Ulteriori informazioni sul funzionamento di Yahoo! Japan ha creato un sistema di identità senza password.
Migrazione dei sitelink di Yahoo! JAPAN è una delle più grandi società di media del Giappone, che fornisce servizi come ricerca, notizie, e-commerce ed email. Oltre 50 milioni di utenti accedono a Yahoo! JAPAN ogni mese.
Nel corso degli anni, ci sono stati molti attacchi agli account utente e problemi che hanno portato alla perdita dell'accesso all'account. La maggior parte di questi problemi riguardava l'uso della password per l'autenticazione.
Grazie ai recenti progressi nella tecnologia di autenticazione, Yahoo! JAPAN ha deciso di passare dall'autenticazione basata su password a quella senza password.
Perché senza password?
Poiché Yahoo! JAPAN offre servizi di e-commerce e altri servizi monetari, pertanto esiste il rischio di danni significativi agli utenti in caso di accesso non autorizzato o perdita dell'account.
Gli attacchi più comuni legati alle password sono stati quelli legati agli elenchi delle password e alle frodi di phishing. Uno dei motivi per cui gli attacchi con elenchi di password sono comuni ed efficaci è l'abitudine di molte persone di utilizzare la stessa password per più applicazioni e siti web.
Le cifre riportate di seguito sono i risultati di un sondaggio condotto da Yahoo! GIAPPONE.
50 %
usare lo stesso ID e la stessa password su sei o più siti
Il 60 %
Utilizzare la stessa password su più siti
Il 70 %
usa una password come metodo principale per accedere
Gli utenti spesso dimenticano la password, che ha rappresentato la maggior parte delle richieste relative alle password. Ci sono state anche richieste da parte di utenti che avevano dimenticato gli ID di accesso, oltre alla password. Al loro apice, queste richieste rappresentavano più di un terzo di tutte le richieste relative all'account.
Passando senza password, Yahoo! JAPAN ha puntato a migliorare non solo la sicurezza, ma anche l'usabilità, senza porre ulteriori oneri per gli utenti.
Dal punto di vista della sicurezza, l'eliminazione delle password dal processo di autenticazione utente riduce il danno degli attacchi basati su elenchi e, dal punto di vista dell'usabilità, fornisce un metodo di autenticazione che non si basi sulla memorizzazione delle password evita situazioni in cui un utente non è in grado di accedere perché ha dimenticato la password.
Migrazione dei sitelink di Yahoo! Iniziative del JAPAN senza password
Migrazione dei sitelink di Yahoo! JAPAN sta attuando una serie di misure per promuovere l'autenticazione senza password, che possono essere suddivise in tre categorie:
- Fornire un metodo di autenticazione alternativo alle password.
- Disattivazione password.
- Registrazione account senza password.
Le prime due iniziative sono rivolte agli utenti esistenti, mentre la registrazione senza password è rivolta ai nuovi utenti.
1. Fornire un mezzo di autenticazione alternativo alle password
Migrazione dei sitelink di Yahoo! JAPAN offre le seguenti alternative alle password.
Inoltre, offriamo anche metodi di autenticazione come l'autenticazione dell'email, la password combinata con la OTP per SMS (password unica) e la password combinata con la OTP via email.
Autenticazione SMS
L'autenticazione SMS è un sistema che consente a un utente registrato di ricevere un codice di autenticazione a sei cifre tramite SMS. Dopo aver ricevuto l'SMS, l'utente può inserire il codice di autenticazione nell'app o nel sito web.
Apple consente da tempo a iOS di leggere gli SMS e suggerire codici di autenticazione dal corpo del testo. Di recente è diventato possibile utilizzare i suggerimenti
specificando "one-time-code" nell'attributo autocomplete dell'elemento
di input. Chrome su Android, Windows e Mac può fornire la stessa esperienza utilizzando l'API WebOTP.
Ad esempio:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Entrambi gli approcci sono progettati per prevenire il phishing includendo il dominio nel corpo dell'SMS e fornendo suggerimenti solo per il dominio specificato.
Per maggiori informazioni sull'API WebOTP e su autocomplete="one-time-code",
consulta le best practice per i moduli OTP via SMS.
FIDO con WebAuthn
FIDO con WebAuthn utilizza un autenticatore hardware per generare una coppia di crittografia a chiave pubblica e dimostrare il possesso. Quando uno smartphone viene utilizzato come autenticatore, è possibile combinarlo con l'autenticazione biometrica (ad esempio i sensori di impronte o il riconoscimento facciale) per eseguire l'autenticazione a due fattori in un solo passaggio. In questo caso, solo la firma e l'indicazione di successo dell'autenticazione biometrica vengono inviate al server, quindi non esiste alcun rischio di furto di dati biometrici.
