Yahoo! JAPAN' şifresiz kimlik doğrulaması sorguları %25 azalttı ve oturum açma süresini 2,6 kat hızlandırdı

Yahoo! Japan şifresiz bir kimlik sistemi oluşturdu.

Eiji Kitamura
Alexandra White
Alexandra White
X GitHub Mastodon
Yuya Ito
Yuya Ito
X

Yahoo! Arama, haber, e-ticaret ve e-posta gibi hizmetler sunan JAPAN, Japonya'daki en büyük medya şirketlerinden biridir. 50 milyondan fazla kullanıcı Yahoo! JAPAN hizmetine ulaşmayı planlıyor.

Yıllar içinde, kullanıcı hesaplarına yönelik çok sayıda saldırı ve hesap erişiminin kaybedilmesine yol açan sorunlar yaşandı. Bu sorunların çoğu, kimlik doğrulama için şifre kullanımıyla ilgiliydi.

Kimlik doğrulama teknolojisindeki son gelişmelerle birlikte Yahoo! JAPAN, şifre tabanlı kimlik doğrulama yönteminden şifresiz kimlik doğrulama yöntemine geçmeye karar verdi.

Neden şifresiz?

Yahoo! ve Microsoft JAPAN, e-ticaret ve parayla ilgili diğer hizmetleri sunduğundan, yetkisiz erişim veya hesap kaybı durumunda kullanıcılar için önemli hasar riski oluşturabilir.

Şifrelerle ilgili en yaygın saldırılar, şifre listesi saldırıları ve kimlik avı dolandırıcılığıydı. Şifre listesi saldırılarının yaygın ve etkili olmasının nedenlerinden biri, birçok kişinin birden fazla uygulama ve web sitesi için aynı şifreyi kullanma alışkanlığıdır.

Aşağıdaki bilgiler, Yahoo! JAPAN tarafından işletilir.

    %50

    altı veya daha fazla sitede aynı kimlik ve şifreyi kullanmalıdır

    %60

    Aynı şifreyi birden fazla sitede kullanma

    %70

    giriş yapmak için birincil yöntem olarak şifre kullanma

Kullanıcılar genellikle şifrelerini unuturlar. Şifreyle ilgili sorguların çoğunluğunda bu durum oluşturur. Şifrelerine ek olarak giriş kimliklerini de unutmuş kullanıcılardan gelen sorgular da vardı. En yüksek zamanda, bu sorgular hesapla ilgili tüm sorguların üçte birinden fazlasını oluşturdu.

Yahoo! JAPAN, yalnızca güvenliği değil, aynı zamanda kullanılabilirliği de kullanıcılara ekstra yük yüklemeden iyileştirmeyi amaçladı.

Güvenlik açısından bakıldığında, kullanıcı kimlik doğrulama işleminden şifrelerin kaldırılması, listeye dayalı saldırılardan kaynaklanan zararı azaltır ve kullanılabilirlik açısından, şifrelerin hatırlanmasına dayalı olmayan bir kimlik doğrulama yöntemi sağlar. Bu sayede kullanıcının şifresini unuttuğu için giriş yapamadığı durumlar önlenir.

Yahoo! JAPAN'ın şifresiz girişimleri

Yahoo! JAPAN, şifresiz kimlik doğrulamayı desteklemek için bir dizi adım uygulamaktadır. Bu adımlar genel olarak üç kategoriye ayrılabilir:

  1. Şifrelerde kimlik doğrulama için alternatif bir yöntem sağlama.
  2. Şifre devre dışı bırakma.
  3. Şifresiz hesap kaydı.

İlk iki girişim mevcut kullanıcılara, şifresiz kayıt ise yeni kullanıcılara yöneliktir.

1. Şifrelere alternatif kimlik doğrulama yöntemi sağlama

Yahoo! JAPAN, şifrelere aşağıdaki alternatifleri sunar.

  1. SMS kimlik doğrulaması
  2. WebAuthn ile FIDO

Ayrıca, e-posta kimlik doğrulaması, SMS OTP'si (tek kullanımlık şifre) ile şifre ve e-posta OTP'si ile birleştirilen şifre gibi kimlik doğrulama yöntemleri de sunuyoruz.

SMS kimlik doğrulaması

SMS kimlik doğrulaması, kayıtlı bir kullanıcının SMS yoluyla altı haneli kimlik doğrulama kodu almasına olanak tanıyan bir sistemdir. Kullanıcı SMS aldıktan sonra, kimlik doğrulama kodunu uygulamaya veya web sitesine girebilir.

