איך מערכת Yahoo! יפן פיתחה מערכת זהויות ללא סיסמאות.
Yahoo! JAPAN היא אחת מחברות המדיה הגדולות ביפן, שירותים כגון חיפוש, חדשות, מסחר אלקטרוני ואימייל. יותר מ-50 מיליון משתמשים מתחברים לחשבון Yahoo! JAPAN בכל חודש.
לאורך השנים היו הרבה מתקפות על חשבונות משתמשים ובעיות שהובילו לאבד את הגישה לחשבון. רוב הבעיות האלה היו קשורות לשימוש בסיסמאות לצורך אימות.
עם ההתפתחות האחרונה של טכנולוגיית האימות, Yahoo! JAPAN החליטה מעבר מאימות מבוסס-סיסמה לאימות ללא סיסמה.
למה כדאי להשתמש ללא סיסמה?
כי ב-Yahoo! וגם למסחר אלקטרוני ובשירותים אחרים שקשורים לכסף, סיכון לנזק משמעותי למשתמשים במקרה של גישה לא מורשית או אובדן החשבון.
ההתקפות הנפוצות ביותר שקשורות לסיסמאות היו מתקפות של רשימות סיסמאות תרמיות פישינג. אחת הסיבות הנפוצות להתקפות על רשימות סיסמאות היא לכך שהרבה אנשים נוהגים להשתמש באותה סיסמה אפליקציות ואתרים.
הנתונים הבאים הם תוצאות סקר שבוצע על ידי Yahoo! JAPAN.
50 %
להשתמש באותו מזהה ובאותה סיסמה בשישה אתרים או יותר
60 %
שימוש באותה סיסמה במספר אתרים
70 %
להשתמש בסיסמה בתור הדרך העיקרית להתחברות
משתמשים שוכחים לעיתים קרובות את הסיסמאות שלהם, ולכן לרוב המשתמשים האלה שוכחים בנושאים שקשורים לסיסמאות. כמו כן, היו פניות ממשתמשים שכחו את מזהי ההתחברות שלהם בנוסף לסיסמאות שלהם. בשיא השיא, בפני יותר משליש מכל הבעיות הקשורות לחשבון.
מעכשיו, Yahoo! JAPAN רצו לשפר לא רק את האבטחה, גם שימושיות, מבלי להעמיס על המשתמשים.
מבחינת אבטחה, הסרת סיסמאות מהמשתמש בתהליך האימות מפחית את הנזק ממתקפות מבוססות-רשימות, מבחינת נוחות השימוש, מתן שיטת אימות שלא מסתמכת שמירה של סיסמאות מונעת מצבים שבהם משתמש לא יכול להתחבר כי הם שכחו את הסיסמה.
Yahoo! של Yahoo! JAPAN
Yahoo! JAPAN מבצעת כמה שלבים כדי לקדם אפליקציות ללא סיסמאות אימות, שניתן לחלק באופן כללי לשלוש קטגוריות:
- לספק אמצעי אימות חלופיים לסיסמאות.
- השבתה של סיסמה.
- רישום חשבון ללא סיסמה.
שתי היוזמות הראשונות התמקדו במשתמשים קיימים, תוך שמירה על סיסמאות מיועדת למשתמשים חדשים.
1. מתן אמצעי אימות חלופיים לסיסמאות
Yahoo! JAPAN מציעה את החלופות הבאות לסיסמאות.
בנוסף, אנחנו מציעים גם שיטות אימות כמו שליחת אימייל אימות, סיסמה בשילוב עם SMS OTP (סיסמה חד-פעמית) הסיסמה משולבת עם כתובת האימייל OTP.
אימות באמצעות SMS
אימות באמצעות SMS הוא מערכת שמאפשרת למשתמש רשום לקבל קוד אימות בן 6 ספרות באמצעות SMS. ברגע שהמשתמש מקבל את ה-SMS, הוא יכול להזין את קוד האימות באפליקציה או באתר.
