-сообщений. Это может быть неудобно, поскольку для этого требуется, чтобы телефон пользователя был доступен и к нему можно было легко получить доступ в любое время.
- При использовании FIDO, особенно при использовании средств аутентификации платформы, пользователь с несколькими устройствами не сможет пройти аутентификацию на незарегистрированных устройствах. Регистрация должна быть завершена для каждого устройства, которое они собираются использовать.
Аутентификация FIDO привязана к конкретным устройствам, поэтому необходимо, чтобы они оставались в распоряжении пользователя и были активными.
- В случае расторжения договора на оказание услуг отправка SMS-сообщений на зарегистрированный номер телефона будет невозможна.
- FIDO хранит закрытые ключи на определенном устройстве. Если устройство потеряно, эти ключи станут непригодны для использования.
Yahoo! ЯПОНИЯ предпринимает различные шаги для решения этих проблем.
Наиболее важным решением является поощрение пользователей к настройке нескольких методов аутентификации. Это обеспечивает альтернативный доступ к учетной записи в случае потери устройств. Поскольку ключи FIDO зависят от устройства, рекомендуется регистрировать закрытые ключи FIDO на нескольких устройствах.
Кроме того, пользователи могут использовать API WebOTP для передачи кодов подтверждения по SMS с телефона Android в Chrome на ПК.
Мы считаем, что решение этих проблем станет еще более важным по мере распространения аутентификации без пароля.
Продвижение беспарольной аутентификации
Yahoo! ЯПОНИЯ работает над этими инициативами без пароля с 2015 года. Это началось с получения сертификата сервера FIDO в мае 2015 года, за которым последовало введение аутентификации по SMS, функции деактивации пароля и поддержки FIDO для каждого устройства.
Сегодня более 30 миллионов активных пользователей в месяц уже отключили свои пароли и используют методы аутентификации без пароля. Yahoo! Поддержка FIDO в Японии началась с Chrome на Android, и теперь более 10 миллионов пользователей настроили аутентификацию FIDO.
В результате Yahoo! Благодаря инициативам Японии процент запросов, связанных с забытыми идентификаторами входа в систему или паролями, снизился на 25 % по сравнению с периодом, когда количество таких запросов было самым высоким, и мы также смогли подтвердить, что несанкционированный доступ сократился в результате увеличение количества беспарольных учетных записей.
Поскольку FIDO очень легко настроить, он имеет особенно высокий коэффициент конверсии. Фактически, Yahoo! ЯПОНИЯ обнаружила, что FIDO имеет более высокий CVR, чем аутентификация по SMS.
25 %
Снижение количества запросов на забытые учетные данные
74 %
Пользователи успешно используют аутентификацию FIDO
65 %
Успешная проверка по SMS
FIDO имеет более высокий уровень успеха, чем аутентификация по SMS, а также более быстрое среднее и медианное время аутентификации. Что касается паролей, у некоторых групп время аутентификации короткое, и мы подозреваем, что это связано с autocomplete="current-password" браузера.
Самая большая трудность при предложении учетных записей без пароля заключается не в добавлении методов аутентификации, а в популяризации использования аутентификаторов . Если опыт использования службы без пароля неудобен для пользователя, переход будет непростым.
Мы считаем, что для повышения безопасности мы должны сначала улучшить удобство использования, что потребует уникальных инноваций для каждой службы.
Заключение
Аутентификация по паролю является рискованной с точки зрения безопасности, а также создает проблемы с точки зрения удобства использования. Теперь, когда технологии, поддерживающие аутентификацию без пароля, такие как WebOTP API и FIDO, стали более широко доступны, пришло время начать работать над аутентификацией без пароля.
В Yahoo! В Японии такой подход оказал определенное влияние как на удобство использования, так и на безопасность. Однако многие пользователи по-прежнему используют пароли, поэтому мы продолжим поощрять больше пользователей переходить на методы аутентификации без пароля. Мы также продолжим совершенствовать наши продукты, чтобы оптимизировать работу пользователей с методами аутентификации без пароля.
Фото olieman.eth на Unsplash