Yahoo! بفضل المصادقة بدون كلمة مرور في اليابان، انخفضت الاستفسارات بنسبة 25%، كما زادت من وقت تسجيل الدخول بمقدار 2.6 مرة.

تعرّف على كيفية استخدام Yahoo! أنشأت اليابان نظامًا للهوية بدون كلمات مرور.

Yahoo! JAPAN هي واحدة من أكبر الشركات الإعلامية في اليابان، حيث تقدم خدمات مثل البحث والأخبار والتجارة الإلكترونية والبريد الإلكتروني. يسجّل أكثر من 50 مليون مستخدم الدخول إلى Yahoo! خدمات اليابان كل شهر

على مر السنين، تعرّضت حسابات المستخدمين للعديد من الهجمات وأدت إلى فقدان إمكانية الوصول إلى الحسابات. كانت معظم هذه المشكلات تتعلق باستخدام كلمة المرور للمصادقة.

وبفضل التطورات الحديثة في تقنية المصادقة، يطلق Yahoo! قررت JAPAN الانتقال من المصادقة القائمة على كلمة المرور إلى المصادقة بدون كلمة مرور.

ما أهمية عدم استخدام كلمات مرور؟

بما أن Yahoo! تقدّم اليابان خدمات التجارة الإلكترونية وغيرها من الخدمات ذات الصلة بالمال، وقد تتسبّب بضرر جسيم للمستخدمين في حال الوصول غير المصرَّح به أو فقدان الحساب.

كانت الهجمات الأكثر شيوعًا ذات الصلة بكلمات المرور هي هجمات قائمة كلمات المرور وعمليات التصيّد الاحتيالي. أحد أسباب شيوع وفعالية هجمات قائمة كلمات المرور هو أنّ العديد من الأشخاص يستخدمون كلمة المرور نفسها في عدّة تطبيقات ومواقع إلكترونية.

الأرقام التالية هي نتائج استطلاع أجرته Yahoo! اليابان.

    50 %

    استخدام المعرّف وكلمة المرور نفسيهما على ستة مواقع أو أكثر

    60 %

    استخدام كلمة المرور نفسها في عدة مواقع إلكترونية

    %70

    استخدام كلمة مرور كطريقة أساسية لتسجيل الدخول

غالبًا ما ينسى المستخدمون كلمات المرور الخاصة بهم، والتي شكّلت معظم الاستفسارات المتعلقة بكلمة المرور. كانت هناك أيضًا استفسارات من المستخدمين الذين نسوا معرّفات تسجيل الدخول الخاصة بهم بالإضافة إلى كلمات المرور. وفي ذروتها، شكّلت هذه الاستفسارات أكثر من ثلث جميع الاستفسارات المتعلقة بالحساب.

من خلال عدم استخدام كلمات مرور، Yahoo! ولم يكُن الهدف من شركة JAPAN هو تحسين مستوى الأمان فحسب، بل هو تحسين سهولة الاستخدام أيضًا، بدون وضع أي عبء إضافي على المستخدمين.

من منظور أمني، يؤدي إزالة كلمات المرور من عملية مصادقة المستخدم إلى تقليل الضرر الناجم عن الهجمات المستنِدة إلى القوائم، ومن منظور سهولة الاستخدام، فإن توفير طريقة مصادقة لا تعتمد على تذكر كلمات المرور يمنع المواقف التي يكون فيها المستخدم غير قادر على تسجيل الدخول لأنه نسي كلمة المرور.

Yahoo! مبادرات اليابان التي لا تستخدم كلمات مرور

Yahoo! تتخذ اليابان عددًا من الخطوات للترويج للمصادقة بدون كلمات مرور، والتي يمكن تقسيمها على نطاق واسع إلى ثلاث فئات:

  1. توفير وسيلة بديلة لمصادقة كلمات المرور.
  2. إلغاء تفعيل كلمة المرور.
  3. تسجيل الحساب بدون استخدام كلمة مرور

أول مبادرتين تستهدف المستخدمين الحاليين، بينما تستهدف التسجيل بدون كلمات مرور المستخدمين الجدد.

1- توفير وسائل مصادقة بديلة لكلمات المرور

Yahoo! تقدّم اليابان البدائل التالية لكلمات المرور.

  1. مصادقة الرسائل القصيرة
  2. FIDO باستخدام WebAuthn

بالإضافة إلى ذلك، نقدّم أيضًا طرقًا للمصادقة، مثل مصادقة البريد الإلكتروني وكلمة المرور معًا وكلمة المرور الصالحة لمرة واحدة (OTP) المرسَلة إلى SMS وكلمة المرور المدمجة مع كلمة المرور لمرة واحدة في البريد الإلكتروني.

