Découvrez comment Yahoo! Japan a développé un système d'identité sans mot de passe.
Les marchands Yahoo! JAPAN est l'une des plus grandes entreprises de médias au Japon. Elle propose des services de recherche, d'actualités, d'e-commerce et de messagerie. Plus de 50 millions d'utilisateurs se connectent à Yahoo! JAPAN chaque mois.
Au fil des ans, de nombreuses attaques de comptes utilisateur et problèmes ont entraîné la perte de l'accès aux comptes. La plupart de ces problèmes étaient liés à l'utilisation de mots de passe pour l'authentification.
Avec les progrès récents de la technologie d'authentification, Yahoo! JAPAN a décidé de passer de l'authentification par mot de passe à l'authentification sans mot de passe.
Pourquoi utiliser des mots de passe sans mot de passe ?
Comme Yahoo! JAPAN propose des services d'e-commerce et d'autres services financiers. Les utilisateurs risquent donc de subir un risque de dommages importants en cas d'accès non autorisé ou de perte de compte.
Les attaques les plus courantes liées aux mots de passe étaient les attaques de listes de mots de passe et les escroqueries par hameçonnage. L'une des raisons pour lesquelles les attaques par liste de mots de passe sont courantes et efficaces est l'habitude d'un grand nombre de personnes qui utilisent le même mot de passe pour plusieurs applications et sites Web.
Les chiffres suivants sont les résultats d'une enquête menée par Yahoo! JAPAN
50 %
utilisent le même identifiant et le même mot de passe sur six sites ou plus
60 %
Utiliser le même mot de passe sur plusieurs sites
70 %
utiliser un mot de passe comme moyen principal de se connecter
Les utilisateurs oublient souvent leur mot de passe, ce qui représente la majorité des demandes liées aux mots de passe. Il y a également eu des demandes d’utilisateurs qui avaient oublié leurs ID de connexion en plus de leurs mots de passe. À leur pointe, ces demandes représentaient plus du tiers de toutes les demandes liées aux comptes.
En passant au sans mot de passe, Yahoo! JAPAN visait à améliorer non seulement la sécurité, mais aussi la facilité d'utilisation, sans alourdir la charge de travail des utilisateurs.
Du point de vue de la sécurité, la suppression des mots de passe du processus d'authentification des utilisateurs réduit les dommages causés par les attaques basées sur des listes. Du point de vue de la facilité d'utilisation, fournir une méthode d'authentification qui ne repose pas sur la mémorisation des mots de passe permet d'éviter qu'un utilisateur ne puisse se connecter parce qu'il a oublié son mot de passe.
Les marchands Yahoo! Initiatives du sans mots de passe au Japon
Les marchands Yahoo! JAPAN prend un certain nombre de mesures pour promouvoir l'authentification sans mot de passe, qui peuvent être divisées en trois catégories:
- Fournir une autre méthode d'authentification aux mots de passe.
- Désactivation du mot de passe.
- Enregistrement de compte sans mot de passe.
Les deux premières initiatives ciblaient les utilisateurs existants, tandis que l'enregistrement sans mot de passe cible les nouveaux utilisateurs.
1. Fournir un autre moyen d'authentification aux mots de passe
Les marchands Yahoo! JAPAN propose les alternatives suivantes aux mots de passe.
En outre, nous proposons également des méthodes d'authentification telles que l'authentification par e-mail, le mot de passe combiné par SMS (mot de passe à usage unique) et le mot de passe associé à l'OTP par e-mail.
Authentification par SMS
L'authentification par SMS est un système qui permet à un utilisateur enregistré de recevoir un code d'authentification à six chiffres par SMS. Une fois que l'utilisateur a reçu le SMS, il peut saisir le code d'authentification dans l'application ou sur le site Web.
Apple autorise depuis longtemps iOS à lire les SMS et à suggérer des codes d'authentification à partir du corps du texte. Récemment, il est possible d'utiliser les suggestions en spécifiant "code unique" dans l'attribut autocomplete de l'élément d'entrée. Chrome sur Android, Windows et Mac peut offrir la même expérience en utilisant l'API WebOTP.
Exemple :
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Les deux approches sont conçues pour éviter l'hameçonnage en incluant le domaine dans le corps du SMS et en ne fournissant des suggestions que pour le domaine spécifié.
Pour en savoir plus sur l'API WebOTP et autocomplete="one-time-code", consultez les bonnes pratiques concernant les formulaires OTP envoyés par SMS.
FIDO avec WebAuthn
FIDO avec WebAuthn utilise un authentificateur matériel pour générer une paire de chiffrement à clé publique et prouver que vous en êtes propriétaire. Lorsqu'un smartphone est utilisé comme authentificateur, il peut être associé à une authentification biométrique (comme les capteurs d'empreinte digitale ou la reconnaissance faciale) pour effectuer une authentification à deux facteurs en une étape. Dans ce cas, seules la signature et l'indication de réussite de l'authentification biométrique sont envoyées au serveur. Il n'y a donc aucun risque de vol de données biométriques.
