ดูข้อมูลเกี่ยวกับวิธีที่ Yahoo! Japan ได้สร้างระบบข้อมูลประจำตัวที่ไม่ต้องใช้รหัสผ่าน
Yahoo! JAPAN เป็นหนึ่งในบริษัทสื่อที่ใหญ่ที่สุดในญี่ปุ่น ซึ่งให้บริการต่างๆ เช่น การค้นหา ข่าว อีคอมเมิร์ซ และอีเมล ผู้ใช้กว่า 50 ล้านคน ลงชื่อเข้าสู่ระบบ Yahoo! JAPAN ทุกเดือน
หลายปีที่ผ่านมา มีการโจมตีบัญชีผู้ใช้หลายครั้งและมีปัญหาต่างๆ ที่ส่งผลให้เสียสิทธิ์การเข้าถึงบัญชี ปัญหาเหล่านี้ส่วนใหญ่เกี่ยวข้องกับการใช้ รหัสผ่านเพื่อการตรวจสอบสิทธิ์
ด้วยความก้าวหน้าล่าสุดของเทคโนโลยีการตรวจสอบสิทธิ์ Yahoo! JAPAN ได้ตัดสินใจ เปลี่ยนจากการตรวจสอบสิทธิ์แบบใช้รหัสผ่านไปเป็นแบบไม่ใช้รหัสผ่าน
เหตุใดจึงไม่ต้องใช้รหัสผ่าน
เนื่องจาก Yahoo! JAPAN ให้บริการอีคอมเมิร์ซและบริการอื่นๆ ที่เกี่ยวข้องกับเงิน ซึ่งมีความเสี่ยงที่จะเกิดความเสียหายอย่างมากต่อผู้ใช้ในกรณีที่การเข้าถึงที่ไม่ได้รับอนุญาตหรือการสูญหายของบัญชี
การโจมตีที่พบบ่อยที่สุดเกี่ยวกับรหัสผ่านคือการโจมตีรายการรหัสผ่านและกลโกงฟิชชิง สาเหตุหนึ่งที่ทำให้การโจมตีรายการรหัสผ่านเกิดขึ้นได้บ่อยครั้งและมีประสิทธิภาพ คือการที่หลายๆ คนใช้รหัสผ่านเดียวกันสำหรับแอปพลิเคชันและเว็บไซต์จำนวนมาก
ตัวเลขต่อไปนี้คือผลลัพธ์ของการสำรวจที่จัดทำโดย Yahoo! JAPAN
50 %
ใช้รหัสและรหัสผ่านเดียวกันในเว็บไซต์อย่างน้อย 6 แห่ง
60 %
ใช้รหัสผ่านเดียวกันในหลายเว็บไซต์
70 %
ใช้รหัสผ่านเป็นวิธีหลักในการเข้าสู่ระบบ
ผู้ใช้มักลืมรหัสผ่าน ซึ่งเป็นคำถามส่วนใหญ่ที่เกี่ยวข้องกับรหัสผ่าน นอกจากนี้ยังมีคำถามจากผู้ใช้ที่ลืมรหัสการเข้าสู่ระบบด้วย ในช่วงที่สูงสุด การสอบถามเหล่านี้คิดเป็นมากกว่า 1 ใน 3 ของการสอบถามเกี่ยวกับบัญชีทั้งหมด
ในการเลิกใช้รหัสผ่านนั้นทำให้ Yahoo! JAPAN มุ่งมั่นที่จะปรับปรุงทั้งการรักษาความปลอดภัย และการใช้งานโดยไม่เพิ่มภาระงานให้ผู้ใช้
ในแง่ของความปลอดภัย การกำจัดรหัสผ่านจากขั้นตอนการตรวจสอบสิทธิ์ผู้ใช้จะช่วยลดความเสียหายจากการโจมตีแบบรายการ และในแง่ของความสามารถในการใช้งาน โดยการนำเสนอวิธีการตรวจสอบสิทธิ์ที่ไม่ได้อาศัยการจำรหัสผ่านจะช่วยป้องกันสถานการณ์ที่ผู้ใช้ไม่สามารถเข้าสู่ระบบเพราะลืมรหัสผ่านได้
Yahoo! โครงการริเริ่มที่ไม่มีรหัสผ่านของ JAPAN