مصادقة الرسائل القصيرة

مصادقة الرسائل القصيرة SMS هي نظام يتيح للمستخدم المُسجّل بتلقي رمز مصادقة مكوَّن من ستة أرقام عبر الرسائل القصيرة SMS. بمجرد أن يتلقى المستخدم الرسالة القصيرة، يمكنه إدخال رمز المصادقة في التطبيق أو موقع الويب.

أتاحت شركة Apple لنظام التشغيل iOS منذ فترة طويلة قراءة رسائل SMS واقتراح رموز المصادقة من نص النص. وأصبح من الممكن مؤخرًا استخدام الاقتراحات من خلال تحديد "رمز لمرة واحدة" في السمة autocomplete لعنصر الإدخال. يوفّر Chrome على أجهزة Android وWindows وMac التجربة نفسها باستخدام WebOTP API.

مثلاً:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

وتم تصميم كلا الأسلوبين لمنع التصيد الاحتيالي من خلال تضمين النطاق في نص الرسالة القصيرة SMS وتقديم اقتراحات للنطاق المحدد فقط.

لمزيد من المعلومات حول واجهة برمجة التطبيقات WebOTP API وautocomplete="one-time-code"، راجِع أفضل الممارسات المتعلّقة بنموذج كلمة المرور لمرة واحدة (OTP) عبر الرسائل القصيرة.

FIDO باستخدام WebAuthn

يستخدم FIDO مع WebAuthn أداة مصادقة للأجهزة لإنشاء زوج ترميز لمفتاح عام وإثبات حيازته. عند استخدام هاتف ذكي كبرنامج مصادقة، يمكن دمجه مع المصادقة بالمقاييس الحيوية (مثل أدوات استشعار بصمة الإصبع أو التعرّف على الوجوه) لإجراء مصادقة ثنائية الاتجاه في هذه الحالة، لا يتم إرسال سوى التوقيع ومؤشر النجاح من المصادقة بالمقاييس الحيوية إلى الخادم، وبالتالي ليست هناك خطر بسرقة بيانات المقاييس الحيوية.

يوضح المخطّط التالي تهيئة خادم العميل لـ FIDO. تعمل أداة مصادقة العميل على مصادقة المستخدم من خلال المقاييس الحيوية وتوقيع النتيجة باستخدام التشفير بالمفتاح العام. يتم تخزين المفتاح الخاص المستخدَم لإنشاء التوقيع بشكل آمن في بيئة تنفيذ موثوقة (TEE) أو في مكان مشابه. يُطلق على مقدّم الخدمة الذي يستخدم FIDO اسم الجهة المعتمدة.

بعد إجراء المستخدم للمصادقة (عادةً من خلال الفحص باستخدام المقاييس الحيوية أو رقم التعريف الشخصي)، يستخدم برنامج المصادقة مفتاحًا خاصًا لإرسال إشارة تحقُّق موقَّعة إلى المتصفِّح. بعد ذلك، يشارك المتصفّح هذه الإشارة مع الموقع الإلكتروني للجهة المحظورة.

بعد ذلك، يرسل الموقع الإلكتروني الخاص بالجهة المحظورة إشارة التحقّق الموقَّعة إلى خادم الجهة المحظورة، ما يتحقّق من التوقيع على المفتاح العام لإكمال عملية المصادقة.

لمزيد من المعلومات، يُرجى الاطّلاع على إرشادات المصادقة من تحالف FIDO Alliance.

Yahoo! وتتوافق اليابان مع FIDO على أجهزة Android (التطبيقات المتوافقة مع الأجهزة الجوّالة والويب)، وiOS (التطبيقات المتوافقة مع الأجهزة الجوّالة والويب)، وWindows (Edge وChrome وFirefox) وmacOS (Safari وChrome). ولأنه خدمة للمستهلكين، يمكن استخدام FIDO على أي جهاز تقريبًا، ما يجعله خيارًا جيدًا للترويج للمصادقة بدون كلمة مرور.

نظام التشغيل دعم FIDO
Android التطبيقات، المتصفّح (Chrome)
iOS التطبيقات (إصدار iOS14 أو الإصدارات الأحدث)، المتصفّح (الإصدار 14 من Safari أو الإصدارات الأحدث)
Windows المتصفّح (Edge وChrome وFirefox)
Mac (Big Sur أو أحدث) المتصفّح (Safari وChrome)
نموذج لـ Yahoo! سيطلب JAPAN إجراء المصادقة باستخدام FIDO.