Le schéma suivant illustre la configuration serveur-client pour FIDO. L'authentificateur client authentifie l'utilisateur grâce à la biométrie et signe le résultat à l'aide de la cryptographie à clé publique. La clé privée utilisée pour créer la signature est stockée de manière sécurisée dans un TEE (Trusted Execution Environment) ou un emplacement similaire. Un fournisseur de services qui utilise FIDO est appelé RP (partie de confiance).
Une fois que l'utilisateur a effectué l'authentification (généralement via un scan biométrique ou un code), l'authentificateur envoie un signal de validation signé au navigateur à l'aide d'une clé privée. Le navigateur partage ensuite ce signal avec le site Web du tiers assujetti à des restrictions.
Le site Web du tiers assujetti à des restrictions envoie ensuite le signal de validation signé au serveur du tiers assujetti à des restrictions, qui vérifie la signature par rapport à la clé publique pour terminer l'authentification.
Pour en savoir plus, consultez les consignes d'authentification de la FIDO Alliance.
Les marchands Yahoo! JAPAN est compatible avec FIDO sur Android (application mobile et Web), iOS (application mobile et Web), Windows (Edge, Chrome, Firefox) et macOS (Safari, Chrome). En tant que service grand public, FIDO peut être utilisé sur presque tous les appareils, ce qui en fait une bonne option pour promouvoir l'authentification sans mot de passe.
Les marchands Yahoo! JAPAN recommande aux utilisateurs de s'inscrire à FIDO avec WebAuthn s'ils ne se sont pas déjà authentifiés par un autre moyen. Lorsqu'un utilisateur doit se connecter avec le même appareil, il peut s'authentifier rapidement à l'aide d'un capteur biométrique.
Les utilisateurs doivent configurer l'authentification FIDO sur tous les périphériques qu'ils utilisent pour se connecter à Yahoo! JAPAN
Pour promouvoir l'authentification sans mot de passe et tenir compte des utilisateurs qui abandonnent l'authentification par mot de passe, nous proposons plusieurs moyens d'authentification. Cela signifie que différents utilisateurs peuvent avoir des paramètres de méthode d'authentification différents et que les méthodes d'authentification qu'ils peuvent utiliser peuvent varier d'un navigateur à l'autre. Nous pensons que l'expérience sera meilleure si les utilisateurs se connectent à chaque fois avec la même méthode d'authentification.
Pour répondre à ces exigences, il est nécessaire de suivre les méthodes d'authentification précédentes et d'associer ces informations au client en les stockant sous la forme de cookies, etc. Nous pouvons ensuite analyser la façon dont les différents navigateurs et applications sont utilisés pour l'authentification. L'utilisateur est invité à fournir l'authentification appropriée en fonction de ses paramètres, des méthodes d'authentification utilisées précédemment et du niveau d'authentification minimal requis.
2. Désactivation du mot de passe
Les marchands Yahoo! JAPAN demande aux utilisateurs de configurer une autre méthode d'authentification, puis de désactiver leur mot de passe afin qu'il ne puisse pas être utilisé. En plus de configurer une authentification alternative, la désactivation de l'authentification par mot de passe (il est donc impossible de se connecter uniquement avec un mot de passe) permet de protéger les utilisateurs contre les attaques basées sur des listes.
Nous avons pris les mesures suivantes pour encourager les utilisateurs à désactiver leur mot de passe.
- Promouvoir des méthodes d'authentification alternatives lorsque les utilisateurs réinitialisent leurs mots de passe.
- Encourager les utilisateurs à configurer des méthodes d'authentification faciles à utiliser (telles que FIDO) et à désactiver les mots de passe pour les situations nécessitant une authentification fréquente
- Inciter les utilisateurs à désactiver leurs mots de passe avant d'utiliser des services à haut risque, tels que les paiements en ligne
Si un utilisateur oublie son mot de passe, il peut lancer une récupération de compte. Auparavant, cela impliquait une réinitialisation du mot de passe. Les utilisateurs peuvent maintenant choisir de configurer une autre méthode d'authentification. Nous les encourageons à le faire.
3. Enregistrement de compte sans mot de passe
Les nouveaux utilisateurs peuvent créer des comptes Yahoo! JAPAN. Les utilisateurs doivent d'abord s'inscrire pour bénéficier d'une authentification par SMS. Une fois connecté, nous encourageons l'utilisateur à configurer l'authentification FIDO.
Étant donné que FIDO est un paramètre propre à l'appareil, il peut être difficile de récupérer un compte si l'appareil devient inutilisable. Par conséquent, nous demandons aux utilisateurs de conserver leur numéro de téléphone enregistré, même après avoir configuré une authentification supplémentaire.
Principales questions d'authentification pour l'authentification sans mot de passe
Les mots de passe dépendent de la mémoire humaine et sont indépendants de l'appareil. D’autre part, les méthodes d’authentification présentées jusqu’à présent dans notre initiative sans mot de passe dépendent de l’appareil. Cela pose plusieurs problèmes.
