Obtén más información sobre cómo Yahoo! Japan creó un sistema de identidad sin contraseñas.
Yahoo! Japón es una de las empresas de medios más grandes del país y brinda servicios como búsqueda, noticias, comercio electrónico y correo electrónico. Más de 50 millones de usuarios acceden a Yahoo! Japón todos los meses.
A lo largo de los años, ocurrieron muchos ataques a cuentas de usuario y problemas que provocaron la pérdida de acceso a cuentas. La mayoría de estos problemas estaban relacionados con el uso de contraseñas para la autenticación.
Gracias a los recientes avances en tecnología de autenticación, Yahoo! Japón decidió pasar de la autenticación basada en contraseña a la sin contraseña.
¿Por qué usar tecnología sin contraseña?
Como Yahoo! Japón ofrece servicios de comercio electrónico y otros servicios relacionados con dinero, por lo que existe el riesgo de que los usuarios sufran daños significativos en caso de acceso no autorizado o pérdida de la cuenta.
Los ataques más comunes relacionados con las contraseñas fueron los ataques a listas de contraseñas y las estafas de suplantación de identidad (phishing). Una de las razones por las que los ataques a listas de contraseñas son comunes y eficaces es el hábito de muchas personas de usar la misma contraseña en varias aplicaciones y sitios web.
Las siguientes cifras son los resultados de una encuesta realizada por Yahoo! Japón.
50 %
usar el mismo ID y la misma contraseña en seis o más sitios
60 %
Usa la misma contraseña en varios sitios
El 70 %
usar una contraseña como la forma principal de acceder
A menudo, los usuarios olvidan sus contraseñas, lo que representa la mayoría de las consultas relacionadas con estas. También hubo consultas de usuarios que habían olvidado sus IDs de acceso además de sus contraseñas. En su punto máximo, estas consultas representaron más de un tercio de todas las consultas relacionadas con la cuenta.
Al dejar la cuenta sin contraseña, Yahoo! Japón buscaba mejorar no solo la seguridad, sino también la usabilidad, sin generar una carga adicional para los usuarios.
Desde una perspectiva de seguridad, eliminar las contraseñas del proceso de autenticación del usuario reduce el daño de los ataques basados en listas. Desde una perspectiva de usabilidad, proporcionar un método de autenticación que no se basa en recordar contraseñas evita situaciones en las que un usuario no puede acceder porque olvidó su contraseña.
Yahoo! Iniciativas sin contraseña de Japón
Yahoo! Japón está tomando una serie de medidas para promover la autenticación sin contraseña, que puede dividirse en tres categorías:
- Proporciona un medio alternativo de autenticación para las contraseñas.
- Desactivación de contraseña.
- Registro de cuentas sin contraseña.
Las primeras dos iniciativas se orientaron a los usuarios existentes, mientras que el registro sin contraseña se orientaba a los usuarios nuevos.
1. Proporcionar un medio alternativo de autenticación para las contraseñas
Yahoo! Japón ofrece las siguientes alternativas a las contraseñas.
Además, también ofrecemos métodos de autenticación, como la autenticación por correo electrónico, la contraseña combinada con OTP por SMS (contraseña de un solo uso), y la contraseña combinada con OTP por correo electrónico.
Autenticación de SMS
La autenticación por SMS es un sistema que permite que un usuario registrado reciba un código de autenticación de seis dígitos por SMS. Una vez que el usuario recibe el SMS, puede ingresar el código de autenticación en la app o el sitio web.
Desde hace tiempo, Apple permite que iOS lea los mensajes SMS y sugiera códigos de autenticación del cuerpo del texto. Recientemente, es posible usar sugerencias si especificas "código de un solo uso" en el atributo autocomplete del elemento de entrada. Chrome en Android, Windows y Mac puede ofrecer la misma experiencia con la API de WebOTP.
Por ejemplo:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Ambos enfoques se diseñaron para evitar la suplantación de identidad (phishing) mediante la inclusión del dominio en el cuerpo del SMS y la entrega de sugerencias solo para el dominio especificado.
Para obtener más información sobre la API de WebOTP y autocomplete="one-time-code", consulta las prácticas recomendadas para el formulario de OTP por SMS.
FIDO con WebAuthn
FIDO con WebAuthn usa un autenticador de hardware para generar un par de algoritmos de cifrado de clave pública y demostrar la posesión. Cuando se usa un smartphone como autenticador, se puede combinar con la autenticación biométrica (como sensores de huellas digitales o reconocimiento facial) para realizar una autenticación de dos factores en un solo paso. En este caso, solo se envían al servidor la firma y la indicación de éxito de la autenticación biométrica, por lo que no hay riesgo de robo de datos biométricos.