ל-iOS מותר כבר זמן רב לקרוא הודעות SMS ולהציע אימות
מגוף הטקסט. לאחרונה אפשר להשתמש בהצעות של
לציון 'קוד חד-פעמי' במאפיין autocomplete של הקלט
לרכיב מסוים. Chrome ב-Android, ב-Windows וב-Mac יכול לספק את אותה חוויית שימוש
באמצעות WebOTP API.
לדוגמה:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
שתי הגישות נועדו למנוע פישינג על ידי הכללת הדומיין גוף ה-SMS והצעות לדומיין שצוין בלבד.
למידע נוסף על WebOTP API ועל autocomplete="one-time-code",
כדאי לעיין בשיטות מומלצות לשימוש בטופסי SMS OTP.
FIDO עם WebAuthn
ב-FIDO עם WebAuthn נעשה שימוש במאמת חומרה כדי ליצור מפתח ציבורי צמד צופן ומוכיחים בעלות. כשמשתמשים בסמארטפון לאימות ביומטרי, ניתן לשלב אותו עם אימות ביומטרי (למשל חיישני טביעות אצבע או זיהוי פנים) לביצוע דו-שלבי. אימות. במקרה הזה, רק החתימה ואינדיקטור ההצלחה מהאימות הביומטרי נשלחים לשרת, כך שאין סיכון של גניבת נתונים ביומטריים.
התרשים הבא מציג את תצורת שרת-לקוח עבור FIDO. מאמת הלקוח מאמת את המשתמש באמצעות מידע ביומטרי וחותם על באמצעות קריפטוגרפיה של מפתח ציבורי. המפתח הפרטי שמשמש ליצירת החתימה מאוחסנת באופן מאובטח בסביבת TEE (סביבת מחשוב מהימנה) או מיקום דומה. ספק שירות שמשתמש ב-FIDO נקרא RP (הצד הנסמך).
אחרי שהמשתמש מבצע את האימות (בדרך כלל באמצעות סריקה ביומטרית או קוד אימות), מאמת החשבונות משתמש במפתח פרטי כדי לשלוח לדפדפן אות אימות חתום. לאחר מכן, הדפדפן משתף את האות הזה עם האתר של הגורם המוגבל.
לאחר מכן, אתר ה-RP שולח את אות האימות החתום לשרת של הגורם המוגבל, ומאמת את החתימה מול המפתח הציבורי כדי להשלים את האימות.
מידע נוסף זמין במאמר הבא: הנחיות לאימות מ-FIDO Alliance.
Yahoo! JAPAN תומכת ב-FIDO ב-Android (באפליקציה לנייד ובאינטרנט), ב-iOS (אפליקציה לנייד) ואינטרנט), Windows (Edge, Chrome, Firefox) ו-macOS (Safari, Chrome). בתור שירות לצרכנים, ניתן להשתמש ב-FIDO כמעט בכל מכשיר, מה שהופך אותו לקידום אימות ללא סיסמאות.
Yahoo! JAPAN ממליצה למשתמשים להירשם ל-FIDO באמצעות WebAuthn, אם הם שעדיין לא אומתו באמצעים אחרים. כשמשתמש צריך להתחבר באותו מכשיר, הם יכולים לבצע אימות במהירות באמצעות חיישן ביומטרי.
המשתמשים חייבים להגדיר אימות FIDO בכל המכשירים שהם משתמשים בהם כדי להתחבר עם מודעות דינמיות לרשת החיפוש ב-Yahoo! JAPAN.
לקדם אימות ללא סיסמאות ולהתחשב במשתמשים ש במקום להשתמש בסיסמאות, אנחנו מספקים מספר אמצעים אימות. כלומר, למשתמשים שונים יכולים להיות ההגדרות של שיטות האימות ושיטות האימות שבהן הם יכולים להשתמש עשויים להיות שונים בדפדפנים שונים. אנחנו מאמינים שחוויית השימוש תהיה טובה יותר משתמשים מתחברים באמצעות אותה שיטת אימות בכל פעם.
