Pelajari bagaimana Yahoo! Japan membangun sistem identitas tanpa sandi.
Yahoo! JAPAN adalah salah satu perusahaan media terbesar di Jepang, yang menyediakan layanan seperti penelusuran, berita, e-commerce, dan email. Lebih dari 50 juta pengguna login ke Yahoo! JAPAN setiap bulannya.
Selama bertahun-tahun, ada banyak serangan pada akun pengguna dan masalah yang menyebabkan hilangnya akses akun. Sebagian besar masalah ini terkait dengan penggunaan sandi untuk autentikasi.
Dengan kemajuan terbaru dalam teknologi otentikasi, Yahoo! JAPAN telah memutuskan untuk beralih dari autentikasi berbasis sandi ke tanpa sandi.
Mengapa tanpa sandi?
Sebagai Yahoo! JAPAN menawarkan e-commerce dan layanan terkait uang lainnya, sehingga berisiko menyebabkan kerusakan yang signifikan bagi pengguna jika terjadi akses yang tidak sah atau kehilangan akun.
Serangan paling umum yang terkait dengan sandi adalah serangan daftar sandi dan scam phishing. Salah satu alasan mengapa serangan daftar sandi umum terjadi dan efektif adalah kebiasaan banyak orang yang menggunakan sandi yang sama untuk beberapa aplikasi dan situs.
Gambar berikut adalah hasil survei yang dilakukan oleh Yahoo! JAPAN.
50 %
menggunakan ID dan sandi yang sama di enam situs atau lebih
60 %
Gunakan sandi yang sama di beberapa situs
70 %
menggunakan sandi sebagai cara utama untuk masuk
Pengguna sering kali lupa sandi mereka, yang merupakan penyebab sebagian besar pertanyaan terkait sandi. Ada juga pertanyaan dari pengguna yang lupa ID login selain sandi mereka. Pada puncaknya, pertanyaan ini mencakup lebih dari sepertiga dari semua pertanyaan terkait akun.
Dengan beralih tanpa sandi, Yahoo! JAPAN tidak hanya bertujuan meningkatkan keamanan, tetapi juga kegunaan, tanpa menambah beban pada pengguna.
Dari perspektif keamanan, menghapus sandi dari proses autentikasi pengguna akan mengurangi kerusakan akibat serangan berbasis daftar, dan dari perspektif kegunaan, menyediakan metode autentikasi yang tidak mengandalkan kemampuan mengingat sandi akan mencegah situasi saat pengguna tidak dapat login karena mereka lupa sandi.
Yahoo! JAPAN
Yahoo! JAPAN melakukan sejumlah langkah untuk mempromosikan autentikasi tanpa sandi, yang dapat dibagi secara luas menjadi tiga kategori:
- Menyediakan cara alternatif untuk otentikasi ke {i>password<i}.
- Penonaktifan sandi.
- Pendaftaran akun tanpa sandi.
Dua inisiatif pertama ditujukan bagi pengguna yang sudah ada, sedangkan pendaftaran tanpa sandi ditujukan bagi pengguna baru.
1. Menyediakan cara alternatif untuk otentikasi pada {i>password<i}
Yahoo! JAPAN menawarkan alternatif sandi berikut.
Selain itu, kami juga menawarkan metode autentikasi seperti autentikasi email, sandi dikombinasikan dengan OTP SMS (sandi sekali pakai), dan sandi yang dikombinasikan dengan OTP email.
Autentikasi SMS
Autentikasi SMS adalah sistem yang memungkinkan pengguna terdaftar untuk menerima kode autentikasi enam digit melalui SMS. Setelah menerima SMS, pengguna dapat memasukkan kode autentikasi di aplikasi atau situs.
Apple telah lama mengizinkan iOS untuk membaca pesan SMS dan menyarankan kode autentikasi dari isi teks. Baru-baru ini, Anda dapat menggunakan saran dengan
menentukan "one-time-code" (kode sekali pakai) dalam atribut autocomplete elemen
input. Chrome di Android, Windows, dan Mac dapat memberikan pengalaman yang sama
menggunakan WebOTP API.
Contoh:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Kedua pendekatan tersebut didesain untuk mencegah phishing dengan menyertakan domain dalam isi SMS dan memberikan saran hanya untuk domain yang ditentukan.
Untuk mengetahui informasi selengkapnya tentang WebOTP API dan autocomplete="one-time-code",
lihat praktik terbaik formulir OTP SMS.
FIDO dengan WebAuthn
FIDO dengan WebAuthn menggunakan pengautentikasi hardware untuk membuat pasangan kunci publik dan membuktikan kepemilikan. Saat digunakan sebagai autentikasi, smartphone dapat digabungkan dengan autentikasi biometrik (seperti sensor sidik jari atau pengenalan wajah) untuk melakukan autentikasi dua langkah satu langkah. Dalam hal ini, hanya tanda tangan dan indikasi keberhasilan dari autentikasi biometrik yang dikirim ke server sehingga tidak ada risiko pencurian data biometrik.