Lorsque plusieurs appareils sont utilisés, certains problèmes liés à la facilité d'utilisation se posent:
- Lorsqu'ils utilisent l'authentification par SMS pour se connecter à partir d'un PC, les utilisateurs doivent vérifier si leur téléphone mobile contient des SMS entrants. Cela peut s'avérer gênant, car le téléphone de l'utilisateur doit être disponible et facile d'accès à tout moment.
- Avec FIDO, en particulier avec les authentificateurs de plate-forme, un utilisateur disposant de plusieurs appareils ne pourra pas s'authentifier sur des appareils non enregistrés. L'enregistrement doit être effectué pour chaque appareil qu'il a l'intention d'utiliser.
L'authentification FIDO est liée à des appareils spécifiques, ce qui nécessite qu'ils restent en votre possession et actifs.
- Si le contrat de service est résilié, vous ne pourrez plus envoyer de SMS au numéro de téléphone enregistré.
- FIDO stocke les clés privées sur un appareil spécifique. En cas de perte de l'appareil, ces clés sont inutilisables.
Les marchands Yahoo! JAPAN prend différentes mesures pour résoudre ces problèmes.
La solution la plus importante consiste à encourager les utilisateurs à configurer plusieurs méthodes d'authentification. Cela permet de fournir un autre accès au compte en cas de perte d'appareils. Étant donné que les clés FIDO dépendent de l'appareil, il est également recommandé d'enregistrer les clés privées FIDO sur plusieurs appareils.
Les utilisateurs peuvent également utiliser l'API WebOTP pour transmettre les codes de validation par SMS d'un téléphone Android à Chrome sur un ordinateur.
Nous pensons que la résolution de ces problèmes va devenir encore plus importante à mesure que l'authentification sans mot de passe se propagera.
Promouvoir l'authentification sans mot de passe
Les marchands Yahoo! JAPAN travaille sur ces initiatives visant à protéger les mots de passe depuis 2015. Cela a commencé par l'acquisition de la certification des serveurs FIDO en mai 2015, suivie du lancement de l'authentification par SMS, d'une fonctionnalité de désactivation du mot de passe et de la compatibilité FIDO pour chaque appareil.
À l'heure actuelle, plus de 30 millions d'utilisateurs actifs par mois ont déjà désactivé leurs mots de passe et utilisent des méthodes d'authentification sans mot de passe. Les marchands Yahoo! L'intégration de FIDO par JAPAN a commencé avec Chrome sur Android. Aujourd'hui, plus de 10 millions d'utilisateurs ont configuré l'authentification FIDO.
Grâce à Yahoo! Japan, le pourcentage de demandes concernant des identifiants de connexion ou des mots de passe oubliés a diminué de 25% par rapport à la période où le nombre de demandes de ce type était le plus élevé. Nous avons également pu confirmer que les accès non autorisés ont diminué en raison de l'augmentation du nombre de comptes sans mot de passe.
FIDO étant très facile à configurer, son taux de conversion est particulièrement élevé. En fait, Yahoo! JAPAN a constaté que FIDO avait un taux de conversion plus élevé que l'authentification par SMS.
25 %
Diminution du nombre de demandes d'identifiants oubliés
74 %
Les utilisateurs réussissent grâce à l'authentification FIDO
65 %
Validation par SMS réussie
FIDO a un taux de réussite plus élevé que l'authentification par SMS, et des temps d'authentification moyens et médians plus courts. Concernant les mots de passe, les délais d'authentification de certains groupes sont courts. Nous soupçonnons que cela est dû à la autocomplete="current-password" du navigateur.
La principale difficulté pour offrir des comptes sans mot de passe n'est pas l'ajout de méthodes d'authentification, mais la popularisation de l'utilisation d'authentificateurs. Si l'expérience d'utilisation d'un service sans mot de passe n'est pas conviviale, la transition sera difficile.
Nous pensons que pour renforcer la sécurité, nous devons d'abord améliorer la facilité d'utilisation, ce qui nécessitera des innovations uniques pour chaque service.
Conclusion
L'authentification par mot de passe présente un risque en termes de sécurité et pose également des défis en termes de facilité d'utilisation. Maintenant que les technologies compatibles avec l'authentification sans mot de passe, telles que l'API WebOTP et FIDO, sont plus largement disponibles, il est temps de commencer à travailler vers une authentification sans mot de passe.
Chez Yahoo! Yahoo! Japan, cette approche a eu un impact certain sur la facilité d'utilisation et la sécurité. Cependant, de nombreux utilisateurs utilisent encore des mots de passe. Nous continuerons donc à les encourager à passer à des méthodes d'authentification sans mot de passe. Nous continuerons également à améliorer nos produits afin d’optimiser l’expérience utilisateur pour les méthodes d’authentification sans mot de passe.
Photo par olieman.eth sur Unsplash