Il seguente diagramma mostra la configurazione server-client per FIDO. L'autenticatore client autentica l'utente con la biometria e firma il risultato utilizzando la crittografia a chiave pubblica. La chiave privata utilizzata per creare la firma viene archiviata in modo sicuro in un TEE (Trusted Execution Environment) o in una posizione simile. Un fornitore di servizi che utilizza il protocollo FIDO è detto parte soggetta a limitazioni (RP).
Una volta che l'utente esegue l'autenticazione (in genere con una scansione biometrica o un PIN), l'autenticatore utilizza una chiave privata per inviare un segnale di verifica firmato al browser. Il browser condivide quindi questo segnale con il sito web della parte soggetta a limitazioni.
Il sito web della parte soggetta a limitazioni invia quindi il segnale di verifica firmato al server della parte soggetta a limitazioni, che verifica la firma a fronte della chiave pubblica per completare l'autenticazione.
Per ulteriori informazioni, leggi le linee guida per l'autenticazione di FIDO Alliance.
Migrazione dei sitelink di Yahoo! JAPAN supporta FIDO su Android (app mobile e web), iOS (app mobile e web), Windows (Edge, Chrome, Firefox) e macOS (Safari, Chrome). Come servizio consumer, FIDO può essere utilizzato su quasi tutti i dispositivi, il che lo rende una buona opzione per promuovere l'autenticazione senza password.
Migrazione dei sitelink di Yahoo! JAPAN consiglia agli utenti di registrarsi a FIDO con WebAuthn se non hanno già eseguito l'autenticazione con altri mezzi. Quando un utente deve accedere con lo stesso dispositivo, può autenticarsi rapidamente utilizzando un sensore biometrico.
Gli utenti devono configurare l'autenticazione FIDO su tutti i dispositivi che utilizzano per accedere a Yahoo! GIAPPONE.
Per promuovere l'autenticazione senza password e tenere in considerazione gli utenti che stanno passando alle password, offriamo diversi mezzi di autenticazione. Ciò significa che utenti diversi possono avere impostazioni dei metodi di autenticazione diverse e che i metodi di autenticazione che possono utilizzare possono variare da browser a browser. Riteniamo che sia meglio se gli utenti accedono usando ogni volta lo stesso metodo di autenticazione.
Per soddisfare questi requisiti, è necessario monitorare i metodi di autenticazione precedenti e collegare queste informazioni al client archiviandole sotto forma di cookie e così via. Possiamo quindi analizzare le modalità di utilizzo dei diversi browser e delle applicazioni per l'autenticazione. All'utente viene chiesto di fornire l'autenticazione appropriata in base alle sue impostazioni, ai metodi di autenticazione utilizzati in precedenza e al livello minimo di autenticazione richiesto.
2. Disattivazione password
Migrazione dei sitelink di Yahoo! JAPAN chiede agli utenti di impostare un metodo di autenticazione alternativo e quindi di disabilitare la loro password in modo che non possa essere utilizzata. Oltre a configurare l'autenticazione alternativa, la disabilitazione dell'autenticazione tramite password (rendendo quindi impossibile l'accesso solo con una password) contribuisce a proteggere gli utenti dagli attacchi basati su elenchi.
Abbiamo adottato le seguenti misure per incoraggiare gli utenti a disabilitare le loro password.
- Promozione di metodi di autenticazione alternativi quando gli utenti reimpostano le password.
- Incoraggiare gli utenti a configurare metodi di autenticazione facili da usare (come FIDO) e disabilitare le password per le situazioni che richiedono un'autenticazione frequente.
- Invitare gli utenti a disattivare la propria password prima di utilizzare servizi ad alto rischio, come i pagamenti e-commerce.
Se un utente dimentica la password, può eseguire un recupero dell'account. In precedenza, questa operazione prevedeva una reimpostazione della password. Gli utenti possono scegliere di impostare un metodo di autenticazione diverso e li invitiamo a farlo.
3. Registrazione di account senza password
I nuovi utenti possono creare account Yahoo! JAPAN. Agli utenti viene richiesto innanzitutto di registrarsi con un'autenticazione SMS. Una volta effettuato l'accesso, invitiamo l'utente a configurare l'autenticazione FIDO.
Poiché il FIDO è un'impostazione specifica per dispositivo, può essere difficile recuperare un account se il dispositivo diventa inutilizzabile. Pertanto, chiediamo agli utenti di mantenere registrato il proprio numero di telefono, anche dopo che hanno configurato un'autenticazione aggiuntiva.
Verifiche principali per l'autenticazione senza password
Le password si basano sulla memoria umana e sono indipendenti dal dispositivo. D'altra parte, i metodi di autenticazione introdotti finora nella nostra iniziativa senza password dipendono dal dispositivo. Ciò presenta diverse sfide.