Yahoo! JAPAN กำลังดำเนินการตามขั้นตอนมากมายในการโปรโมตการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน ซึ่งแบ่งออกได้เป็น 3 หมวดหมู่ ดังนี้
- เสนอทางเลือกในการตรวจสอบสิทธิ์ให้กับรหัสผ่าน
- การปิดใช้งานรหัสผ่าน
- การลงทะเบียนบัญชีโดยไม่ต้องใช้รหัสผ่าน
โครงการริเริ่ม 2 รายการแรกมีเป้าหมายเป็นผู้ใช้เดิม ขณะที่การลงทะเบียนแบบไม่ใช้รหัสผ่านมีเป้าหมายอยู่ที่ผู้ใช้ใหม่
1. เสนอทางเลือกในการตรวจสอบสิทธิ์ให้กับรหัสผ่าน
Yahoo! JAPAN เสนอทางเลือกต่อไปนี้แทนรหัสผ่าน
นอกจากนี้ เรายังนำเสนอวิธีการตรวจสอบสิทธิ์ เช่น การตรวจสอบสิทธิ์อีเมล รหัสผ่านร่วมกับ SMS OTP (รหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว) และรหัสผ่านร่วมกับ OTP อีเมล
การตรวจสอบสิทธิ์ทาง SMS
การตรวจสอบสิทธิ์ทาง SMS เป็นระบบที่ช่วยให้ผู้ใช้ที่ลงทะเบียนได้รับรหัสการตรวจสอบสิทธิ์ 6 หลักผ่าน SMS เมื่อได้รับ SMS แล้ว ก็สามารถป้อนรหัสการตรวจสอบสิทธิ์ในแอปหรือเว็บไซต์ได้
Apple อนุญาตให้ iOS อ่านข้อความ SMS มานานแล้ว และแนะนำรหัสการตรวจสอบสิทธิ์จากเนื้อความ เมื่อไม่นานมานี้ คุณอาจใช้คำแนะนำโดยการระบุ "โค้ดแบบครั้งเดียว" ในแอตทริบิวต์ autocomplete
ขององค์ประกอบอินพุต Chrome ใน Android, Windows และ Mac จะมอบประสบการณ์การใช้งานที่เหมือนกันได้โดยใช้ WebOTP API
เช่น
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
ทั้ง 2 วิธีนี้ออกแบบมาเพื่อป้องกันฟิชชิงโดยการรวมโดเมนในส่วนเนื้อหาของ SMS และให้คำแนะนำสำหรับโดเมนที่ระบุเท่านั้น
ดูข้อมูลเพิ่มเติมเกี่ยวกับ WebOTP API และ autocomplete="one-time-code"
ได้ที่แนวทางปฏิบัติแนะนำสำหรับแบบฟอร์ม SMS OTP
FIDO กับ WebAuthn
FIDO with WebAuthn ใช้ตัวตรวจสอบสิทธิ์ฮาร์ดแวร์เพื่อสร้างคู่การเข้ารหัสคีย์สาธารณะและพิสูจน์การครอบครอง เมื่อใช้สมาร์ทโฟนเป็นเครื่องตรวจสอบสิทธิ์ อาจมีการใช้ร่วมกับการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริก (เช่น เซ็นเซอร์ลายนิ้วมือหรือการจดจำใบหน้า) เพื่อดำเนินการตรวจสอบสิทธิ์แบบ 2 ขั้นตอนแบบ 1 ขั้นตอน ในกรณีนี้ ระบบจะส่งเฉพาะลายเซ็นและตัวบ่งชี้ความสำเร็จจากการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกไปยังเซิร์ฟเวอร์เท่านั้น จึงไม่มีความเสี่ยงที่จะเกิดการโจรกรรมข้อมูลไบโอเมตริก