Yahoo! وتنصح JAPAN المستخدمين بالتسجيل في FIDO باستخدام WebAuthn، إذا لم يسبق لهم المصادقة عليه من خلال وسائل أخرى. عندما يحتاج المستخدم إلى تسجيل الدخول باستخدام نفس الجهاز، يمكنه المصادقة بسرعة باستخدام أداة استشعار للمقاييس الحيوية.

يجب على المستخدمين إعداد مصادقة FIDO على جميع الأجهزة التي يستخدمونها لتسجيل الدخول إلى Yahoo! اليابان.

لتعزيز المصادقة بدون استخدام كلمات المرور ومراعاة المستخدمين الذين ينتقلون من استخدام كلمات المرور، نوفّر وسائل متعددة للمصادقة. وهذا يعني أنه يمكن أن يكون لدى المستخدمين المختلفين إعدادات مختلفة لطريقة المصادقة، وقد تختلف طرق المصادقة التي يمكنهم استخدامها من متصفح إلى آخر. ونعتقد أنها ستكون تجربة أفضل إذا سجّل المستخدمون الدخول باستخدام طريقة المصادقة نفسها في كل مرة.

لاستيفاء هذه المتطلبات، من الضروري تتبُّع طرق المصادقة السابقة وربط هذه المعلومات بالعميل من خلال تخزينها في شكل ملفات تعريف ارتباط وما إلى ذلك. ويمكننا بعد ذلك تحليل كيفية استخدام المتصفحات والتطبيقات المختلفة للمصادقة. يُطلب من المستخدم تقديم المصادقة المناسبة استنادًا إلى إعدادات المستخدم وطرق المصادقة السابقة والحد الأدنى المطلوب للمصادقة.

‫2. إلغاء تفعيل كلمة المرور

Yahoo! تطلب اليابان من المستخدمين إعداد طريقة مصادقة بديلة ثم إيقاف كلمة المرور حتى لا يمكن استخدامها. بالإضافة إلى إعداد مصادقة بديلة، يساعد إيقاف مصادقة كلمة المرور (وبالتالي منع تسجيل الدخول باستخدام كلمة مرور فقط) في حماية المستخدمين من الهجمات المستنِدة إلى القوائم.

وقد اتخذنا الخطوات التالية لتشجيع المستخدمين على إيقاف كلمات المرور.

  • الترويج لطرق مصادقة بديلة عندما يعيد المستخدمون ضبط كلمات المرور
  • تشجيع المستخدمين على إعداد طرق مصادقة سهلة الاستخدام (مثل FIDO) وإيقاف كلمات المرور في الحالات التي تتطلب مصادقة متكررة
  • حث المستخدمين على إيقاف كلمات مرورهم قبل استخدام الخدمات عالية الخطورة، مثل عمليات الدفع عبر التجارة الإلكترونية

إذا نسي مستخدم كلمة المرور، يمكنه إجراء عملية استرداد للحساب. في السابق، كان يتضمن ذلك إعادة تعيين كلمة المرور. يمكن للمستخدمين الآن اختيار إعداد طريقة مصادقة مختلفة، ونحن نشجعهم على ذلك.

3- تسجيل الحساب بدون كلمة مرور

يمكن للمستخدمين الجدد إنشاء حساب Yahoo! بدون كلمة مرور الحسابات اليابانية. يُطلب من المستخدمين أولاً التسجيل باستخدام مصادقة الرسائل القصيرة SMS. بمجرد تسجيل الدخول، نشجع المستخدم على إعداد مصادقة FIDO.

ونظرًا لأن FIDO يتم تحديده لكل جهاز على حدة، فقد يكون من الصعب استرداد الحساب، في حال أصبح الجهاز غير قادر على العمل. ولذلك، نطلب من المستخدمين الاحتفاظ برقم هواتفهم مسجَّلاً، حتى بعد إعداد مصادقة إضافية.

التحديات الرئيسية للمصادقة بدون كلمة مرور

تعتمد كلمات المرور على الذاكرة البشرية وهي مستقلة عن الجهاز. من ناحية أخرى، تعتمد مبادرتنا بدون استخدام كلمات المرور على طرق المصادقة التي تم تقديمها حتى الآن في مبادرتنا بدون استخدام كلمات المرور. وهذا يفرض عدة تحديات.