Diagram berikut menunjukkan konfigurasi klien server untuk FIDO. Autentikasi klien mengautentikasi pengguna dengan biometrik dan menandatangani hasil menggunakan kriptografi kunci publik. Kunci pribadi yang digunakan untuk membuat tanda tangan disimpan dengan aman di TEE (Trusted Execution Environment) atau lokasi serupa. Penyedia layanan yang menggunakan FIDO disebut RP (pihak tepercaya).
Setelah pengguna melakukan autentikasi (biasanya dengan pemindaian biometrik atau PIN), pengautentikasi menggunakan kunci pribadi untuk mengirim sinyal verifikasi yang ditandatangani ke browser. {i>Browser<i} kemudian membagikan sinyal itu ke situs web RP.
Situs RP kemudian mengirimkan sinyal verifikasi yang ditandatangani ke server RP, yang memverifikasi tanda tangan tersebut terhadap kunci publik untuk menyelesaikan otentikasi.
Untuk informasi selengkapnya, baca pedoman autentikasi dari FIDO Alliance.
Yahoo! JAPAN mendukung FIDO di Android (aplikasi seluler dan web), iOS (aplikasi seluler dan web), Windows (Edge, Chrome, Firefox), dan macOS (Safari, Chrome). Sebagai layanan konsumen, FIDO dapat digunakan di hampir semua perangkat, yang menjadikannya opsi yang bagus untuk mempromosikan autentikasi tanpa sandi.
Yahoo! JAPAN merekomendasikan agar pengguna mendaftar untuk FIDO dengan WebAuthn, jika mereka belum melakukan autentikasi melalui cara lain. Saat perlu login dengan perangkat yang sama, pengguna dapat dengan cepat melakukan autentikasi menggunakan sensor biometrik.
Pengguna harus menyiapkan autentikasi FIDO dengan semua perangkat yang mereka gunakan untuk login ke Yahoo! JAPAN.
Untuk mendukung autentikasi tanpa sandi dan mempertimbangkan pengguna yang beralih dari sandi, kami menyediakan berbagai cara autentikasi. Artinya, pengguna yang berbeda dapat memiliki setelan metode autentikasi yang berbeda, dan metode autentikasi yang dapat digunakan pengguna tersebut mungkin berbeda dari satu browser ke browser lainnya. Kami yakin akan menjadi pengalaman yang lebih baik jika pengguna login menggunakan metode autentikasi yang sama setiap saat.
Untuk memenuhi persyaratan ini, Anda harus melacak metode autentikasi sebelumnya dan menautkan informasi ini ke klien dengan menyimpannya dalam bentuk cookie, dsb. Selanjutnya, kita dapat menganalisis cara berbagai browser dan aplikasi digunakan untuk autentikasi. Pengguna diminta untuk memberikan autentikasi yang sesuai berdasarkan setelan pengguna, metode autentikasi sebelumnya yang digunakan, dan tingkat minimum autentikasi yang diperlukan.
2. Penonaktifan sandi
Yahoo! JAPAN meminta pengguna untuk menyiapkan metode autentikasi alternatif, lalu menonaktifkan sandi mereka agar tidak dapat digunakan. Selain menyiapkan autentikasi alternatif, menonaktifkan autentikasi sandi (sehingga membuat tidak mungkin login hanya dengan sandi) membantu melindungi pengguna dari serangan berbasis daftar.
Kami telah melakukan langkah-langkah berikut untuk mendorong pengguna menonaktifkan sandi.
- Mempromosikan metode autentikasi alternatif saat pengguna mereset sandi mereka.
- Mendorong pengguna untuk menyiapkan metode autentikasi yang mudah digunakan (seperti FIDO) dan menonaktifkan sandi untuk situasi yang memerlukan autentikasi sering.
- Mendesak pengguna untuk menonaktifkan sandi sebelum menggunakan layanan berisiko tinggi, seperti pembayaran e-commerce.
Jika pengguna lupa sandi, mereka dapat menjalankan pemulihan akun. Sebelumnya, proses ini melibatkan reset sandi. Sekarang, pengguna dapat memilih untuk menyiapkan metode autentikasi yang berbeda, dan kami mendorong mereka untuk melakukannya.
3. Pendaftaran akun tanpa sandi
Pengguna baru dapat membuat Yahoo! JAPAN. Pengguna harus terlebih dahulu mendaftar dengan autentikasi SMS. Setelah login, sebaiknya pengguna menyiapkan autentikasi FIDO.
Karena FIDO adalah setelan per perangkat, pemulihan akun mungkin sulit dilakukan jika perangkat tidak dapat dioperasikan. Oleh karena itu, kami mewajibkan pengguna untuk tetap mendaftarkan nomor teleponnya, bahkan setelah mereka menyiapkan autentikasi tambahan.
Tantangan utama untuk autentikasi tanpa sandi
{i>Password<i} mengandalkan memori manusia dan tidak bergantung pada perangkat. Di sisi lain, metode autentikasi yang diperkenalkan sejauh ini dalam inisiatif tanpa sandi bergantung pada perangkat. Hal ini menimbulkan beberapa tantangan.
