Dowiedz się, jak usługi Yahoo! Japan stworzyła system tożsamości bez haseł.
Yahoo! JAPAN to jedna z największych firm medialnych w Japonii, która świadczy takie usługi jak wyszukiwarka, wiadomości, e-commerce i poczta e-mail. Ponad 50 milionów użytkowników loguje się JAPAN.
Na przestrzeni lat odnotowano wiele ataków na konta użytkowników i problemów, które doprowadziły do utraty dostępu do kont. Większość z tych problemów była związana z używaniem haseł do uwierzytelniania.
Dzięki niedawnym rozwojowi technologii uwierzytelniania Yahoo! Japan zdecydowało się przejść z uwierzytelniania bez hasła na rzecz uwierzytelniania bez hasła.
Dlaczego warto korzystać bez hasła?
Ponieważ Yahoo! JAPAN oferuje handel elektroniczny i inne usługi związane z pieniądze, w przypadku nieautoryzowanego dostępu lub utraty konta istnieje ryzyko poważnych szkód dla użytkowników.
Najczęstszymi atakami związanymi z hasłami były ataki wykorzystujące listę haseł i oszustwa związane z wyłudzaniem informacji. Jednym z powodów powszechnego i skutecznego stosowania tego samego hasła w wielu aplikacjach i na różnych stronach jest używanie przez wiele osób tego samego hasła w wielu aplikacjach i na różnych stronach.
Wyniki ankiety przeprowadzonej przez Yahoo! Japan.
50 %
ten sam identyfikator i hasło w co najmniej 6 witrynach
60 %
Używanie tego samego hasła na wielu stronach
70 %
używanie hasła jako głównej metody logowania się
Użytkownicy często zapominają swojego hasła, co stanowiło większość zapytań dotyczących haseł. Otrzymywali też pytania od użytkowników, którzy zapomnieli identyfikatorów logowania i haseł. W szczytowym okresie odpowiadały one za ponad jedną trzecią wszystkich zapytań związanych z kontem.
Przejście bez hasła JAPAN chcemy poprawić nie tylko bezpieczeństwo, ale i łatwość obsługi bez dodatkowego obciążenia użytkowników.
Z punktu widzenia bezpieczeństwa wyeliminowanie haseł z procesu uwierzytelniania użytkowników zmniejsza szkody w wyniku ataków opartych na listach, a z perspektywy łatwości obsługi – zapewnienie metody uwierzytelniania, która nie opiera się na zapamiętywaniu haseł, zapobiega sytuacjom, w których użytkownik nie może się zalogować, bo zapomni hasła.
Yahoo! Japan
Yahoo! JAPAN promuje uwierzytelnianie bez hasła. Można je podzielić na 3 kategorie:
- Udostępnij alternatywne metody uwierzytelniania haseł.
- Dezaktywacja hasła.
- Rejestracja konta bez hasła.
Pierwsze 2 inicjatywy są kierowane do obecnych użytkowników, a rejestracja bez hasła jest kierowana do nowych.
1. Udostępnianie alternatywnych sposobów uwierzytelniania haseł
Yahoo! JAPAN oferuje następujące alternatywy dla haseł.
Dodatkowo dostępne są też metody uwierzytelniania, takie jak uwierzytelnianie e-mail, hasło w połączeniu z hasłem jednorazowym SMS-em oraz hasło w połączeniu z hasłem jednorazowym wysłanym z e-maila.
Uwierzytelnianie SMS-ów
Uwierzytelnianie SMS to system umożliwiający zarejestrowanemu użytkownikowi 6-cyfrowy kod weryfikacyjny w SMS-ie. Po otrzymaniu SMS-a użytkownik może wpisać kod uwierzytelniający w aplikacji lub na stronie internetowej.
Apple od dawna pozwala iOS na odczytywanie SMS-ów i sugerowanie kodów uwierzytelniających w treści tekstu. Od niedawna można korzystać z sugestii, określając w atrybucie autocomplete elementu wejściowego „kod jednorazowy”. W Chrome na Androida, Windowsa i komputera Mac można używać takich samych funkcji jak interfejs WebOTP API.