แผนภาพต่อไปนี้แสดงการกำหนดค่าเซิร์ฟเวอร์-ไคลเอ็นต์สำหรับ FIDO โดย Authenticator จะตรวจสอบสิทธิ์ผู้ใช้ด้วยข้อมูลไบโอเมตริกและรับรองผลลัพธ์โดยใช้วิทยาการเข้ารหัสคีย์สาธารณะ คีย์ส่วนตัวที่ใช้สร้างลายเซ็นจะได้รับการจัดเก็บไว้อย่างปลอดภัยใน TEE (Trusted Execution Environment) หรือตำแหน่งที่คล้ายกัน ผู้ให้บริการที่ใช้ FIDO เรียกว่า RP (ฝ่ายพึ่งพิง)
เมื่อผู้ใช้ตรวจสอบสิทธิ์แล้ว (โดยทั่วไปจะใช้การสแกนข้อมูลไบโอเมตริกหรือ PIN) โปรแกรม Authenticator จะใช้คีย์ส่วนตัวเพื่อส่งสัญญาณการยืนยันที่มีการรับรองไปยังเบราว์เซอร์ จากนั้นเบราว์เซอร์จะแชร์สัญญาณนั้นกับเว็บไซต์ของ RP
จากนั้นเว็บไซต์ RP จะส่งสัญญาณการยืนยันที่ลงชื่อแล้วไปยังเซิร์ฟเวอร์ของ RP ซึ่งจะยืนยันลายเซ็นกับคีย์สาธารณะเพื่อดำเนินการตรวจสอบสิทธิ์ให้เสร็จสมบูรณ์
สำหรับข้อมูลเพิ่มเติม โปรดอ่านหลักเกณฑ์การตรวจสอบสิทธิ์จาก FIDO Alliance
Yahoo! JAPAN รองรับ FIDO บน Android (แอปและเว็บบนอุปกรณ์เคลื่อนที่), iOS (แอปและเว็บบนอุปกรณ์เคลื่อนที่), Windows (Edge, Chrome, Firefox) และ macOS (Safari, Chrome) ในฐานะบริการผู้บริโภค FIDO สามารถใช้ได้ในอุปกรณ์เกือบทุกประเภท ซึ่งถือเป็นตัวเลือกที่ดีในการโปรโมตการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
Yahoo! JAPAN แนะนำให้ผู้ใช้ลงทะเบียน FIDO ด้วย WebAuthn หากยังไม่ได้ตรวจสอบสิทธิ์ด้วยวิธีอื่น เมื่อต้องลงชื่อเข้าสู่ระบบด้วยอุปกรณ์เดียวกัน ผู้ใช้จะตรวจสอบสิทธิ์ได้อย่างรวดเร็วโดยใช้เซ็นเซอร์ไบโอเมตริก
ผู้ใช้ต้องตั้งค่าการตรวจสอบสิทธิ์ FIDO ด้วยอุปกรณ์ทั้งหมดที่ใช้ในการเข้าสู่ระบบ Yahoo! JAPAN
เรามีการตรวจสอบสิทธิ์หลายรูปแบบเพื่อโปรโมตการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านและคำนึงถึงผู้ใช้ที่เลิกใช้รหัสผ่าน ซึ่งหมายความว่าผู้ใช้แต่ละคนอาจมีการตั้งค่าวิธีการตรวจสอบสิทธิ์ที่แตกต่างกัน และวิธีการตรวจสอบสิทธิ์ที่ใช้ได้จึงอาจแตกต่างกันไปในแต่ละเบราว์เซอร์ เราเชื่อว่าเป็นประสบการณ์ที่ดีกว่าหากผู้ใช้เข้าสู่ระบบโดยใช้วิธีการตรวจสอบสิทธิ์เดียวกันทุกครั้ง