En el siguiente diagrama, se muestra la configuración servidor-cliente para FIDO. El autenticador de cliente autentica al usuario con datos biométricos y firma el resultado con criptografía de clave pública. La clave privada que se usa para crear la firma se almacena de forma segura en un TEE (entorno de ejecución confiable) o una ubicación similar. Un proveedor de servicios que usa FIDO se denomina RP (grupo de confianza).
Una vez que el usuario realiza la autenticación (por lo general, mediante un análisis biométrico o un PIN), el autenticador utiliza una clave privada para enviar una señal de verificación firmada al navegador. Luego, el navegador comparte esa señal con el sitio web del RP.
Luego, el sitio web del RP envía la señal de verificación firmada al servidor del RP, que verifica la firma con la clave pública para completar la autenticación.
Para obtener más información, lee los lineamientos de autenticación de FIDO Alliance.
Yahoo! Japón es compatible con FIDO en Android (app para dispositivos móviles y Web), iOS (app para dispositivos móviles y Web), Windows (Edge, Chrome y Firefox) y macOS (Safari y Chrome). Como servicio para consumidores, FIDO se puede usar en casi cualquier dispositivo, lo que lo hace una buena opción para promover la autenticación sin contraseña.
Yahoo! JAPAN recomienda que los usuarios se registren en FIDO con WebAuthn si aún no se han autenticado por otros medios. Cuando un usuario necesita acceder con el mismo dispositivo, puede autenticarse rápidamente con un sensor biométrico.
Los usuarios deben configurar la autenticación FIDO en todos los dispositivos que usan para acceder a Yahoo! Japón.
Para promover la autenticación sin contraseñas y ser considerado con los usuarios que están dejando de usar las contraseñas, proporcionamos varios medios de autenticación. Esto significa que los diferentes usuarios pueden tener diferentes parámetros de configuración de métodos de autenticación, y los métodos de autenticación que pueden usar pueden variar de un navegador a otro. Creemos que es mejor que los usuarios accedan con el mismo método de autenticación cada vez.
Para cumplir con estos requisitos, es necesario hacer un seguimiento de métodos de autenticación anteriores y vincular esta información con el cliente almacenándola en forma de cookies, etc. Luego, podemos analizar cómo se usan los diferentes navegadores y aplicaciones para la autenticación. Se le solicita al usuario que proporcione la autenticación adecuada según su configuración, los métodos de autenticación que se usaron anteriormente y el nivel mínimo de autenticación requerido.
2. Desactivación de contraseña
Yahoo! JAPAN les pide a los usuarios que configuren un método de autenticación alternativo y, luego, inhabiliten su contraseña para que no pueda usarse. Además de configurar una autenticación alternativa, inhabilitar la autenticación con contraseña (por lo tanto, es imposible acceder solo con una contraseña) ayuda a proteger a los usuarios de los ataques basados en listas.
Tomamos los siguientes pasos para alentar a los usuarios a inhabilitar sus contraseñas.
- Promocionar métodos de autenticación alternativos cuando los usuarios restablezcan sus contraseñas
- Incentivar a los usuarios a configurar métodos de autenticación fáciles de usar (como FIDO) y a inhabilitar contraseñas en situaciones que requieren autenticación frecuente
- Instar a los usuarios a inhabilitar sus contraseñas antes de usar servicios de alto riesgo, como pagos de comercio electrónico
Si un usuario olvida la contraseña, puede ejecutar una recuperación de la cuenta. Antes, esto requería el restablecimiento de la contraseña. Ahora, los usuarios pueden elegir configurar un método de autenticación diferente y les recomendamos que lo hagan.
3. Registro de cuentas sin contraseña
Los usuarios nuevos pueden crear cuentas de Yahoo! Japón sin contraseña Japón. Primero, los usuarios deben registrarse con una autenticación de SMS. Una vez que haya accedido, le recomendamos que configure la autenticación FIDO.
Dado que FIDO es una configuración específica de cada dispositivo, puede ser difícil recuperar una cuenta en caso de que el dispositivo no funcione. Por lo tanto, exigimos que los usuarios mantengan su número de teléfono registrado, incluso después de que hayan configurado autenticación adicional.
Desafíos clave para la autenticación sin contraseñas
Las contraseñas dependen de la memoria humana y son independientes del dispositivo. Por otro lado, los métodos de autenticación que presentamos hasta ahora en nuestra iniciativa sin contraseñas dependen del dispositivo. Esto plantea varios desafíos.