Na przykład:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Oba sposoby mają na celu zapobieganie wyłudzaniu informacji przez uwzględnienie domeny w treści SMS-a i wyświetlanie sugestii tylko na jej temat.
Więcej informacji o interfejsie WebOTP API i zasadzie autocomplete="one-time-code" znajdziesz w sprawdzonych metodach dotyczących formularza z hasłem jednorazowym SMS-owym.
FIDO z WebAuthn
FIDO z WebAuthn wykorzystuje sprzętowe narzędzie uwierzytelniające, aby wygenerować parę szyfrów klucza publicznego i potwierdzić posiadanie klucza. Gdy jako mechanizm uwierzytelniający używany jest smartfon, można go połączyć z uwierzytelnianiem biometrycznym (np. z czujnikami odcisku palca lub rozpoznawaniem twarzy), aby przeprowadzić uwierzytelnianie jednoetapowe. W takim przypadku do serwera wysyłane są tylko podpis i wskaźnik powodzenia uwierzytelniania biometrycznego, nie ma więc ryzyka kradzieży danych biometrycznych.
Poniższy diagram przedstawia konfigurację serwer-klient dla FIDO. Narzędzie uwierzytelniające klienta uwierzytelnia użytkownika za pomocą danych biometrycznych i podpisuje wynik za pomocą kryptografii klucza publicznego. Klucz prywatny użyty do utworzenia podpisu jest bezpiecznie przechowywany w zaufanym środowisku wykonawczym TEE lub podobnym. Dostawca usług korzystający z FIDO jest nazywany RP (stroną uzależnioną).
Gdy użytkownik przeprowadzi uwierzytelnianie (zwykle za pomocą skanowania biometrycznego lub kodu PIN), mechanizm uwierzytelniający używa klucza prywatnego, aby wysłać podpisany sygnał weryfikacyjny do przeglądarki. Następnie przeglądarka udostępnia ten sygnał witrynie RP.
Następnie witryna RP wysyła podpisany sygnał weryfikacyjny do serwera RP, który weryfikuje podpis z kluczem publicznym, aby dokończyć uwierzytelnianie.
Więcej informacji znajdziesz w wytycznych dotyczących uwierzytelniania FIDO Alliance.
Yahoo! JAPAN obsługuje standard FIDO na Androidzie (aplikacje mobilne i internet), iOS (aplikacja mobilna i internet), Windows (Edge, Chrome, Firefox) i macOS (Safari, Chrome). FIDO jest usługą konsumencką, która może być używana na prawie każdym urządzeniu, dzięki czemu świetnie nadaje się do promowania uwierzytelniania bez hasła.
Yahoo! JAPAN zaleca, aby użytkownicy rejestrowali się w FIDO przez WebAuthn, jeśli nie uzyskali jeszcze uwierzytelnienia w inny sposób. Gdy użytkownik musi zalogować się na tym samym urządzeniu, może szybko uwierzytelnić się za pomocą czujnika biometrycznego.
Użytkownicy muszą skonfigurować uwierzytelnianie FIDO na wszystkich urządzeniach, na których logują się do Yahoo! Japan.
Aby promować uwierzytelnianie bez hasła i wzajemnie szanować użytkowników, którzy odchodzą od haseł, oferujemy różne metody uwierzytelniania. Oznacza to, że poszczególni użytkownicy mogą mieć odmienne ustawienia metod uwierzytelniania, a metody uwierzytelniania, z których mogą korzystać, mogą różnić się w zależności od przeglądarki. Naszym zdaniem lepiej jest, gdy użytkownicy logują się za każdym razem za pomocą tej samej metody uwierzytelniania.