เพื่อให้เป็นไปตามข้อกำหนดเหล่านี้ คุณจำเป็นต้องติดตามวิธีการตรวจสอบสิทธิ์ก่อนหน้านี้ และลิงก์ข้อมูลนี้กับไคลเอ็นต์โดยการจัดเก็บข้อมูลในรูปของคุกกี้ เป็นต้น จากนั้นเราจะวิเคราะห์วิธีใช้เบราว์เซอร์และแอปพลิเคชันต่างๆ ในการตรวจสอบสิทธิ์ได้ ระบบจะขอให้ผู้ใช้ตรวจสอบสิทธิ์ที่เหมาะสมตามการตั้งค่าของผู้ใช้ วิธีการตรวจสอบสิทธิ์ก่อนหน้านี้ที่ใช้ และระดับการตรวจสอบสิทธิ์ขั้นต่ำที่กำหนด
2. การปิดใช้งานรหัสผ่าน
Yahoo! JAPAN ขอให้ผู้ใช้ตั้งค่าวิธีการตรวจสอบสิทธิ์ทางเลือก จากนั้นปิดใช้รหัสผ่านเพื่อไม่ให้ใช้งานได้ นอกจากการตั้งค่าการตรวจสอบสิทธิ์ทางเลือกแล้ว การปิดใช้การตรวจสอบสิทธิ์ด้วยรหัสผ่าน (ดังนั้นจึงไม่สามารถลงชื่อเข้าใช้ด้วยรหัสผ่านเพียงอย่างเดียวได้) จะช่วยปกป้องผู้ใช้จากการโจมตีจากรายการ
เราได้ทำตามขั้นตอนต่อไปนี้เพื่อกระตุ้นให้ผู้ใช้ปิดใช้งานรหัสผ่าน
- การส่งเสริมวิธีการตรวจสอบสิทธิ์ทางเลือกเมื่อผู้ใช้รีเซ็ตรหัสผ่าน
- สนับสนุนให้ผู้ใช้ตั้งค่าวิธีการตรวจสอบสิทธิ์ที่ใช้งานง่าย (เช่น FIDO) และปิดใช้รหัสผ่านสำหรับสถานการณ์ที่ต้องมีการตรวจสอบสิทธิ์บ่อยๆ
- กระตุ้นให้ผู้ใช้ปิดใช้รหัสผ่านก่อนใช้บริการที่มีความเสี่ยงสูง เช่น การชำระเงินอีคอมเมิร์ซ
หากผู้ใช้ลืมรหัสผ่าน ก็สามารถดำเนินการกู้คืนบัญชีได้ ซึ่งก่อนหน้านี้ เกี่ยวข้องกับการรีเซ็ตรหัสผ่าน ตอนนี้ผู้ใช้สามารถเลือกที่จะตั้งค่าวิธีการตรวจสอบสิทธิ์ แบบอื่นก็ได้ และเราขอแนะนำให้ตั้งค่า
3. การลงทะเบียนบัญชีโดยไม่ต้องใช้รหัสผ่าน
ผู้ใช้ใหม่สามารถสร้าง Yahoo! โดยไม่ต้องใช้รหัสผ่าน JAPAN ก่อนอื่นผู้ใช้ต้องลงทะเบียนด้วยการตรวจสอบสิทธิ์ทาง SMS เมื่อผู้ใช้เข้าสู่ระบบแล้ว เราขอแนะนำให้ตั้งค่าการตรวจสอบสิทธิ์ FIDO
เนื่องจาก FIDO เป็นการตั้งค่าสำหรับแต่ละอุปกรณ์ การกู้คืนบัญชีจึงเป็นเรื่องยาก หากอุปกรณ์ดังกล่าวไม่ทำงาน ดังนั้น เราจึงกำหนดให้ผู้ใช้เก็บหมายเลขโทรศัพท์ไว้ แม้ว่าจะตั้งค่าการตรวจสอบสิทธิ์เพิ่มเติมแล้วก็ตาม
ความท้าทายหลักสำหรับการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
รหัสผ่านต้องอาศัยหน่วยความจำของมนุษย์และไม่เกี่ยวข้องกับอุปกรณ์ ในทางกลับกัน วิธีการตรวจสอบสิทธิ์ที่เริ่มใช้ในโครงการริเริ่มที่ไม่ต้องใช้รหัสผ่านนั้นจะขึ้นอยู่กับอุปกรณ์ ซึ่งก่อให้เกิดความท้าทายหลายอย่าง