Apple, iOS'in SMS mesajlarını okumasına ve metin gövdesinden kimlik doğrulama kodları önermesine uzun süredir izin vermektedir. Son zamanlarda giriş öğesinin autocomplete özelliğinde "tek seferlik kod" belirterek önerileri kullanmak mümkün hale geldi. Android, Windows ve Mac'teki Chrome, WebOTP API'yi kullanarak aynı deneyimi sunabilir.

Örneğin:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>

if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

Her iki yaklaşım da, alanı SMS gövdesine ekleyerek ve yalnızca belirtilen alan için öneriler sunarak kimlik avını önlemek üzere tasarlanmıştır.

WebOTP API ve autocomplete="one-time-code" hakkında daha fazla bilgi için SMS OTP formu en iyi uygulamalarına göz atın.

WebAuthn ile FIDO

WebAuthn ile FIDO, ortak anahtar şifre çifti oluşturmak ve sahipliği kanıtlamak için bir donanım kimlik doğrulayıcı kullanır. Kimlik doğrulayıcı olarak akıllı telefon kullanılıyorsa bu cihaz, tek adımlı iki faktörlü kimlik doğrulama gerçekleştirmek için biyometrik kimlik doğrulama (parmak izi sensörleri veya yüz tanıma gibi) ile birleştirilebilir. Bu durumda sunucuya yalnızca biyometrik kimlik doğrulamadaki imza ve başarı bilgisi gönderilir, böylece biyometrik veri hırsızlığı riski ortadan kalkar.

Aşağıdaki şemada FIDO için sunucu-istemci yapılandırması gösterilmektedir. İstemci kimlik doğrulayıcı, kullanıcının kimliğini biyometri ile doğrular ve ortak anahtar kriptografisini kullanarak sonucu imzalar. İmzayı oluşturmak için kullanılan özel anahtar, bir TEE (Güvenilir Yürütme Ortamı) veya benzer bir konumda güvenli bir şekilde depolanır. FIDO kullanan servis sağlayıcılara RP (bağlı taraf) denir.

Kullanıcı, kimlik doğrulamasını gerçekleştirdikten sonra (genellikle biyometrik tarama veya PIN ile), kimlik doğrulayıcı, tarayıcıya imzalı bir doğrulama sinyali göndermek için özel bir anahtar kullanır. Ardından tarayıcı bu sinyali kısıtlanmış tarafın web sitesiyle paylaşır.

Ardından RP web sitesi, imzalı doğrulama sinyalini RP sunucusuna gönderir. Bu sinyal, kimlik doğrulamayı tamamlamak için imzayı ortak anahtarla doğrular.

Daha fazla bilgi için FIDO Alliance'ın kimlik doğrulama yönergelerini okuyun.

Yahoo! JAPAN; Android (mobil uygulama ve web), iOS (mobil uygulama ve web), Windows (Edge, Chrome, Firefox) ve macOS (Safari, Chrome)'da FIDO'yu destekler. Bir tüketici hizmeti olarak FIDO hemen hemen tüm cihazlarda kullanılabildiğinden şifresiz kimlik doğrulamayı teşvik etmek için iyi bir seçenektir.

İşletim Sistemi FIDO desteği
Android Uygulamalar, Tarayıcı (Chrome)
iOS Uygulamalar (iOS14 veya üzeri), Tarayıcı (Safari 14 veya üzeri)
Windows Tarayıcı (Edge, Chrome, Firefox)
Mac (Big Sur veya sonraki sürümler) Tarayıcı (Safari, Chrome)
Örnek Yahoo! JAPAN isteminde FIDO ile kimlik doğrulaması gerçekleştirilir.

Yahoo! JAPAN, başka yöntemlerle kimlik doğrulaması yapmamış kullanıcıların FIDO'ya WebAuthn ile kaydolmasını önerir. Bir kullanıcının aynı cihazla giriş yapması gerektiğinde, biyometrik sensör kullanarak hızla kimlik doğrulaması yapabilir.

Kullanıcılar, Yahoo! JAPAN tarafından işletilir.

Şifresiz kimlik doğrulamayı teşvik etmek ve şifrelerden geçiş yapan kullanıcılara karşı saygılı olmak için birden fazla kimlik doğrulama yöntemi sağlıyoruz. Bu, farklı kullanıcıların farklı kimlik doğrulama yöntemi ayarlarına sahip olabileceği ve kullanabilecekleri kimlik doğrulama yöntemlerinin tarayıcıdan tarayıcıya farklılık gösterebileceği anlamına gelir. Kullanıcıların her seferinde aynı kimlik doğrulama yöntemini kullanarak giriş yapmasının daha iyi bir deneyim olacağına inanıyoruz.