כדי לעמוד בדרישות האלה, צריך לעקוב אחר פעולות אימות קודמות ולקשר את המידע הזה ללקוח על ידי אחסונו בפורמט קובצי Cookie וכו'. לאחר מכן נוכל לנתח את האופן שבו אפליקציות ודפדפנים שונים משמש לאימות. המשתמש יתבקש לספק למשתמשים אימות שמבוסס על הגדרות המשתמש, האימות הקודם השיטות שבהן נעשה שימוש, ורמת האימות המינימלית הנדרשת.
2. השבתת סיסמה
Yahoo! JAPAN מבקשת מהמשתמשים להגדיר שיטת אימות חלופית לאחר מכן להשבית את הסיסמה שלהם כך שלא ניתן יהיה להשתמש בה. בנוסף להגדרה אימות חלופי, השבתת אימות הסיסמה (כלומר כך שלא ניתן להיכנס עם סיסמה בלבד) עוזר להגן על משתמשים מרשימות.
נקטנו את השלבים הבאים כדי לעודד את המשתמשים להשבית את סיסמאות.
- לקדם שיטות אימות חלופיות כשמשתמשים מאפסים את הסיסמאות שלהם.
- לעודד משתמשים להגדיר שיטות אימות קלות לשימוש (כמו FIDO) ולהשבית סיסמאות במצבים שמחייבים שימוש בתדירות גבוהה. אימות.
- קריאה למשתמשים להשבית את הסיסמאות שלהם לפני שהם משתמשים בשירותים בסיכון גבוה כמו תשלומים למסחר אלקטרוני.
אם משתמש שוכח את הסיסמה שלו, הוא יכול להפעיל שחזור חשבון. בעבר התהליך כרוך באיפוס סיסמה. עכשיו המשתמשים יכולים לבחור להגדיר לשיטת האימות, ואנחנו מעודדים אותם לעשות זאת.
3. רישום חשבון ללא סיסמה
משתמשים חדשים יכולים ליצור גרסת Yahoo! JAPAN. המשתמשים הם הראשונים שנדרשים כדי להירשם לאימות באמצעות SMS. אחרי שהם יתחברו, לעודד את המשתמש להגדיר אימות FIDO.
מכיוון ש-FIDO היא הגדרה לפי מכשיר, לפעמים קשה לשחזר חשבון. אם המכשיר לא יוכל לפעול כראוי. לכן אנחנו דורשים מהמשתמשים מספר טלפון רשום, גם אחרי שהם הגדירו אימות נוסף.
אתגרים מרכזיים לאימות ללא סיסמה
הסיסמאות מסתמכות על זיכרון אנושי והן תלויות במכשיר. לעומת זאת, שיטות האימות שהשקנו עד עכשיו ביוזמה שלנו ללא סיסמאות כניסה תלויות במכשיר. כתוצאה מכך, יש כמה אתגרים.
כשמשתמשים בכמה מכשירים, יש כמה בעיות שקשורות לנוחות השימוש:
- כשמשתמשים באימות באמצעות SMS כדי להתחבר ממחשב, המשתמשים חייבים לבדוק את טלפון נייד להודעות SMS נכנסות. זה עשוי להיות לא נוח, מחייבת שהטלפון של המשתמש יהיה זמין ונוח לגישה בכל שלב.
- באמצעות FIDO, במיוחד עם מאמתי פלטפורמות, משתמש עם מספר מכשירים לא יוכלו לבצע אימות במכשירים לא רשומים. צריך להשלים את הרישום לכל מכשיר שבו הם מתכוונים להשתמש.
אימות FIDO מקושר למכשירים ספציפיים, ולכן הם צריכים להישאר בבעלות המשתמש והוא פעיל.
- אם חוזה השירות יבוטל, לא תהיה יותר אפשרות לשלוח הודעות SMS למספר הטלפון הרשום.
- תקן FIDO מאחסן מפתחות פרטיים במכשיר ספציפי. אם המכשיר אבד, אי אפשר להשתמש בהם.
Yahoo! JAPAN נוקטת פעולות שונות כדי לטפל בבעיות האלה.
