Yahoo! जापान में बिना पासवर्ड के पुष्टि करने की सुविधा से जुड़ी क्वेरी 25% कम हुई. साथ ही, साइन इन करने के समय में 2.6 गुना की बढ़ोतरी हुई

जानें कि कैसे Yahoo! जापान ने बिना पासवर्ड वाला आइडेंटिटी सिस्टम बनाया.

Eiji Kitamura

Alexandra Klepper

Yuya Ito

Yahoo! JAPAN, जापान की सबसे बड़ी मीडिया कंपनियों में से एक है. यह खोज, समाचार, ई-कॉमर्स, और ई-मेल जैसी सेवाएं उपलब्ध कराता है. 5 करोड़ से भी ज़्यादा उपयोगकर्ता Yahoo! हर महीने JAPAN की सेवाएं पाएं.

पिछले कुछ सालों में, उपयोगकर्ता खातों पर कई हमले हुए और ऐसी समस्याएं हुईं जिनकी वजह से खाते का ऐक्सेस खो गया. इनमें से ज़्यादातर समस्याएं, पुष्टि करने के लिए पासवर्ड के इस्तेमाल से जुड़ी थीं.

पुष्टि करने की टेक्नोलॉजी में हाल ही में हुई प्रोग्रेस के साथ, Yahoo! JAPAN ने पासवर्ड के बजाय बिना पासवर्ड के पुष्टि करने का फ़ैसला लिया है.

बिना पासवर्ड के क्यों?

चूंकि Yahoo! JAPAN, ई-कॉमर्स और पैसे से जुड़ी अन्य सेवाएं देता है. साथ ही, बिना अनुमति के ऐक्सेस या खाता खो जाने से उपयोगकर्ताओं को काफ़ी नुकसान हो सकता है.

पासवर्ड से जुड़े आम तौर पर होने वाले हमले, पासवर्ड की सूची वाले हमले और फ़िशिंग धोखाधड़ी थे. पासवर्ड की सूची के हमले आम और असरदार होने की एक वजह यह है कि कई लोगों को कई ऐप्लिकेशन और वेबसाइटों के लिए एक ही पासवर्ड इस्तेमाल करना पड़ता है.

नीचे दिए गए आंकड़े Yahoo! की ओर से किए गए एक सर्वे के नतीजे हैं. जापान.

50 _%

छह या इससे ज़्यादा साइटों पर एक ही आईडी और पासवर्ड का इस्तेमाल करना

60 _%

कई साइटों के लिए एक ही पासवर्ड का इस्तेमाल करना

70 _%

लॉगिन करने के लिए मुख्य तरीके के तौर पर पासवर्ड का इस्तेमाल करना

उपयोगकर्ता अक्सर अपने पासवर्ड भूल जाते हैं. यही वजह है कि पासवर्ड से जुड़ी ज़्यादातर पूछताछ की जाती है. ऐसे उपयोगकर्ताओं से भी पूछताछ की गई जिन्होंने अपने पासवर्ड के साथ-साथ लॉगिन आईडी भी भूल गए थे. अपने चरम पर, इस तरह की पूछताछ के बारे में खाते से जुड़ी सभी पूछताछों में से एक तिहाई से भी ज़्यादा सवाल पूछे गए.

बिना पासवर्ड के साइन इन करके, Yahoo! JAPAN का मकसद न सिर्फ़ सुरक्षा को बेहतर बनाना था, बल्कि उपयोगिता को भी बेहतर बनाना था, ताकि उपयोगकर्ताओं पर ज़्यादा बोझ न पड़े.

सुरक्षा के लिहाज़ से, उपयोगकर्ता की पुष्टि करने की प्रोसेस से पासवर्ड हटाने से सूची पर आधारित हमलों से होने वाला नुकसान कम होता है. साथ ही, पुष्टि करने का एक ऐसा तरीका उपलब्ध कराना जिसमें पासवर्ड याद रखने पर भरोसा नहीं होता हो, पासवर्ड भूल जाने की वजह से उपयोगकर्ता लॉगिन नहीं कर पाता है.

Yahoo! JAPAN के बिना पासवर्ड के पहल

Yahoo! JAPAN बिना पासवर्ड के पुष्टि करने को बढ़ावा देने के लिए कई कदम उठा रहा है. इन्हें तीन कैटगरी में बांटा जा सकता है:

1. पासवर्ड की पुष्टि करने का कोई दूसरा तरीका उपलब्ध कराएं.
2. पासवर्ड बंद करना.
3. बिना पासवर्ड के खाता रजिस्ट्रेशन.

