Pelajari cara Yahoo! Japan membangun sistem identitas tanpa sandi.
Yahoo! JAPAN adalah salah satu perusahaan media terbesar di Jepang, layanan seperti penelusuran, berita, {i>e-commerce<i}, dan email. Lebih dari 50 juta pengguna login ke Yahoo! JAPAN setiap bulan.
Selama bertahun-tahun, terjadi banyak serangan terhadap akun pengguna dan masalah yang menyebabkan kehilangan akses akun. Sebagian besar masalah ini terkait dengan penggunaan sandi untuk otentikasi.
Dengan kemajuan terbaru dalam teknologi otentikasi, Yahoo! JAPAN telah memutuskan untuk beralih dari otentikasi berbasis {i> password<i} ke otentikasi tanpa {i>password<i}.
Mengapa tanpa sandi?
Sebagai Yahoo! JAPAN menawarkan e-commerce dan layanan terkait uang lainnya, risiko kerusakan yang signifikan terhadap pengguna jika terjadi akses yang tidak sah atau kehilangan akun.
Serangan yang paling umum terkait {i>password<i} adalah serangan {i>password<i} dan scam phishing. Salah satu alasan mengapa serangan daftar {i>password<i} sering terjadi dan efektif adalah kebiasaan banyak orang menggunakan {i>password<i} yang sama untuk aplikasi dan situs web.
Angka berikut adalah hasil dari survei yang dilakukan oleh Yahoo! JEPANG.
50 %
gunakan ID dan sandi yang sama di enam situs atau lebih
60 %
Gunakan sandi yang sama di beberapa situs
70 %
gunakan sandi sebagai cara utama untuk login
Pengguna sering kali lupa {i>password<i} mereka, yang menyebabkan sebagian besar pengguna untuk pertanyaan terkait {i>password<i}. Ada juga pertanyaan dari pengguna yang lupa ID {i>login<i} mereka, selain {i>password<i} mereka. Pada puncaknya, mencakup lebih dari sepertiga dari seluruh pertanyaan terkait akun.
Dengan beralih tanpa sandi, Yahoo! JAPAN tidak hanya berupaya meningkatkan keamanan, juga kegunaan, tanpa membebani pengguna.
Dari perspektif keamanan, menghilangkan {i> password<i} dari pengguna mengurangi kerusakan akibat serangan berbasis daftar, dan dari perspektif kegunaan, menyediakan metode otentikasi yang tidak bergantung pada tentang mengingat {i>password<i} dapat mencegah situasi di mana pengguna tidak dapat {i>login<i} karena mereka lupa {i>password<i} mereka.
Yahoo! Inisiatif tanpa sandi di Jepang
Yahoo! JAPAN mengambil sejumlah langkah untuk mempromosikan aplikasi tanpa sandi otentikasi, yang secara luas dapat dibagi menjadi tiga kategori:
- Menyediakan cara otentikasi alternatif untuk {i>password<i}.
- Penonaktifan sandi.
- Pendaftaran akun tanpa sandi.
Dua inisiatif pertama yang ditujukan untuk pengguna yang sudah ada, sementara model pendaftaran domain ditujukan untuk pengguna baru.
1. Menyediakan sarana alternatif otentikasi untuk {i>password<i}
Yahoo! JAPAN menawarkan alternatif sandi berikut.
Selain itu, kami juga menawarkan metode otentikasi seperti email otentikasi, {i>password<i} yang dikombinasikan dengan OTP ({i>password<i} sekali pakai) SMS, dan {i>password<i} yang dikombinasikan dengan OTP email.
Autentikasi SMS
Otentikasi SMS adalah sistem yang memungkinkan pengguna terdaftar untuk menerima kode otentikasi enam digit melalui SMS. Setelah pengguna menerima SMS, mereka dapat memasukkan kode otentikasi ke dalam aplikasi atau situs web.