Bu gereksinimlerin karşılanması için önceki kimlik doğrulama yöntemlerini izlemek ve bu bilgileri çerez biçiminde saklayarak istemciye bağlamanız gerekir. Ardından, farklı tarayıcı ve uygulamaların kimlik doğrulama için nasıl kullanıldığını analiz edebiliriz. Kullanıcının ayarlarına, kullanılan önceki kimlik doğrulama yöntemlerine ve gereken minimum kimlik doğrulama düzeyine göre kullanıcıdan uygun kimlik doğrulamasını sağlaması istenir.

2. Şifreyi devre dışı bırakma

Yahoo! JAPAN, kullanıcılardan alternatif bir kimlik doğrulama yöntemi ayarlamalarını ve ardından kullanılamaması için şifrelerini devre dışı bırakmalarını ister. Alternatif kimlik doğrulaması ayarlamaya ek olarak, şifre kimlik doğrulamasının devre dışı bırakılması (dolayısıyla yalnızca bir şifreyle oturum açmayı imkansız hale getirmek) kullanıcıların liste tabanlı saldırılardan korunmasına yardımcı olur.

Kullanıcıları, şifrelerini devre dışı bırakmaya teşvik etmek için aşağıdaki adımları uyguladık.

  • Kullanıcılar şifrelerini sıfırladığında alternatif kimlik doğrulama yöntemleri tanıtılmalıdır.
  • Kullanıcıları kullanımı kolay kimlik doğrulama yöntemleri (ör. FIDO) oluşturmaya ve sık kimlik doğrulama gerektiren durumlarda şifrelerini devre dışı bırakmaya teşvik etme.
  • E-ticaret ödemeleri gibi yüksek riskli hizmetleri kullanmadan önce kullanıcılardan şifrelerini devre dışı bırakmalarını isteme.

Bir kullanıcı, şifresini unutursa hesap kurtarma işlemi gerçekleştirebilir. Önceden bu işlem şifre sıfırlama işlemi gerektiriyordu. Artık kullanıcılar farklı bir kimlik doğrulama yöntemi ayarlayabilir. Onlardan bunu yapmalarını öneriyoruz.

3. Şifresiz hesap kaydı

Yeni kullanıcılar şifre kullanmadan Yahoo! JAPAN hesapları için kullanmaya devam edebilirsiniz. Kullanıcıların öncelikle SMS kimlik doğrulamasıyla kaydolması gerekir. Giriş yaptıktan sonra, kullanıcının FIDO kimlik doğrulamasını ayarlamasını öneririz.

FIDO cihaza özel bir ayar olduğundan, cihazın çalışamaz hale gelmesi durumunda bir hesabın kurtarılması zor olabilir. Bu nedenle, kullanıcıların ek kimlik doğrulama ayarlarını yaptıktan sonra bile telefon numaralarını kayıtlı tutmaları gerekir.

Şifresiz kimlik doğrulama için anahtar sorgulamaları

Şifreler insan hafızasına dayalıdır ve cihazdan bağımsızdır. Diğer yandan, şifresiz girişimimizde şimdiye kadar sunulan kimlik doğrulama yöntemleri cihaza bağlıdır. Bu durum, çeşitli zorlukları beraberinde getirir.

Birden fazla cihaz kullanıldığında, kullanılabilirlikle ilgili bazı sorunlar olur:

  • Bir bilgisayardan giriş yapmak için SMS kimlik doğrulamasını kullanırken kullanıcılar, gelen SMS mesajları için cep telefonlarını kontrol etmelidir. Bu işlem, kullanıcının telefonunun her zaman kullanılabilir ve kolayca erişilebilir olmasını gerektirdiği için kullanışlı olmayabilir.
  • FIDO sayesinde, özellikle platform kimlik doğrulayıcıları söz konusu olduğunda birden fazla cihaza sahip bir kullanıcı, kayıtlı olmayan cihazlarda kimlik doğrulaması yapamaz. Kayıt işlemi, kullanmayı amaçladıkları her cihaz için tamamlanmalıdır.

FIDO kimlik doğrulaması belirli cihazlara bağlıdır. Bu da, bu cihazların kullanıcının elinde ve etkin kalmasını gerektirir.

  • Hizmet sözleşmesi iptal edilirse kayıtlı telefon numarasına artık SMS gönderilemez.
  • FIDO, özel anahtarları belirli bir cihazda depolar. Cihaz kaybolursa bu anahtarlar kullanılamaz.

Yahoo! JAPAN bu sorunları gidermek için çeşitli adımlar atmaktadır.