Aby spełnić te wymagania, konieczne jest śledzenie poprzednich metod uwierzytelniania i powiązanie tych informacji z klientem poprzez przechowywanie ich w postaci plików cookie itp. Następnie analizujemy, jak różne przeglądarki i aplikacje są używane do uwierzytelniania. Użytkownik jest proszony o przeprowadzenie odpowiedniego uwierzytelniania na podstawie jego ustawień, poprzednich użytych metod uwierzytelniania i minimalnego wymaganego poziomu uwierzytelniania.
2. Dezaktywacja hasła
Yahoo! JAPAN prosi o skonfigurowanie alternatywnej metody uwierzytelniania, a następnie wyłączenie hasła, aby nie można było go używać. Oprócz skonfigurowania alternatywnego uwierzytelniania uwierzytelnianie przy użyciu hasła (co oznacza, że nie można się zalogować przy użyciu samego hasła) pomaga chronić użytkowników przed atakami wykorzystującymi listy.
Podjęliśmy następujące kroki, aby zachęcić użytkowników do wyłączania haseł.
- Promowanie alternatywnych metod uwierzytelniania, gdy użytkownicy resetują swoje hasła.
- Zachęcanie użytkowników do konfigurowania łatwych w obsłudze metod uwierzytelniania (takich jak FIDO) i wyłączania haseł w sytuacjach, które wymagają częstego uwierzytelniania.
- Zachęcanie użytkowników do wyłączenia haseł przed skorzystaniem z usług wysokiego ryzyka, takich jak płatności e-commerce.
Jeśli użytkownik zapomni hasła, może uruchomić odzyskiwanie konta. Wcześniej wymagało to zresetowania hasła. Teraz użytkownicy mogą wybrać inną metodę uwierzytelniania, a do tego zachęcamy ich do tego.
3. Rejestracja konta bez hasła
Nowi użytkownicy mogą tworzyć konta Yahoo! bez hasła JAPAN. Użytkownicy muszą najpierw zarejestrować się za pomocą uwierzytelniania SMS. Po zalogowaniu zalecamy skonfigurowanie uwierzytelniania FIDO.
Ponieważ FIDO jest ustawieniem przypisanym do konkretnego urządzenia, odzyskanie konta może być trudne, jeśli urządzenie przestanie działać. Dlatego wymagamy od użytkowników zarejestrowania numeru telefonu nawet po skonfigurowaniu dodatkowego uwierzytelniania.
Najważniejsze wyzwania związane z uwierzytelnianiem bez hasła
Hasła korzystają z pamięci ludzkiej i urządzenia są niezależne od urządzenia. Z drugiej strony metody uwierzytelniania wprowadzone do tej pory w ramach inicjatywy bez haseł zależą od urządzenia. Wiąże się to z kilkoma wyzwaniami.
W przypadku korzystania z kilku urządzeń mogą występować problemy z obsługą:
- Jeśli logujesz się z komputera przy użyciu uwierzytelniania SMS-em, użytkownicy muszą sprawdzać na swoich telefonach komórkowych, czy nie ma na nich przychodzących SMS-ów. Może to być niewygodne, ponieważ telefon użytkownika musi być zawsze dostępny i łatwo dostępny.
- W przypadku FIDO, zwłaszcza w przypadku uwierzytelniania platformy, użytkownik z kilkoma urządzeniami nie będzie mógł uwierzytelniać się na niezarejestrowanych urządzeniach. Rejestracja musi zostać ukończona w przypadku każdego urządzenia, z którego zamierza korzystać.
Uwierzytelnianie FIDO jest powiązane z konkretnymi urządzeniami, co oznacza, że urządzenia muszą pozostawać w zespole użytkownika.
- Jeśli umowa o świadczenie usług zostanie anulowana, nie będzie można wysyłać SMS-ów na zarejestrowany numer telefonu.
- FIDO przechowuje klucze prywatne na konkretnym urządzeniu. Jeśli urządzenie zostanie zgubione, klucz będzie bezużyteczny.
Yahoo! JAPAN podejmuje różne działania, aby rozwiązać te problemy.