पहले दो पहलों को मौजूदा उपयोगकर्ताओं के लिए बनाया गया है, जबकि बिना पासवर्ड के रजिस्ट्रेशन वाले कैंपेन को नए उपयोगकर्ताओं के लिए बनाया गया है.

1. पासवर्ड की पुष्टि करने के लिए कोई और तरीका उपलब्ध कराना

Yahoo! JAPAN, पासवर्ड के लिए ये विकल्प देता है.

1. एसएमएस की पुष्टि करना
2. WebAuthn के साथ FIDO

इसके अलावा, हम पुष्टि करने के तरीके भी ऑफ़र करते हैं, जैसे कि ईमेल की पुष्टि करना, एसएमएस ओटीपी के साथ पासवर्ड (एक बार इस्तेमाल होने वाला पासवर्ड), और ईमेल ओटीपी के साथ पासवर्ड.

एसएमएस की मदद से पुष्टि करना

एसएमएस की मदद से पुष्टि करने का सिस्टम, रजिस्टर किए गए उपयोगकर्ता को एसएमएस के ज़रिए छह अंकों का पुष्टि करने वाला कोड पाने की सुविधा देता है. उपयोगकर्ता को एसएमएस मिलने के बाद, वे ऐप्लिकेशन या वेबसाइट में पुष्टि करने वाला कोड डाल सकते हैं.

Apple ने iOS को लंबे समय से मैसेज पढ़ने की अनुमति दी हुई है. साथ ही, यह मैसेज के मुख्य हिस्से से, पुष्टि करने वाले कोड के सुझाव दे सकता है. हाल ही में, इनपुट एलिमेंट के autocomplete एट्रिब्यूट में "वन-टाइम-कोड" तय करके, सुझावों का इस्तेमाल किया जा सकता है. Android, Windows, और Mac पर Chrome, WebOTP API का इस्तेमाल करके एक जैसा अनुभव दे सकता है.

उदाहरण के लिए:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>

if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

दोनों तरीके फ़िशिंग को रोकने के लिए डिज़ाइन किए गए हैं. इसके लिए, मैसेज (एसएमएस) के मुख्य हिस्से में डोमेन को शामिल किया जाता है और सिर्फ़ बताए गए डोमेन के लिए सुझाव दिए जाते हैं.

WebOTP API और autocomplete="one-time-code" के बारे में ज़्यादा जानकारी के लिए, एसएमएस ओटीपी वाले फ़ॉर्म के इस्तेमाल के सबसे सही तरीके देखें.

WebAuthn के साथ FIDO

WebAuthn वाला FIDO, सार्वजनिक पासकोड साइफ़र पेयर जनरेट करने और अपने पास होने की पुष्टि करने के लिए हार्डवेयर की पुष्टि करने वाले टूल का इस्तेमाल करता है. जब किसी स्मार्टफ़ोन को पुष्टि करने वाले के तौर पर इस्तेमाल किया जाता है, तो इसे बायोमेट्रिक तरीके से पुष्टि करने की सुविधा (जैसे, फ़िंगरप्रिंट सेंसर या चेहरे की पहचान) के साथ जोड़ा जा सकता है. ऐसा करके, एक चरण में दो तरीकों से पुष्टि की जा सकती है. इस मामले में, सिर्फ़ हस्ताक्षर और बायोमेट्रिक ऑथेंटिकेशन से भेजे गए ईमेल के सही होने का संकेत सर्वर को भेजा जाता है. इससे बायोमेट्रिक डेटा के चोरी होने का कोई खतरा नहीं होता.

यहां दिया गया डायग्राम, FIDO के लिए सर्वर-क्लाइंट कॉन्फ़िगरेशन को दिखाता है. क्लाइंट की पुष्टि करने वाला टूल, बायोमेट्रिक्स की मदद से उपयोगकर्ता की पुष्टि करता है और सार्वजनिक पासकोड क्रिप्टोग्राफ़ी का इस्तेमाल करके नतीजे पर हस्ताक्षर करता है. हस्ताक्षर बनाने के लिए इस्तेमाल की जाने वाली निजी कुंजी को TEE (ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट) या इससे मिलती-जुलती जगह पर सुरक्षित तरीके से सेव किया जाता है. FIDO का इस्तेमाल करने वाली सेवा देने वाली कंपनी को आरपी (निवासी पक्ष) कहा जाता है.

ज़्यादा जानकारी के लिए, FIDO Alliance के पुष्टि करने के दिशा-निर्देश पढ़ें.