Apple telah lama mengizinkan iOS untuk membaca pesan SMS dan menyarankan autentikasi
kode dari isi teks. Baru-baru ini, Anda dapat menggunakan saran dengan
yang menetapkan "one-time-code" dalam atribut autocomplete input
. Chrome di Android, Windows, dan Mac dapat memberikan pengalaman yang sama
menggunakan WebOTP API.
Contoh:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Kedua pendekatan tersebut dirancang untuk mencegah phishing dengan menyertakan domain dalam isi SMS dan memberikan saran hanya untuk domain yang ditentukan.
Untuk mengetahui informasi selengkapnya tentang WebOTP API dan autocomplete="one-time-code",
lihat praktik terbaik formulir OTP SMS.
FIDO dengan WebAuthn
FIDO dengan WebAuthn menggunakan pengautentikasi hardware untuk membuat kunci publik pasangan penyandian{i> <i}dan membuktikan kepemilikan. Saat {i>smartphone<i} digunakan sebagai pengautentikasi, hal ini dapat dikombinasikan dengan otentikasi biometrik (seperti sensor sidik jari atau pengenalan wajah) untuk menjalankan satu langkah autentikasi. Dalam hal ini, hanya tanda tangan dan indikasi keberhasilan dari otentikasi biometrik dikirim ke server, sehingga tidak ada risiko pencurian data biometrik.
Diagram berikut menunjukkan konfigurasi server-klien untuk FIDO. Tujuan otentikator klien mengotentikasi pengguna dengan biometrik dan menandatangani menggunakan kriptografi kunci publik. Kunci pribadi yang digunakan untuk membuat tanda tangan disimpan dengan aman di TEE (Trusted Execution Environment) atau lokasi serupa. Penyedia layanan yang menggunakan FIDO disebut RP (pihak tepercaya).
Setelah pengguna melakukan autentikasi (biasanya dengan pemindaian biometrik atau PIN), pengautentikasi menggunakan kunci pribadi untuk mengirimkan sinyal verifikasi yang ditandatangani ke browser. Kemudian, browser membagikan sinyal tersebut ke situs RP.
Situs RP kemudian mengirimkan sinyal verifikasi yang ditandatangani ke server RP, yang memverifikasi tanda tangan terhadap kunci publik untuk menyelesaikan autentikasi.
Untuk informasi selengkapnya, baca panduan autentikasi dari FIDO Alliance.
Yahoo! JAPAN mendukung FIDO di Android (aplikasi seluler dan web), iOS (aplikasi seluler dan web), Windows (Edge, Chrome, Firefox), dan macOS (Safari, Chrome). Sebagai seorang layanan konsumen, FIDO dapat digunakan di hampir semua perangkat, yang membuatnya untuk mempromosikan autentikasi tanpa sandi.
Yahoo! JAPAN merekomendasikan agar pengguna mendaftar ke FIDO dengan WebAuthn, jika telah belum diotentikasi melalui cara lain. Saat pengguna perlu login dengan perangkat yang sama, mereka dapat dengan cepat mengotentikasi menggunakan sensor biometrik.
Pengguna harus menyiapkan autentikasi FIDO dengan semua perangkat yang mereka gunakan untuk login Grup iklan Yahoo! JEPANG.
Untuk mendukung otentikasi tanpa {i>password<i} dan memperhatikan pengguna yang beralih dari sandi, kami menyediakan berbagai sarana autentikasi. Artinya, pengguna yang berbeda dapat memiliki perbedaan setelan metode autentikasi, dan metode autentikasi yang dapat digunakan mungkin berbeda dari satu browser ke browser lain. Kami yakin akan lebih baik jika pengguna yang masuk menggunakan metode otentikasi yang sama setiap saat.