הפתרון החשוב ביותר הוא לעודד משתמשים ליצור שיטות אימות. הפעולה הזו מספקת גישה חלופית לחשבון כשהמכשירים הם הולכים לאיבוד. מפתחות FIDO תלויים במכשיר, ולכן מומלץ גם רישום מפתחות פרטיים מסוג FIDO במספר מכשירים.
לחלופין, המשתמשים יכולים להשתמש ב-WebOTP API כדי לעבור את האימות ב-SMS קודים מטלפון Android ל-Chrome במחשב.
אנחנו מאמינים שהטיפול בבעיות האלה יהיה חשוב עוד יותר אימות ללא סיסמה מתרחב.
קידום אימות ללא סיסמאות
Yahoo! JAPAN עובדת על היוזמות האלה ללא סיסמאות כניסה מאז 2015. זה התחיל עם קבלת אישור לשרת FIDO במאי 2015, ולאחר מכן שימוש באימות באמצעות SMS, השבתת סיסמה ותמיכה ב-FIDO בכל מכשיר.
כיום, יותר מ-30 מיליון משתמשים פעילים בחודש כבר השביתו את חשבון סיסמאות ומשתמשים בשיטות אימות שאינן סיסמאות. Yahoo! JAPAN התמיכה ב-FIDO התחילה ב-Chrome ב-Android, ועכשיו היא מעל 10 מיליון משתמשים הגדירו אימות FIDO.
כתוצאה מ-Yahoo! של JAPAN, אחוז פניות סך כל מזהי ההתחברות או הסיסמאות שנשכחו ירד ב-25% שבה מספר פניות מהסוג הזה היה הכי גבוה, וגם יכולנו לאשר שגישה לא מורשית נדחתה כתוצאה עלייה במספר החשבונות ללא סיסמאות.
מאחר שקל מאוד להגדיר את מודל FIDO, יש לו שיעור המרות גבוה במיוחד. למעשה, מערכת Yahoo! JAPAN גילתה שיש ל-FIDO גבוה יותר שיעור המרות (CVR) מאשר ב-SMS אימות.
25 %
ירידה במספר הבקשות לפרטי כניסה שנשכחו
74 %
המשתמשים מצליחים באמצעות אימות FIDO
65 %
השלמת תהליך האימות ב-SMS
ל-FIDO יש שיעור הצלחה גבוה יותר מאשר האימות ב-SMS, וממוצע מהיר יותר
זמני אימות חציוניים. לגבי סיסמאות, בחלק מהקבוצות יש
זמני אימות, ואנחנו חושדים שהסיבה לכך היא שהדפדפן
autocomplete="current-password"
הקושי הגדול ביותר להצעת חשבונות ללא סיסמאות הוא לא התוספת משיטות אימות, אבל מאכלסים את השימוש במאמתי נתונים. אם חוויית השימוש בשירות ללא סיסמאות היא לא ידידותית למשתמש, המעבר לא יהיה קל.
אנחנו מאמינים שכדי לשפר את האבטחה עלינו לשפר תחילה את השימושיות, שיחייבו חידושים ייחודיים בכל שירות.
סיכום
אימות סיסמה מסוכן מבחינת האבטחה, וגם יוצר מבחינת השימושיות. עכשיו, כשהטכנולוגיות שתומכות אימות ללא סיסמה, כגון WebOTP API ו-FIDO, נעשה בתפוצה רחבה יותר זה הזמן להתחיל לפעול לאימות ללא סיסמאות.
ב-Yahoo! JAPAN, לגישה הזו הייתה השפעה מובהקת על שימושיות ואבטחה. אבל הרבה משתמשים עדיין משתמשים בסיסמאות, ימשיכו לעודד משתמשים נוספים לעבור לאימות ללא סיסמאות שיטות. אנחנו גם נמשיך לשפר את המוצרים שלנו כדי לשפר את המשתמשים חוויית שימוש בשיטות אימות ללא סיסמאות.
תמונה מאת olieman.eth ב-Unbounce