En önemli çözüm, kullanıcıları birden fazla kimlik doğrulama yöntemi ayarlamaya teşvik etmektir. Bu sayede, cihazlar kaybolduğunda alternatif hesap erişimi sağlanır. FIDO anahtarları cihaza bağlı olduğundan, FIDO özel anahtarlarını birden fazla cihaza kaydetmek de iyi bir uygulamadır.

Alternatif olarak, kullanıcılar bir Android telefondan PC'deki Chrome'a SMS doğrulama kodlarını geçirmek için WebOTP API'sini kullanabilir.

Şifresiz kimlik doğrulama yaygınlaştıkça bu sorunların ele alınması daha da önemli hale gelecek.

Şifresiz kimlik doğrulamayı teşvik etme

Yahoo! JAPAN, 2015 yılından beri bu şifresiz girişimler üzerinde çalışmaktadır. Bu süreç Mayıs 2015'te FIDO sunucu sertifikasının alınmasıyla başladı. Ardından SMS ile kimlik doğrulama, şifre devre dışı bırakma özelliği ve her cihaz için FIDO desteği kullanıma sunuldu.

Günümüzde 30 milyondan fazla aylık etkin kullanıcı, şifrelerini devre dışı bırakmış ve şifre dışı kimlik doğrulama yöntemleri kullanıyor. Yahoo! JAPAN'ın FIDO'ya yönelik desteği Android'de Chrome ile başladı ve şu anda 10 milyondan fazla kullanıcı FIDO kimlik doğrulamasını ayarladı.

Yahoo! Japan'in girişimlerinde, unutulan giriş kimliklerinin veya şifrelerin yer aldığı sorguların yüzdesi, bu tür sorguların en yüksek olduğu döneme göre% 25 oranında azaldı. Ayrıca, şifresiz hesapların sayısındaki artış nedeniyle yetkisiz erişimin azaldığını da doğrulayabiliyoruz.

FIDO'nun ayarlanması son derece kolay olduğundan, özellikle yüksek bir dönüşüm oranına sahip. Hatta Yahoo! JAPAN, FIDO'nun SMS kimlik doğrulamasından daha yüksek bir TO'ya sahip olduğunu tespit etti.

    %25

    Unutulan kimlik bilgileri taleplerinde azalma

    %74

    Kullanıcılar, FIDO kimlik doğrulamasıyla başarılı oldu

    %65

    SMS doğrulamasıyla başarılı olun

FIDO, SMS ile kimlik doğrulamadan daha yüksek bir başarı oranına ve daha kısa ortalama ve ortanca değer kimlik doğrulama sürelerine sahiptir. Şifreler söz konusu olduğunda, bazı grupların kısa kimlik doğrulama süreleri vardır ve bunun tarayıcının autocomplete="current-password" özelliğinden kaynaklandığından şüpheleniyoruz.

Şifreler, SMS ve FIDO için kimlik doğrulama sürelerinin grafiğini karşılaştırma.
FIDO'nun kimlik doğrulaması ortalama 8 saniye, şifreler 21 saniye, SMS ile doğrulama ise 27 saniye sürer.

Şifresiz hesaplar sunmanın en büyük zorluğu, kimlik doğrulama yöntemlerinin eklenmesi değil, kimlik doğrulayıcıların kullanımının popüler hale getirilmesidir. Şifresiz bir hizmetten yararlanma deneyiminiz kullanıcı dostu değilse geçiş kolay olmayacaktır.

Daha iyi güvenlik sağlamak için öncelikle kullanılabilirliği iyileştirmemiz gerektiğine inanıyoruz. Bu da her hizmet için benzersiz yenilikler yapılmasını gerektirecektir.

Sonuç

Şifre kimlik doğrulaması hem güvenlik açısından risklidir hem de kullanılabilirlik açısından zorlukları beraberinde getirir. Artık WebOTP API ve FIDO gibi şifresiz kimlik doğrulamayı destekleyen teknolojiler daha yaygın şekilde kullanılıyor. Şimdi şifresiz kimlik doğrulama için çalışmaya başlamanın zamanı geldi.

Yahoo! bu yaklaşımı benimsemenin hem kullanılabilirlik hem de güvenlik üzerinde kesin bir etkisi oldu. Bununla birlikte, birçok kullanıcı hâlâ şifre kullanıyor. Bu nedenle, daha fazla kullanıcıyı şifresiz kimlik doğrulama yöntemlerine geçmeye teşvik etmeye devam edeceğiz. Şifresiz kimlik doğrulama yöntemleriyle ilgili kullanıcı deneyimini optimize etmek için ürünlerimizi geliştirmeye devam edeceğiz.

Fotoğraf: olieman.eth tarafından Unsplash'ta