Yahoo! JAPAN, Android (मोबाइल ऐप्लिकेशन और वेब), iOS (मोबाइल ऐप्लिकेशन और वेब), Windows (Edge, Chrome, Firefox), और macOS (Safari, Chrome) पर FIDO के साथ काम करता है. एक उपभोक्ता सेवा के तौर पर, FIDO का इस्तेमाल करीब-करीब सभी डिवाइसों पर किया जा सकता है. इसलिए, बिना पासवर्ड के पुष्टि करने के लिए यह एक अच्छा विकल्प है.

Yahoo! JAPAN का सुझाव है कि अगर उपयोगकर्ताओं ने किसी दूसरे तरीके से पहले से पुष्टि न की हो, तो वे WebAuthn से FIDO के लिए रजिस्टर करें. जब किसी उपयोगकर्ता को उसी डिवाइस से लॉग इन करना होता है, वे बायोमेट्रिक सेंसर का इस्तेमाल करके तुरंत अपनी पहचान की पुष्टि कर सकते हैं.

उपयोगकर्ताओं को उन सभी डिवाइसों पर FIDO पुष्टि करने की सुविधा सेट अप करनी होगी जिनका इस्तेमाल वेYahoo में लॉग इन करने के लिए करते हैं! जापान.

हम बिना पासवर्ड के पुष्टि करने के कई तरीके उपलब्ध कराते हैं. इसका मकसद बिना पासवर्ड के पुष्टि करने की सुविधा को प्रमोट करना है. इसका मतलब है कि अलग-अलग उपयोगकर्ताओं के पास पुष्टि करने के तरीके की अलग-अलग सेटिंग हो सकती हैं. यह भी हो सकता है कि पुष्टि करने के वे तरीके ब्राउज़र के हिसाब से अलग-अलग हों. हमारा मानना है कि अगर उपयोगकर्ता हर बार एक ही प्रमाणीकरण विधि का उपयोग करके लॉग इन करते हैं, तो यह बेहतर अनुभव है.

इन ज़रूरी शर्तों को पूरा करने के लिए, पुष्टि करने के पिछले तरीकों को ट्रैक करना और इस जानकारी को कुकी वगैरह के तौर पर सेव करके, क्लाइंट से लिंक करना होगा. इसके बाद, हम यह विश्लेषण कर सकते हैं कि पुष्टि करने के लिए अलग-अलग ब्राउज़र और ऐप्लिकेशन का इस्तेमाल कैसे किया जाता है. उपयोगकर्ता से उसकी सेटिंग, पुष्टि करने के लिए इस्तेमाल किए गए पिछले तरीकों, और पुष्टि के लिए ज़रूरी कम से कम लेवल के आधार पर, सही पुष्टि करने के लिए कहा जाता है.

2. पासवर्ड बंद करना

Yahoo! JAPAN, उपयोगकर्ताओं को पुष्टि करने का कोई दूसरा तरीका सेट अप करने और पासवर्ड बंद करने के लिए कहता है, ताकि उसका इस्तेमाल न किया जा सके. पुष्टि करने का दूसरा तरीका सेट अप करने के अलावा, पासवर्ड की पुष्टि की सुविधा बंद करने (इस वजह से, सिर्फ़ पासवर्ड से साइन इन नहीं किया जा सकता) से उपयोगकर्ताओं को सूची में शामिल होने वाले हमलों से बचाने में मदद मिलती है.

उपयोगकर्ताओं को अपना पासवर्ड बंद करने के लिए बढ़ावा देने के लिए, हमने यह तरीका अपनाया है.

• उपयोगकर्ताओं के अपने पासवर्ड रीसेट करने पर, पुष्टि करने के दूसरे तरीकों का प्रमोशन करना.
• उपयोगकर्ताओं को, पुष्टि करने के आसान तरीके (जैसे कि FIDO) सेट अप करने के लिए बढ़ावा देना. साथ ही, बार-बार पुष्टि करने की ज़रूरत पड़ने पर पासवर्ड बंद करना.
• उपयोगकर्ताओं से बहुत ज़्यादा जोखिम वाली सेवाओं, जैसे कि ई-कॉमर्स के ज़रिए पैसे चुकाने से पहले, अपने पासवर्ड बंद करने के लिए कहना.

अगर कोई उपयोगकर्ता अपना पासवर्ड भूल जाता है, तो वह खाता वापस पाने की प्रक्रिया शुरू कर सकता है. पहले इसमें पासवर्ड रीसेट करना पड़ता था. अब उपयोगकर्ता पुष्टि करने का एक अलग तरीका सेट अप कर सकते हैं और हम उन्हें ऐसा करने के लिए बढ़ावा देते हैं.