เมื่อใช้อุปกรณ์หลายเครื่อง จะมีปัญหาบางอย่างที่เกี่ยวข้องกับความสามารถในการใช้งาน ดังนี้
- เมื่อใช้การตรวจสอบสิทธิ์ทาง SMS เพื่อเข้าสู่ระบบจาก PC ผู้ใช้ต้องตรวจหาข้อความ SMS ขาเข้าในโทรศัพท์มือถือ ปัญหานี้อาจสร้างความไม่สะดวก เนื่องจากผู้ใช้จะต้องใช้โทรศัพท์ที่พร้อมให้บริการและเข้าถึงได้ง่ายตลอดเวลา
- FIDO โดยเฉพาะอย่างยิ่งกับ Authenticator ของแพลตฟอร์ม ผู้ใช้ที่มีอุปกรณ์หลายเครื่องจะไม่สามารถตรวจสอบสิทธิ์ในอุปกรณ์ที่ไม่ได้ลงทะเบียน โดยต้องดำเนินการลงทะเบียนให้เสร็จสมบูรณ์สำหรับอุปกรณ์แต่ละเครื่องที่ลูกค้าตั้งใจจะใช้
การตรวจสอบสิทธิ์ FIDO จะเชื่อมโยงกับอุปกรณ์ที่เฉพาะเจาะจง ซึ่งอุปกรณ์เหล่านั้นจะยังอยู่ในการครอบครองและใช้งานของผู้ใช้
- หากสัญญาให้บริการถูกยกเลิก คุณจะไม่สามารถส่งข้อความ SMS ไปยังหมายเลขโทรศัพท์ที่ลงทะเบียนไว้ได้อีกต่อไป
- FIDO จะจัดเก็บคีย์ส่วนตัวไว้ในอุปกรณ์ที่เฉพาะเจาะจง หากอุปกรณ์สูญหาย ก็จะไม่สามารถใช้งานคีย์เหล่านั้นได้
Yahoo! JAPAN กำลังดำเนินการเพื่อจัดการกับปัญหาเหล่านี้
โซลูชันที่สำคัญที่สุดคือการกระตุ้นให้ผู้ใช้ตั้งค่าวิธีการตรวจสอบสิทธิ์หลายวิธี ซึ่งจะทำให้มีทางเลือกในการเข้าถึงบัญชี เมื่ออุปกรณ์สูญหาย เนื่องจากคีย์ FIDO ขึ้นอยู่กับอุปกรณ์ คุณจึงควรลงทะเบียนคีย์ส่วนตัว FIDO ในอุปกรณ์หลายเครื่องด้วย
อีกวิธีหนึ่งคือ ผู้ใช้อาจใช้ WebOTP API เพื่อส่งรหัสยืนยันทาง SMS จากโทรศัพท์ Android ไปยัง Chrome บน PC ได้
เราเชื่อว่าการแก้ไขปัญหาเหล่านี้จะมีความสำคัญมากยิ่งขึ้นเมื่อการตรวจสอบสิทธิ์แบบไร้รหัสผ่านแพร่กระจายออกไป
การโปรโมตการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
Yahoo! JAPAN ดำเนินการริเริ่มโครงการที่ไม่มีรหัสผ่านมาตั้งแต่ปี 2015 โดยเริ่มจากการขอรับการรับรองเซิร์ฟเวอร์ FIDO ในเดือนพฤษภาคม 2015 ตามด้วยการตรวจสอบสิทธิ์ทาง SMS, ฟีเจอร์การปิดใช้งานรหัสผ่าน และการรองรับ FIDO สำหรับอุปกรณ์แต่ละเครื่อง
ปัจจุบันมีผู้ใช้ที่ใช้งานอยู่รายเดือนกว่า 30 ล้านคน ได้ปิดใช้รหัสผ่านของตัวเองและกำลังใช้วิธีการตรวจสอบสิทธิ์แบบไม่ใช่รหัสผ่าน Yahoo! JAPAN รองรับ FIDO บน Chrome บน Android และขณะนี้มีผู้ใช้มากกว่า 10 ล้านคนตั้งค่าการตรวจสอบสิทธิ์ FIDO
