Découvrez comment Yahoo! Japan a conçu un système d'identité sans mot de passe.
Les marchands Yahoo! JAPAN est l'une des plus grandes entreprises multimédias du Japon. Elle propose des services tels que la recherche, les actualités, l'e-commerce et la messagerie. Plus de 50 millions d'utilisateurs se connectent à Yahoo! JAPAN chaque mois.
Au fil des ans, de nombreuses attaques et problèmes ont entraîné la perte d'accès aux comptes utilisateur. La plupart de ces problèmes étaient liés à l'utilisation de mots de passe pour l'authentification.
Compte tenu des progrès récents en matière de technologie d'authentification, Yahoo! JAPAN a décidé de passer de l'authentification par mot de passe à l'authentification sans mot de passe.
Pourquoi les méthodes sans mot de passe ?
En tant que compte Yahoo! JAPAN offre des services d'e-commerce et d'autres services liés à l'argent, un risque de préjudice important pour les utilisateurs en cas d'accès non autorisé ou de perte de compte.
Les attaques les plus courantes liées aux mots de passe étaient les attaques par liste de mots de passe et les escroqueries par hameçonnage. L'une des raisons pour lesquelles les attaques par liste de mots de passe sont courantes et efficaces est l'habitude de nombreux utilisateurs d'utiliser le même mot de passe pour plusieurs applications et sites Web.
Les chiffres suivants sont les résultats d'une enquête menée par Yahoo! JAPON.
50 %
utilisent le même identifiant et le même mot de passe sur au moins six sites
60 %
Utiliser le même mot de passe sur plusieurs sites
70 %
utiliser un mot de passe comme moyen principal de connexion
Les utilisateurs oublient souvent leurs mots de passe, qui constituent la majorité des demandes liées aux mots de passe. Des utilisateurs qui avaient oublié leur ID de connexion en plus de leur mot de passe ont également été interrogés. À leur apogée, ces demandes représentaient plus d'un tiers de toutes les demandes liées aux comptes.
En passant au sans mot de passe, Yahoo! Japan visait à améliorer non seulement la sécurité, mais aussi la facilité d'utilisation, sans imposer une charge supplémentaire aux utilisateurs.
Du point de vue de la sécurité, l'élimination des mots de passe du processus d'authentification des utilisateurs réduit les dommages causés par les attaques basées sur des listes et, du point de vue de la facilité d'utilisation, en fournissant une méthode d'authentification qui ne repose pas sur la mémorisation des mots de passe, empêche les utilisateurs de se connecter parce qu'ils ont oublié leur mot de passe.
Les marchands Yahoo! Initiatives sans mot de passe du Japon
Les marchands Yahoo! JAPAN a mis en place un certain nombre de mesures pour promouvoir l'authentification sans mot de passe, qui peuvent être divisées en trois grandes catégories:
- Fournir un autre moyen d'authentification aux mots de passe.
- Désactivation du mot de passe.
- Enregistrement de compte sans mot de passe.
Les deux premières initiatives visaient les utilisateurs existants, tandis que l'enregistrement sans mot de passe s'adresse aux nouveaux utilisateurs.
1. Fournir un autre moyen d'authentification aux mots de passe
Les marchands Yahoo! JAPAN offre des alternatives aux mots de passe :
En outre, nous proposons également des méthodes d'authentification telles que l'authentification par e-mail, un mot de passe associé à un mot de passe à usage unique envoyé par SMS et un mot de passe associé à un mot de passe à usage unique par e-mail.
Authentification par SMS
L'authentification par SMS est un système qui permet à un utilisateur enregistré de recevoir un code d'authentification à six chiffres par SMS. Une fois que l'utilisateur reçoit le SMS, il peut saisir le code d'authentification dans l'application ou sur le site Web.
Apple autorise depuis longtemps iOS à lire les SMS et à suggérer des codes d'authentification à partir du corps du texte. Récemment, il est devenu possible d'utiliser les suggestions en spécifiant un "code à usage unique" dans l'attribut autocomplete de l'élément d'entrée. Chrome sur Android, Windows et Mac peut offrir la même expérience en utilisant l'API WebOTP.
Exemple :
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Les deux approches sont conçues pour prévenir l'hameçonnage en incluant le domaine dans le corps du SMS et en fournissant des suggestions uniquement pour le domaine spécifié.
Pour en savoir plus sur l'API WebOTP et autocomplete="one-time-code", consultez les bonnes pratiques concernant les formulaires OTP envoyés par SMS.
FIDO avec WebAuthn
FIDO avec WebAuthn utilise un authentificateur matériel pour générer une paire de chiffrement à clé publique et prouver la possession. Lorsqu'un smartphone est utilisé comme authentificateur, il peut être associé à l'authentification biométrique (par exemple, un capteur d'empreinte digitale ou la reconnaissance faciale) pour effectuer une authentification à deux facteurs en une étape. Dans ce cas, seules la signature et l'indication de réussite de l'authentification biométrique sont envoyées au serveur. Il n'y a donc aucun risque de vol de données biométriques.