Quando vengono utilizzati più dispositivi, si verificano alcuni problemi relativi all'usabilità:
- Quando utilizzano l'autenticazione SMS per accedere da un PC, gli utenti devono controllare la presenza di messaggi SMS in arrivo sul proprio cellulare. Questo può essere scomodo, in quanto richiede che lo smartphone dell'utente sia disponibile e facilmente accessibile in qualsiasi momento.
- Con FIDO, in particolare con gli autenticatori delle piattaforme, un utente con più dispositivi non sarà in grado di eseguire l'autenticazione su dispositivi non registrati. La registrazione deve essere completata per ogni dispositivo che intendono utilizzare.
L'autenticazione FIDO è legata a dispositivi specifici, il che richiede che questi rimangano in possesso dell'utente e attivi.
- Se il contratto di servizio viene annullato, non sarà più possibile inviare messaggi SMS al numero di telefono registrato.
- FIDO archivia le chiavi private su un dispositivo specifico. Se il dispositivo viene smarrito, quelle chiavi sono inutilizzabili.
Migrazione dei sitelink di Yahoo! JAPAN sta adottando varie misure per risolvere questi problemi.
La soluzione più importante è incoraggiare gli utenti a configurare più metodi di autenticazione. Ciò fornisce un accesso all'account alternativo in caso di perdita dei dispositivi. Poiché le chiavi FIDO dipendono dal dispositivo, è buona norma registrare le chiavi FIDO private su più dispositivi.
In alternativa, gli utenti possono utilizzare l'API WebOTP per passare i codici di verifica SMS da un telefono Android a Chrome su PC.
Riteniamo che affrontare questi problemi diventerà ancora più importante con la diffusione dell'autenticazione senza password.
Promozione dell'autenticazione senza password
Migrazione dei sitelink di Yahoo! JAPAN lavora a queste iniziative senza password dal 2015. Tutto è iniziato con l'acquisizione della certificazione server FIDO nel maggio 2015, seguita dall'introduzione dell'autenticazione SMS, di una funzione di disattivazione della password e del supporto FIDO per ogni dispositivo.
Oggi, più di 30 milioni di utenti attivi mensili hanno già disattivato le password e utilizzano metodi di autenticazione diversi da password. Migrazione dei sitelink di Yahoo! Il supporto di JAPAN per FIDO è iniziato con Chrome su Android e ora più di 10 milioni di utenti hanno configurato l'autenticazione FIDO.
Per effetto di Yahoo! Japan, la percentuale di richieste relative a password o ID di accesso dimenticati è diminuita del 25% rispetto al periodo in cui il numero era al massimo. Abbiamo inoltre potuto confermare che l'accesso non autorizzato è diminuito a causa dell'aumento del numero di account senza password.
Poiché il protocollo FIDO è così facile da configurare, ha un tasso di conversione particolarmente elevato. Infatti, Yahoo! JAPAN ha rilevato che il FIDO ha un CVR più elevato rispetto all'autenticazione SMS.
25 %
Diminuzione delle richieste per credenziali dimenticate
74 %
Gli utenti hanno esito positivo con l'autenticazione FIDO
Il 65 %
Esegui la verifica tramite SMS
FIDO ha una percentuale di successo più elevata rispetto all'autenticazione SMS e tempi di autenticazione medi e
mediani più rapidi. Per quanto riguarda le password, alcuni gruppi hanno tempi di autenticazione brevi e sospettiamo che ciò sia dovuto all'autocomplete="current-password" del browser.
La difficoltà maggiore per offrire account senza password non è l'aggiunta di metodi di autenticazione, ma la promozione dell'uso degli autenticatori. Se l'esperienza di utilizzo di un servizio senza password non è facile da usare, la transizione non sarà facile.
Crediamo che per migliorare la sicurezza dobbiamo prima migliorare l'usabilità, il che richiederà innovazioni uniche per ogni servizio.
Conclusione
L'autenticazione tramite password è rischiosa in termini di sicurezza e anche in termini di usabilità. Ora che le tecnologie che supportano l'autenticazione non basata su password, come API WebOTP e FIDO, sono più ampiamente disponibili, è il momento di iniziare ad adottare l'autenticazione senza password.
Presso Yahoo! JAPAN, questo approccio ha avuto un impatto decisivo sull'usabilità e sulla sicurezza. Tuttavia, poiché molti utenti utilizzano ancora le password, continueremo a incoraggiare sempre più utenti a passare a metodi di autenticazione senza password. Continueremo inoltre a migliorare i nostri prodotti per ottimizzare l'esperienza utente per i metodi di autenticazione senza password.
Foto di olieman.eth su Unsplash