3. बिना पासवर्ड के खाता रजिस्ट्रेशन

नए उपयोगकर्ता बिना पासवर्ड के Yahoo! JAPAN खाते. सबसे पहले, उपयोगकर्ताओं के लिए एसएमएस की मदद से रजिस्टर करना ज़रूरी है. लॉग इन करने के बाद, हम उपयोगकर्ता को FIDO के पुष्टि करने की सुविधा सेट अप करने का सुझाव देते हैं.

FIDO हर डिवाइस के लिए सेटिंग है. इसलिए, अगर डिवाइस काम नहीं करता है, तो खाते को वापस पाना मुश्किल हो सकता है. इसलिए, हम चाहते हैं कि उपयोगकर्ता अपना फ़ोन नंबर रजिस्टर रखें, भले ही उन्होंने पुष्टि करने के लिए अतिरिक्त सुविधा सेट अप की हो.

बिना पासवर्ड के पुष्टि करने की मुख्य चुनौतियां

पासवर्ड, डिवाइस की मेमोरी पर निर्भर होते हैं और किसी दूसरे डिवाइस का इस्तेमाल करते हैं. वहीं दूसरी ओर, बिना पासवर्ड के पुष्टि करने के लिए इस्तेमाल किए गए तरीके अब तक डिवाइस पर निर्भर करते हैं. इस वजह से, कई चुनौतियों का सामना करना पड़ सकता है.

जब एक से ज़्यादा डिवाइस का इस्तेमाल किया जाता है, तो उपयोगिता से जुड़ी कुछ समस्याएं होती हैं:

• किसी पीसी से लॉग इन करने के लिए, एसएमएस की मदद से लॉग इन करते समय, उपयोगकर्ताओं को अपने मोबाइल फ़ोन पर आने वाले एसएमएस की जांच करनी होगी. यह असुविधाजनक हो सकता है, क्योंकि उपयोगकर्ता के लिए यह ज़रूरी होता है कि फ़ोन उपलब्ध हो और उसे कभी भी आसानी से ऐक्सेस किया जा सके.
• FIDO के मामले में, खास तौर पर प्लैटफ़ॉर्म की पुष्टि करने वाले सिस्टम के साथ, एक से ज़्यादा डिवाइस इस्तेमाल करने वाला उपयोगकर्ता बिना रजिस्ट्रेशन वाले डिवाइस पर अपनी पहचान की पुष्टि नहीं कर पाएगा. आपको हर उस डिवाइस के लिए रजिस्ट्रेशन करना होगा जिसका इस्तेमाल करना है.

FIDO पुष्टि कुछ खास डिवाइसों से जुड़ी होती है. इसके लिए, यह ज़रूरी है कि वे डिवाइस उपयोगकर्ता के पास हों और चालू हों.

• अगर सेवा का अनुबंध रद्द हो जाता है, तो रजिस्टर किए गए फ़ोन नंबर पर मैसेज (एसएमएस) नहीं भेजा जा सकेगा.
• FIDO किसी खास डिवाइस पर निजी पासकोड सेव करता है. अगर डिवाइस खो जाता है, तो उन कुंजियों का इस्तेमाल नहीं किया जा सकेगा.

Yahoo! इन समस्याओं को हल करने के लिए, JAPAN कई कदम उठा रहा है.

सबसे अहम समाधान है, उपयोगकर्ताओं को पुष्टि करने के कई तरीके सेट अप करने के लिए बढ़ावा देना. इससे डिवाइसों के खो जाने पर, खाते का ऐक्सेस देने का विकल्प मिलता है. FIDO कुंजियां डिवाइस पर निर्भर करती हैं. इसलिए, अलग-अलग डिवाइसों पर FIDO निजी कुंजियों के तौर पर रजिस्टर करना भी अच्छा तरीका है.

इसके अलावा, उपयोगकर्ता किसी Android फ़ोन से पीसी पर Chrome पर एसएमएस से पुष्टि करने वाला कोड पास करने के लिए WebOTP API का इस्तेमाल कर सकते हैं.

हम मानते हैं कि बिना पासवर्ड की पुष्टि के ज़्यादा से ज़्यादा लोगों तक इन समस्याओं को हल करना और भी ज़रूरी हो जाएगा.

बिना पासवर्ड के पुष्टि करने का प्रचार करने के बारे में जानकारी

Yahoo! JAPAN, 2015 से बिना पासवर्ड वाले इन पहलों पर काम कर रहा है. इसकी शुरुआत मई 2015 में FIDO सर्वर सर्टिफ़िकेशन हासिल करने के बाद हुई थी. इसके बाद, एसएमएस से पुष्टि करने, पासवर्ड बंद करने की सुविधा, और हर डिवाइस के लिए FIDO की सुविधा उपलब्ध कराई गई.