Le schéma suivant illustre la configuration serveur-client pour FIDO. L'authentificateur client authentifie l'utilisateur à l'aide de la biométrie et signe le résultat à l'aide de la cryptographie à clé publique. La clé privée utilisée pour créer la signature est stockée de manière sécurisée dans un environnement d'exécution sécurisé (TEE) ou dans un emplacement similaire. Un fournisseur de services qui utilise FIDO est appelé RP (partie de confiance).
Une fois que l'utilisateur a effectué l'authentification (généralement à l'aide d'un scan biométrique ou d'un code PIN), l'authentificateur utilise une clé privée pour envoyer un signal de validation signé au navigateur. Le navigateur partage ensuite ce signal avec le site Web du tiers assujetti à des restrictions.
Le site Web du tiers assujetti à des restrictions envoie ensuite le signal de validation signé au serveur du tiers assujetti à des restrictions, qui vérifie la signature à l'aide de la clé publique pour effectuer l'authentification.
Pour en savoir plus, consultez les consignes d'authentification de FIDO Alliance.
Les marchands Yahoo! JAPAN est compatible avec FIDO sur Android (application mobile et Web), iOS (application mobile et Web), Windows (Edge, Chrome, Firefox) et macOS (Safari, Chrome). En tant que service grand public, FIDO peut être utilisé sur presque tous les appareils, ce qui en fait une bonne option pour promouvoir l'authentification sans mot de passe.
Les marchands Yahoo! JAPAN recommande aux utilisateurs de s'inscrire à FIDO avec WebAuthn s'ils ne se sont pas déjà authentifiés par d'autres moyens. Lorsqu'un utilisateur doit se connecter avec le même appareil, il peut rapidement s'authentifier à l'aide d'un capteur biométrique.
Les utilisateurs doivent configurer l'authentification FIDO sur tous les appareils qu'ils utilisent pour se connecter à Yahoo! JAPON.
Pour favoriser l'authentification sans mot de passe et tenir compte des utilisateurs qui cessent d'utiliser les mots de passe, nous proposons plusieurs moyens d'authentification. Cela signifie que différents utilisateurs peuvent disposer de paramètres de méthode d'authentification différents, et que les méthodes d'authentification qu'ils peuvent utiliser peuvent varier d'un navigateur à l'autre. Nous pensons qu'il est préférable que les utilisateurs se connectent en utilisant la même méthode d'authentification à chaque fois.
Pour répondre à ces exigences, il est nécessaire de suivre les méthodes d'authentification précédentes et d'associer ces informations au client en les stockant sous la forme de cookies, etc. Nous pouvons ensuite analyser la manière dont différents navigateurs et applications sont utilisés pour l'authentification. L'utilisateur est invité à fournir une authentification appropriée en fonction de ses paramètres, des méthodes d'authentification utilisées précédemment et du niveau minimal d'authentification requis.
2. Désactivation du mot de passe
Les marchands Yahoo! JAPAN demande aux utilisateurs de configurer une autre méthode d'authentification, puis de désactiver leur mot de passe pour qu'il ne puisse pas être utilisé. En plus de configurer une authentification alternative, la désactivation de l'authentification par mot de passe (ce qui rend impossible la connexion avec un seul mot de passe) contribue à protéger les utilisateurs contre les attaques basées sur des listes.
Nous avons pris les mesures suivantes pour encourager les utilisateurs à désactiver leur mot de passe.
- Promouvoir d'autres méthodes d'authentification lorsque les utilisateurs réinitialisent leurs mots de passe
- Encourager les utilisateurs à configurer des méthodes d'authentification faciles à utiliser (telles que FIDO) et à désactiver les mots de passe dans les situations nécessitant une authentification fréquente
- Inviter les utilisateurs à désactiver leur mot de passe avant d'utiliser des services à haut risque, tels que les paiements en ligne
Si un utilisateur oublie son mot de passe, il peut lancer une procédure de récupération de compte. Auparavant, cela impliquait une réinitialisation du mot de passe. Les utilisateurs peuvent maintenant choisir de configurer une méthode d'authentification différente, ce que nous les encourageons à le faire.
3. Enregistrement d'un compte sans mot de passe
Les nouveaux utilisateurs peuvent créer des comptes Yahoo! sans mot de passe JAPAN. Les utilisateurs doivent d'abord s'inscrire à l'aide d'une authentification par SMS. Une fois connecté, nous l'encourageons à configurer l'authentification FIDO.
Étant donné que FIDO est un paramètre propre à chaque appareil, il peut être difficile de récupérer un compte si l'appareil devient inutilisable. Par conséquent, nous demandons aux utilisateurs de conserver leur numéro de téléphone enregistré, même après avoir configuré une authentification supplémentaire.
Principaux défis de l'authentification sans mot de passe
Les mots de passe dépendent de la mémoire humaine et sont indépendants de l'appareil. En revanche, les méthodes d'authentification introduites jusqu'à présent dans notre initiative sans mot de passe dépendent de l'appareil. Cela pose plusieurs problèmes.