Untuk memenuhi persyaratan ini, Anda perlu melacak autentikasi sebelumnya dan menautkan informasi ini ke klien dengan menyimpannya dalam bentuk cookie, dll. Kemudian kita dapat menganalisis bagaimana berbagai browser dan aplikasi digunakan untuk otentikasi. Pengguna diminta untuk memberikan autentikasi berdasarkan pengaturan pengguna, autentikasi sebelumnya metode yang digunakan, dan tingkat otentikasi minimum yang diperlukan.
2. Penonaktifan sandi
Yahoo! JAPAN meminta pengguna untuk mengatur metode otentikasi alternatif dan kemudian menonaktifkan {i>password<i} mereka sehingga tidak dapat digunakan. Selain menetapkan otentikasi alternatif, menonaktifkan otentikasi {i>password<i} (oleh karena itu sehingga tidak mungkin untuk masuk hanya dengan sandi) membantu melindungi pengguna dari serangan berbasis daftar.
Kami telah mengambil langkah-langkah berikut untuk mendorong pengguna menonaktifkan {i>password<i}.
- Mempromosikan metode autentikasi alternatif saat pengguna mereset sandi mereka.
- Mendorong pengguna untuk menyiapkan metode autentikasi yang mudah digunakan (seperti FIDO) dan nonaktifkan {i>password<i} untuk situasi yang memerlukan autentikasi.
- Meminta pengguna untuk menonaktifkan {i>password<i} mereka sebelum menggunakan layanan berisiko tinggi, seperti pembayaran e-commerce.
Jika pengguna lupa sandi, mereka dapat menjalankan pemulihan akun. Sebelumnya proses ini melibatkan pengaturan ulang {i>password<i}. Kini, pengguna dapat memilih untuk menyiapkan metode otentikasi, dan kami menyarankan mereka untuk melakukannya.
3. Pendaftaran akun tanpa sandi
Pengguna baru bisa membuat fitur Yahoo! JAPAN. Pengguna adalah yang pertama yang diperlukan untuk mendaftar dengan otentikasi SMS. Setelah mereka masuk, kita mendorong pengguna untuk menyiapkan otentikasi FIDO.
Karena FIDO adalah setelan per perangkat, sulit untuk memulihkan akun, jika perangkat tidak bisa dioperasikan. Oleh karena itu, kami mengharuskan pengguna untuk nomor telepon yang terdaftar, bahkan setelah mereka mengatur autentikasi tambahan.
Tantangan utama untuk autentikasi tanpa sandi
Sandi bergantung pada memori manusia dan tidak bergantung pada perangkat. Di sisi lain, metode otentikasi yang diperkenalkan sejauh ini dalam inisiatif tanpa {i>password<i} kami bergantung pada perangkat. Hal ini menimbulkan beberapa tantangan.
Ketika beberapa perangkat digunakan, ada beberapa masalah yang terkait dengan kegunaan:
- Saat menggunakan autentikasi SMS untuk masuk dari PC, pengguna harus memeriksa ponsel untuk pesan SMS yang masuk. Ini mungkin merepotkan, karena mengharuskan ponsel pengguna tersedia dan mudah diakses setiap saat.
- Dengan FIDO, terutama dengan otentikator platform, pengguna dengan beberapa perangkat tidak akan dapat melakukan otentikasi pada perangkat yang tidak terdaftar. Pendaftaran harus diselesaikan untuk setiap perangkat yang ingin digunakan.
Autentikasi FIDO dikaitkan dengan perangkat tertentu, yang mengharuskan perangkat tersebut tetap berada milik pengguna dan aktif.
- Jika kontrak layanan dibatalkan, kontrak tidak dapat lagi dikirim Pesan SMS ke nomor telepon yang terdaftar.
- FIDO menyimpan kunci pribadi di perangkat tertentu. Jika perangkat hilang, {i>key <i}tidak bisa digunakan.
Yahoo! JAPAN mengambil berbagai langkah untuk mengatasi masalah ini.