Cuando se usan varios dispositivos, existen algunos problemas relacionados con la usabilidad:
- Cuando se usa la autenticación de SMS para acceder desde una PC, los usuarios deben revisar su teléfono celular en busca de mensajes SMS entrantes. Esto puede ser inconveniente, ya que requiere que el teléfono del usuario esté disponible y se pueda acceder a él fácilmente en cualquier momento.
- Con FIDO, especialmente con los autenticadores de plataforma, un usuario con varios dispositivos no podrá autenticarse en dispositivos no registrados. Se debe completar el registro de cada dispositivo que deseen usar.
La autenticación FIDO está vinculada a dispositivos específicos, lo que requiere que permanezcan activos y en posesión del usuario.
- Si se cancela el contrato de servicio, ya no se podrán enviar mensajes SMS al número de teléfono registrado.
- FIDO almacena claves privadas en un dispositivo específico. Si se pierde el dispositivo, esas claves no se pueden usar.
Yahoo! Japón está tomando varias medidas para abordar estos problemas.
La solución más importante es alentar a los usuarios para que configuren varios métodos de autenticación. Esto proporciona un acceso alternativo a la cuenta cuando se pierden los dispositivos. Dado que las claves FIDO dependen del dispositivo, también es una buena práctica registrarlas en varios dispositivos.
Como alternativa, los usuarios pueden usar la API de WebOTP para pasar códigos de verificación por SMS desde un teléfono Android a Chrome en una PC.
Creemos que abordar estos problemas será aún más importante a medida que se extienda la autenticación sin contraseña.
Promueve la autenticación sin contraseña
Yahoo! Japón ha estado trabajando en estas iniciativas sin contraseña desde 2015. Esto comenzó con la adquisición de la certificación de servidores FIDO en mayo de 2015, seguida de la autenticación de SMS, una función de desactivación de contraseñas y la compatibilidad con FIDO para cada dispositivo.
Hoy en día, más de 30 millones de usuarios activos por mes ya inhabilitaron sus contraseñas y utilizan métodos de autenticación sin contraseña. Yahoo! La compatibilidad de Japón con FIDO comenzó con Chrome en Android y, ahora, más de 10 millones de usuarios han configurado la autenticación FIDO.
Como resultado de las Japón, el porcentaje de consultas sobre contraseñas o IDs de acceso olvidados disminuyó en un 25% en comparación con el período en que la cantidad de consultas alcanzó su punto máximo. También pudimos confirmar que el acceso no autorizado disminuyó como resultado del aumento en la cantidad de cuentas sin contraseña.
Como FIDO es tan fácil de configurar, tiene un porcentaje de conversiones particularmente alto. De hecho, Yahoo! JAPAN descubrió que FIDO tiene un CVR más alto que la autenticación por SMS.
25 %
Disminución de las solicitudes de credenciales olvidadas
74 %
Los usuarios tienen éxito con la autenticación FIDO
65 %
Ten éxito con la verificación por SMS
FIDO tiene una tasa de éxito más alta que la autenticación por SMS, y tiempos de autenticación promedio y medianas más rápidos. En cuanto a las contraseñas, algunos grupos tienen tiempos
de autenticación breves, y sospechamos que esto se debe a la
autocomplete="current-password" del navegador.
La mayor dificultad para ofrecer cuentas sin contraseña no es agregar métodos de autenticación, sino popularizar el uso de autenticadores. Si la experiencia de usar un servicio sin contraseña no es fácil de usar, la transición no será sencilla.
Creemos que, para lograr una mayor seguridad, primero debemos mejorar la usabilidad, que requerirá innovaciones únicas para cada servicio.
Conclusión
La autenticación de contraseñas es riesgosa en términos de seguridad y también plantea desafíos en términos de usabilidad. Ahora que las tecnologías que admiten la autenticación sin contraseña, como la API de WebOTP y FIDO, están disponibles de forma más amplia, es hora de comenzar a trabajar para lograr la autenticación sin contraseña.
En Yahoo! Japón, este enfoque tuvo un efecto definido en la usabilidad y la seguridad. Sin embargo, muchos usuarios todavía usan contraseñas, por lo que seguiremos recomendando a más usuarios que cambien a métodos de autenticación sin contraseña. También seguiremos mejorando nuestros productos para optimizar la experiencia del usuario con los métodos de autenticación sin contraseña.
Foto de olieman.eth en Unsplash