Lorsque plusieurs appareils sont utilisés, certains problèmes sont liés à la facilité d'utilisation:
- Lorsque vous utilisez l'authentification par SMS pour se connecter à partir d'un ordinateur, les utilisateurs doivent vérifier si leur téléphone mobile a reçu des SMS. Cela peut être gênant, car cela exige que le téléphone de l'utilisateur soit disponible et facilement accessible à tout moment.
- Avec FIDO, en particulier avec les authentificateurs de plate-forme, un utilisateur disposant de plusieurs appareils ne peut pas s'authentifier sur des appareils non enregistrés. L'enregistrement doit être effectué pour chaque appareil qu'ils ont l'intention d'utiliser.
L'authentification FIDO est liée à des appareils spécifiques, ce qui nécessite qu'ils restent en la possession et actifs de l'utilisateur.
- Si le contrat de service est résilié, vous ne pourrez plus envoyer de SMS au numéro de téléphone enregistré.
- FIDO stocke les clés privées sur un appareil spécifique. Si l'appareil est perdu, ces clés deviennent inutilisables.
Les marchands Yahoo! JAPAN prend différentes mesures pour résoudre ces problèmes.
La solution la plus importante consiste à encourager les utilisateurs à configurer plusieurs méthodes d'authentification. Cela fournit un accès alternatif au compte en cas de perte d'un appareil. Étant donné que les clés FIDO dépendent des appareils, il est également recommandé d'enregistrer des clés privées FIDO sur plusieurs appareils.
Les utilisateurs peuvent également utiliser l'API WebOTP pour transmettre des codes de validation par SMS depuis un téléphone Android vers Chrome sur un PC.
Nous pensons que la résolution de ces problèmes deviendra d'autant plus importante à mesure que l'authentification sans mot de passe se propage.
Promouvoir l'authentification sans mot de passe
Les marchands Yahoo! JAPAN travaille sur ces initiatives sans mot de passe depuis 2015. Cela a commencé avec l'acquisition de la certification de serveur FIDO en mai 2015, suivie de l'introduction de l'authentification par SMS, d'une fonctionnalité de désactivation de mot de passe et de la compatibilité avec FIDO pour chaque appareil.
Aujourd'hui, plus de 30 millions d'utilisateurs actifs par mois ont déjà désactivé leurs mots de passe et utilisent des méthodes d'authentification autres que les mots de passe. Les marchands Yahoo! Le Japon a pris en charge FIDO avec Chrome sur Android. Aujourd'hui, plus de 10 millions d'utilisateurs ont configuré l'authentification FIDO.
Suite à l'utilisation de Yahoo! D'après les initiatives de JAPON, le pourcentage de demandes impliquant des identifiants de connexion ou des mots de passe oubliés a diminué de 25% par rapport à la période où le nombre de demandes de ce type était le plus élevé. Nous avons également pu confirmer que les accès non autorisés ont diminué en raison de l'augmentation du nombre de comptes sans mot de passe.
FIDO est très simple à configurer, ce qui lui permet d'enregistrer un taux de conversion particulièrement élevé. En fait, Yahoo! JAPAN a constaté que FIDO enregistre un taux de conversion plus élevé que l'authentification par SMS.
25 %
Baisse du nombre de demandes d'identifiants oubliés
74 %
Les utilisateurs réussissent avec l'authentification FIDO
65 %
Réussir la validation par SMS
FIDO présente un taux de réussite plus élevé que l'authentification par SMS et des durées d'authentification moyennes et médianes plus rapides. En ce qui concerne les mots de passe, certains groupes ont des délais d'authentification courts. Nous pensons que cela est dû au paramètre autocomplete="current-password" du navigateur.
La difficulté majeure pour proposer des comptes sans mot de passe n'est pas d'ajouter des méthodes d'authentification, mais de populariser l'utilisation des authentificateurs. Si l'utilisation d'un service sans mot de passe n'est pas conviviale, la transition ne sera pas facile.
Nous pensons que pour renforcer la sécurité, nous devons d'abord améliorer la facilité d'utilisation, ce qui nécessitera des innovations uniques pour chaque service.
Conclusion
L'authentification par mot de passe présente des risques en termes de sécurité, mais également des difficultés en termes de facilité d'utilisation. Maintenant que les technologies prenant en charge l'authentification sans mot de passe, telles que l'API WebOTP et FIDO, sont plus largement disponibles, il est temps de commencer à travailler à l'authentification sans mot de passe.
Chez Yahoo! JAPAN, cette approche a eu un effet certain sur la facilité d'utilisation et la sécurité. Toutefois, de nombreux utilisateurs se servent encore de mots de passe. Nous continuerons donc à encourager davantage d'utilisateurs à passer à des méthodes d'authentification sans mot de passe. Nous continuerons également à améliorer nos produits afin d'optimiser l'expérience utilisateur pour les méthodes d'authentification sans mot de passe.
Photo par olieman.eth sur Unsplash