आज, महीने के हिसाब से 3 करोड़ से ज़्यादा सक्रिय उपयोगकर्ता अपने पासवर्ड पहले ही बंद कर चुके हैं और पासवर्ड के अलावा पुष्टि करने के तरीकों का इस्तेमाल कर रहे हैं. Yahoo! FIDO के लिए JAPAN का काम, Android पर Chrome के साथ शुरू हुआ और अब 1 करोड़ से ज़्यादा उपयोगकर्ताओं ने FIDO के ज़रिए पुष्टि करने की सुविधा सेट अप की है.

जैसे कि Yahoo! JAPAN की पहल के दौरान, भूले गए लॉगिन आईडी या पासवर्ड वाली पूछताछ के प्रतिशत में, उस समय की तुलना में 25% की कमी आई है जब इस तरह की पूछताछ की संख्या सबसे ज़्यादा थी. साथ ही, हम यह भी पुष्टि कर पाए हैं कि बिना पासवर्ड वाले खातों की संख्या बढ़ने की वजह से, बिना अनुमति वाले ऐक्सेस अस्वीकार कर दिए गए हैं.

FIDO को सेट अप करना बहुत आसान है, इसलिए इसकी कन्वर्ज़न दर बहुत ज़्यादा है. असल में, Yahoo! JAPAN ने पाया है कि FIDO के पास मैसेज (एसएमएस) की पुष्टि करने के मुकाबले ज़्यादा CVR है.

25 _%

क्रेडेंशियल भूल जाने के अनुरोधों की संख्या में हुई कमी

74 _%

FIDO से पुष्टि करने की प्रोसेस पूरी हुई

65 _%

मैसेज (एसएमएस) से पुष्टि की प्रक्रिया पूरी हुई

FIDO के पास मैसेज (एसएमएस) की मदद से पुष्टि करने की तुलना में ज़्यादा सफल होने की दर है. साथ ही, पुष्टि करने में लगने वाला औसत समय और मीडियन पुष्टि में ज़्यादा समय लगता है. पासवर्ड की तरह ही, कुछ ग्रुप के लिए पुष्टि करने का कम समय लगता है और हमें लगता है कि ऐसा ब्राउज़र के autocomplete="current-password" की वजह से हुआ है.

बिना पासवर्ड वाले खातों की सुविधा देने में सबसे बड़ी मुश्किल, पुष्टि करने के तरीकों को जोड़ना नहीं है, बल्कि Authenticator के इस्तेमाल को लोकप्रिय बनाना है. अगर बिना पासवर्ड वाली सेवा का इस्तेमाल करना उपयोगकर्ता के लिए आसान नहीं है, तो सदस्यता बदलना आसान नहीं होगा.

हमारा मानना है कि बेहतर सुरक्षा पाने के लिए हमें सबसे पहले उपयोगिता को बेहतर बनाना होगा, इसके लिए हर सेवा के लिए अलग तरह के इनोवेशन की ज़रूरत होगी.

नतीजा

पासवर्ड की पुष्टि करना सुरक्षा के लिहाज़ से जोखिम भरा है. साथ ही, यह उपयोगिता के मामले में चुनौतियां भी बन सकता है. अब पासवर्ड के बिना पुष्टि करने वाली टेक्नोलॉजी, जैसे कि WebOTP API और FIDO पहले से ज़्यादा इस्तेमाल हो रही हैं. इसलिए, अब बिना पासवर्ड के पुष्टि करने की सुविधा का इस्तेमाल शुरू करने का समय आ गया है.

Yahoo! JAPAN, इस तरीके को अपनाने से उपयोगिता और सुरक्षा, दोनों पर असर पड़ा है. हालांकि, कई उपयोगकर्ता अब भी पासवर्ड का इस्तेमाल कर रहे हैं. इसलिए, हम ज़्यादा से ज़्यादा उपयोगकर्ताओं को बिना पासवर्ड के पुष्टि करने के तरीकों पर स्विच करने के लिए बढ़ावा देते रहेंगे. हम अपने प्रॉडक्ट को बेहतर बनाना भी जारी रखेंगे, ताकि बिना पासवर्ड के पुष्टि करने के तरीकों के लिए, उपयोगकर्ता अनुभव को ऑप्टिमाइज़ किया जा सके.

Unस्प्लैश पर olieman.eth की फ़ोटो