Solusi yang paling penting adalah mendorong pengguna untuk menyiapkan beberapa metode otentikasi. Ini memberikan akses akun alternatif ketika perangkat akan hilang. Karena kunci FIDO bergantung pada perangkat, sebaiknya mendaftarkan kunci pribadi FIDO di beberapa perangkat.
Atau, pengguna dapat menggunakan WebOTP API untuk lulus verifikasi SMS kode dari ponsel Android ke Chrome di PC.
Kami percaya bahwa penanganan masalah ini akan menjadi semakin penting seiring penyebaran otentikasi tanpa {i>password<i}.
Mempromosikan autentikasi tanpa sandi
Yahoo! JAPAN telah menangani inisiatif tanpa sandi ini sejak tahun 2015. Hal ini dimulai dengan akuisisi sertifikasi server FIDO pada Mei 2015, diikuti dengan pengenalan otentikasi SMS, penonaktifan {i>password<i} fitur, dan dukungan FIDO untuk setiap perangkat.
Saat ini, lebih dari 30 juta pengguna aktif bulanan telah menonaktifkan {i>password<i} dan menggunakan metode otentikasi {i>non-password<i}. Yahoo! JAPAN dukungan untuk FIDO dimulai dengan Chrome di Android, dan sekarang ada lebih dari 10 juta pengguna telah menyiapkan otentikasi FIDO.
Sebagai hasil penelusuran Yahoo! JAPAN, persentase pertanyaan yang melibatkan lupa {i>login<i} atau {i>password<i} telah berkurang sebesar 25% dibandingkan dengan ketika jumlah pertanyaan mencapai titik tertinggi, dan kami juga dapat memastikan bahwa akses yang tidak sah telah berkurang sebagai akibat dari peningkatan jumlah akun tanpa sandi.
Karena FIDO sangat mudah disiapkan, FIDO memiliki rasio konversi yang sangat tinggi. Faktanya, Yahoo! JAPAN menemukan bahwa FIDO memiliki CVR yang lebih tinggi daripada SMS autentikasi.
25 %
Penurunan permintaan untuk kredensial yang terlupakan
74 %
Pengguna berhasil menggunakan autentikasi FIDO
65 %
Verifikasi SMS berhasil
FIDO memiliki tingkat keberhasilan yang lebih tinggi
dibandingkan otentikasi SMS, dan rata-rata
rata-rata waktu otentikasi. Sedangkan untuk {i>password<i},
beberapa grup memiliki
waktu otentikasi, dan kami menduga bahwa ini disebabkan oleh
autocomplete="current-password"
Kesulitan terbesar untuk menawarkan akun tanpa sandi bukanlah tambahan metode autentikasi, tetapi mempopulerkan penggunaan pengautentikasi. Jika pengalaman menggunakan layanan tanpa {i>password<i} tidak mudah digunakan, maka peralihan ini tidak akan mudah.
Kami meyakini bahwa untuk mencapai peningkatan keamanan, kami harus meningkatkan kegunaan terlebih dahulu, yang akan membutuhkan inovasi unik untuk setiap layanan.
Kesimpulan
Otentikasi {i>password<i} berisiko dari segi keamanan, dan juga menimbulkan tantangan dalam hal kegunaan. Kini setelah teknologi yang mendukung autentikasi non-sandi, seperti WebOTP API dan FIDO, lebih banyak tersedia, saatnya untuk mulai mengerjakan otentikasi tanpa {i>password<i}.
Di Yahoo! Yahoo! JAPAN, yang menggunakan pendekatan ini kegunaan dan keamanan. Namun, banyak pengguna masih menggunakan {i>password<i}, jadi kami akan terus mendorong lebih banyak pengguna untuk beralih ke autentikasi tanpa sandi metode. Kami juga akan terus meningkatkan produk kami untuk mengoptimalkan pengguna untuk metode otentikasi tanpa {i>password<i}.
Foto oleh olieman.eth di Unsplash