Najważniejszym rozwiązaniem jest zachęcenie użytkowników do skonfigurowania wielu metod uwierzytelniania. Zapewnia to alternatywny dostęp do konta w razie utraty urządzenia. Klucze FIDO zależą od urządzenia, dlatego warto też zarejestrować klucze prywatne FIDO na wielu urządzeniach.
Użytkownicy mogą też używać interfejsu WebOTP API do przekazywania kodów weryfikacyjnych w SMS-ach z telefonu z Androidem do Chrome na komputerze.
Uważamy, że rozwiązanie tych problemów staje się jeszcze ważniejsze w miarę upowszechniania się uwierzytelniania bez hasła.
Promowanie uwierzytelniania bez hasła
Yahoo! JAPAN pracuje nad tymi inicjatywami bez haseł od 2015 roku. Zaczęło się od tego, że w maju 2015 r. uzyskaliśmy certyfikat serwera FIDO, potem utworzyliśmy uwierzytelnianie SMS-ów, funkcję dezaktywacji hasła i obsługę FIDO na każdym urządzeniu.
Obecnie ponad 30 milionów aktywnych użytkowników miesięcznie wyłączyło już swoje hasła i używało metod uwierzytelniania niezwiązanych z hasłem. Yahoo! JAPAN obsługuje standard FIDO od Chrome na Androida i obecnie ponad 10 milionów użytkowników skonfigurowało uwierzytelnianie FIDO.
W rezultacie Yahoo! JAPAN, odsetek zapytań dotyczących zapomnianych identyfikatorów logowania lub haseł spadł o 25% w porównaniu z okresem, w którym liczba takich zapytań była najwyższa. Mogliśmy również potwierdzić spadek nieautoryzowanego dostępu ze względu na wzrost liczby kont bez hasła.
Ze względu na to, że konfiguracja FIDO jest tak łatwa w konfiguracji, ma wyjątkowo wysoki współczynnik konwersji. W rzeczywistości Yahoo! JAPAN odkryła, że FIDO ma wyższy CVR niż uwierzytelnianie SMS-ów.
25 %
Spadek liczby żądań usunięcia zapomnianych danych logowania
74 %
Użytkownicy odnoszą sukces dzięki uwierzytelnianiu FIDO
65 %
Udało się zweryfikować za pomocą SMS-a
Uwierzytelnianie FIDO charakteryzuje się wyższym wskaźnikiem sukcesu niż uwierzytelnianie SMS-em oraz krótszym średnim i średnim czasem uwierzytelniania. Niektóre grupy mają krótki czas uwierzytelniania. Podejrzewamy, że powodem jest autocomplete="current-password" w przeglądarce.
Największym problemem w oferowaniu kont bez hasła nie jest dodanie metod uwierzytelniania, a popularność narzędzi uwierzytelniających. Jeśli korzystanie z usługi bez haseł nie jest łatwe w użyciu, przejście na nią nie będzie łatwe.
Wierzymy, że aby poprawić bezpieczeństwo, musimy najpierw poprawić łatwość obsługi, co wymaga wprowadzenia unikalnych innowacji do każdej usługi.
Podsumowanie
Uwierzytelnianie za pomocą hasła jest ryzykowne z punktu widzenia bezpieczeństwa, ale też utrudnia posługiwanie się nim. Teraz gdy technologie obsługujące uwierzytelnianie bez hasła, takie jak interfejs WebOTP API i FIDO, są powszechnie dostępne, czas zacząć pracę nad uwierzytelnianiem bez hasła.
Na stronie Yahoo! Japan takie podejście ma zdecydowany wpływ na łatwość obsługi i bezpieczeństwo. Jednak wielu użytkowników nadal korzysta z haseł, dlatego nadal będziemy zachęcać coraz więcej użytkowników do przejścia na metody uwierzytelniania bez hasła. Będziemy też nadal ulepszać nasze usługi, aby optymalizować korzystanie z metod uwierzytelniania bez hasła.
Zdjęcie: olieman.eth, Unsplash