เนื่องจาก Yahoo! โครงการริเริ่มของญี่ปุ่น พบว่าเปอร์เซ็นต์การสอบถามที่เกี่ยวข้องกับการลืมรหัสการเข้าสู่ระบบหรือรหัสผ่านลดลง 25% เมื่อเทียบกับช่วงเวลาที่จำนวนการสอบถามดังกล่าวเพิ่มสูงสุด และเรายังสามารถยืนยันได้ว่าการเข้าถึงที่ไม่ได้รับอนุญาตลดลง อันเป็นผลมาจากจำนวนบัญชีที่ไม่มีรหัสผ่านเพิ่มขึ้น
เนื่องจาก FIDO ตั้งค่าง่ายมาก จึงมีอัตรา Conversion สูงเป็นพิเศษ โดย Yahoo! JAPAN พบว่า FIDO มี CVR สูงกว่าการตรวจสอบสิทธิ์ผ่าน SMS
25 %
คำขอสำหรับข้อมูลเข้าสู่ระบบที่ลืมลดลง
74%%
ผู้ใช้ผ่านการตรวจสอบสิทธิ์ FIDO ได้สำเร็จ
65 %
ยืนยันผ่าน SMS เรียบร้อยแล้ว
FIDO มีอัตราความสำเร็จสูงกว่าการตรวจสอบสิทธิ์ทาง SMS และเวลาการตรวจสอบสิทธิ์โดยเฉลี่ยและค่ามัธยฐานที่เร็วกว่า สำหรับรหัสผ่าน บางกลุ่มจะมีเวลาในการตรวจสอบสิทธิ์สั้นๆ และเราคาดว่าปัญหานี้เกิดจาก autocomplete="current-password"
ของเบราว์เซอร์
ปัญหาที่ดีที่สุดสำหรับการเสนอบัญชีแบบไม่ต้องใช้รหัสผ่านคือการเพิ่มวิธีการตรวจสอบสิทธิ์ แต่นิยมใช้ Authenticator หากการใช้บริการแบบไม่ต้องใช้รหัสผ่านนั้นใช้งานยาก การเปลี่ยนแปลงก็ไม่ใช่เรื่องง่าย
เราเชื่อว่าการจะยกระดับการรักษาความปลอดภัยได้นั้น เราต้องปรับปรุงความสามารถในการใช้งานก่อน ซึ่งต้องอาศัยนวัตกรรมเฉพาะสำหรับแต่ละบริการ
บทสรุป
การตรวจสอบสิทธิ์ด้วยรหัสผ่านนั้นมีความเสี่ยงด้านความปลอดภัย และยังสร้างความท้าทายในด้านความสามารถในการใช้งานด้วย ตอนนี้เทคโนโลยีที่รองรับการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน เช่น WebOTP API และ FIDO มีให้บริการอย่างแพร่หลายมากขึ้นแล้ว ตอนนี้ก็ถึงเวลาเริ่มการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
ที่ Yahoo! JAPAN การใช้กลยุทธ์นี้มีผลอย่างมากต่อทั้งความสามารถในการใช้งานและความปลอดภัย อย่างไรก็ตาม มีผู้ใช้จำนวนมากที่ยังใช้รหัสผ่านอยู่ เราจึงยังคงส่งเสริมผู้ใช้จำนวนมากขึ้นให้เปลี่ยนไปใช้วิธีการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน นอกจากนี้ เราจะปรับปรุงผลิตภัณฑ์ของเราต่อไปเพื่อเพิ่มประสิทธิภาพประสบการณ์ ของผู้ใช้สำหรับวิธีการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
รูปภาพโดย olieman.eth ใน Unsplash