Ketika beberapa perangkat digunakan, ada beberapa masalah yang terkait dengan kegunaan:
- Saat menggunakan autentikasi SMS untuk login dari PC, pengguna harus memeriksa pesan SMS yang masuk di ponselnya. Hal ini mungkin kurang nyaman karena harus menyediakan ponsel dan mudah diakses kapan saja.
- Dengan FIDO, terutama dengan pengautentikasi platform, pengguna dengan beberapa perangkat tidak akan dapat melakukan autentikasi pada perangkat yang tidak terdaftar. Pendaftaran harus diselesaikan untuk setiap perangkat yang ingin mereka gunakan.
Autentikasi FIDO terikat pada perangkat tertentu, yang mengharuskannya untuk tetap menjadi milik pengguna dan aktif.
- Jika kontrak layanan dibatalkan, pesan SMS tidak akan dapat lagi dikirim ke nomor telepon yang terdaftar.
- FIDO menyimpan kunci pribadi di perangkat tertentu. Jika perangkat hilang, kunci tersebut tidak dapat digunakan.
Yahoo! JAPAN mengambil berbagai langkah untuk mengatasi masalah ini.
Solusi yang paling penting adalah mendorong pengguna untuk menyiapkan beberapa metode autentikasi. Hal ini memberikan akses akun alternatif saat perangkat hilang. Karena kunci FIDO bergantung pada perangkat, sebaiknya Anda mendaftarkan kunci pribadi FIDO di beberapa perangkat.
Atau, pengguna dapat menggunakan WebOTP API untuk meneruskan kode verifikasi SMS dari ponsel Android ke Chrome di PC.
Kami yakin penanganan masalah ini akan menjadi makin penting seiring makin meluasnya penyebaran autentikasi tanpa sandi.
Mempromosikan autentikasi tanpa sandi
Yahoo! JAPAN telah menangani inisiatif tanpa sandi ini sejak tahun 2015. Hal ini dimulai dengan akuisisi sertifikasi server FIDO pada Mei 2015, diikuti dengan pengenalan autentikasi SMS, fitur penonaktifan sandi, dan dukungan FIDO untuk setiap perangkat.
Saat ini, lebih dari 30 juta pengguna aktif bulanan telah menonaktifkan sandi mereka dan menggunakan metode autentikasi non-sandi. Yahoo! JAPAN untuk FIDO dimulai dengan Chrome di Android, dan sekarang lebih dari 10 juta pengguna telah menyiapkan autentikasi FIDO.
Sebagai akibat dari penggunaan Yahoo! JAPAN, persentase pertanyaan yang melibatkan lupa ID login atau sandi telah menurun sebesar 25% dibandingkan dengan periode saat jumlah pertanyaan tersebut mencapai titik tertinggi, dan kami juga dapat mengonfirmasi bahwa akses tidak sah telah menurun sebagai akibat dari peningkatan jumlah akun tanpa sandi.
Karena FIDO sangat mudah disiapkan, FIDO memiliki rasio konversi yang sangat tinggi. Bahkan, Yahoo! JAPAN telah menemukan bahwa FIDO memiliki CVR yang lebih tinggi daripada autentikasi SMS.
25 %
Penurunan permintaan untuk kredensial yang terlupakan
74 %
Pengguna berhasil dengan autentikasi FIDO
65 %
Berhasil dengan verifikasi SMS
FIDO memiliki tingkat keberhasilan yang lebih tinggi daripada autentikasi SMS, serta waktu rata-rata dan
autentikasi median yang lebih cepat. Untuk sandi, beberapa grup memiliki
waktu autentikasi yang singkat, dan kami menduga hal ini disebabkan oleh
autocomplete="current-password" browser.
Kesulitan terbesar untuk menawarkan akun tanpa sandi bukanlah penambahan metode autentikasi, tetapi mempopulerkan penggunaan pengautentikasi. Jika pengalaman menggunakan layanan tanpa sandi tidak mudah digunakan, transisi tidak akan mudah.
Kami percaya bahwa untuk meningkatkan keamanan, pertama-tama kami harus meningkatkan kegunaan. Hal ini akan memerlukan inovasi unik untuk setiap layanan.
Kesimpulan
Autentikasi sandi berisiko dari segi keamanan, dan juga menimbulkan tantangan dalam hal kegunaan. Setelah teknologi yang mendukung autentikasi non-sandi, seperti WebOTP API dan FIDO, tersedia secara lebih luas, kini saatnya untuk mulai mengupayakan autentikasi tanpa sandi.
Di Yahoo! JAPAN, yang menerapkan pendekatan ini berdampak pasti pada kegunaan dan keamanan. Namun, banyak pengguna masih menggunakan sandi. Jadi, kami akan terus mendorong lebih banyak pengguna untuk beralih ke metode autentikasi tanpa sandi. Kami juga akan terus meningkatkan kualitas produk kami untuk mengoptimalkan pengalaman pengguna bagi metode autentikasi tanpa sandi.
Foto oleh olieman.eth di Unsplash