عند استخدام أجهزة متعددة، تكون هناك بعض المشاكل المتعلقة بسهولة الاستخدام:

  • عند استخدام مصادقة الرسائل القصيرة (SMS) لتسجيل الدخول من جهاز كمبيوتر، يجب أن يتحقق المستخدمون من هواتفهم الجوّالة بحثًا عن رسائل SMS الواردة. قد يكون هذا غير مريح، لأنه يتطلب هاتف المستخدم متاح وسهل الوصول إليه في أي وقت.
  • باستخدام FIDO، خاصةً مع مصادقات النظام الأساسي، لن يتمكّن المستخدم الذي لديه أجهزة متعددة من المصادقة على الأجهزة غير المسجَّلة. ويجب إكمال التسجيل لكل جهاز ينوي استخدامه.

ترتبط مصادقة FIDO بأجهزة محدّدة، ما يتطلب أن تظل في حوزة المستخدم ونشطة.

  • إذا تم إلغاء عقد الخدمة، فلن تتمكن من إرسال رسائل قصيرة إلى رقم الهاتف المسجّل.
  • يخزِّن FIDO المفاتيح الخاصة على جهاز معيّن. في حالة فقد الجهاز، فإن هذه المفاتيح غير قابلة للاستخدام.

Yahoo! تتخذ اليابان خطوات مختلفة لمعالجة هذه المشاكل.

الحل الأهم هو تشجيع المستخدمين على إعداد طرق مصادقة متعددة. يوفر هذا إمكانية الوصول البديل إلى الحساب عند فقدان الأجهزة. نظرًا لأن مفاتيح FIDO تعتمد على الجهاز، فمن الجيد أيضًا تسجيل مفاتيح FIDO الخاصة على أجهزة متعددة.

بدلاً من ذلك، يمكن للمستخدمين استخدام WebOTP API لتمرير رموز التحقق عبر الرسائل القصيرة SMS من هاتف Android إلى Chrome على جهاز الكمبيوتر.

نعتقد أنّ معالجة هذه المشاكل ستصبح أكثر أهمية مع انتشار المصادقة بدون استخدام كلمات مرور.

الترويج للمصادقة بدون كلمات مرور

Yahoo! تعمل JAPAN على هذه المبادرات بدون كلمات المرور منذ عام 2015. وبدأت هذه العملية بالحصول على شهادة خادم FIDO في أيار (مايو) 2015، وأتبعها بطرح مصادقة الرسائل القصيرة SMS وميزة إلغاء تنشيط كلمة المرور ودعم FIDO لكل جهاز.

واليوم، أوقف أكثر من 30 مليون مستخدم نشط شهريًا كلمات المرور ويستخدمون طرق مصادقة بدون كلمات مرور. Yahoo! بدأ دعم FIDO في اليابان باستخدام متصفّح Chrome على نظام التشغيل Android، والآن أعدّ أكثر من 10 مليون مستخدم مصادقة FIDO.

نتيجة لـ Yahoo! مبادرات اليابان، انخفضت نسبة الاستفسارات المتعلقة بأرقام تعريف تسجيل الدخول أو كلمات المرور المنسية بنسبة 25% مقارنةً بالفترة التي بلغ فيها هذا النوع من الاستفسارات أعلى معدّل، واستطعنا أيضًا تأكيد أنّ الوصول غير المصرّح به قد تراجع نتيجةً لزيادة عدد الحسابات التي لا تستخدم كلمات مرور.

نظرًا لسهولة إعداد FIDO، فهو يتميّز بمعدل إحالة ناجحة مرتفع بصفة خاصة. في الواقع، Yahoo! اليابان واكتشفت أن FIDO يحقق معدل إحالات ناجحة أعلى من مصادقة الرسائل القصيرة SMS.

    %25

    انخفاض في طلبات بيانات الاعتماد المنسية

    74 %

    نجاح المستخدمين باستخدام مصادقة FIDO

    %65

    تم إكمال عملية إثبات الهوية باستخدام الرسائل القصيرة.

يتميز FIDO بمعدل نجاح أعلى من مصادقة الرسائل القصيرة SMS ومتوسط أوقات مصادقة أسرع ومتوسطة. بالنسبة إلى كلمات المرور، تكون أوقات المصادقة قصيرة في بعض المجموعات، ونعتقد أنّ السبب يعود إلى autocomplete="current-password" في المتصفّح.

رسم بياني لمقارنة وقت المصادقة لكلمات المرور والرسائل القصيرة SMS وFIDO.
في المتوسط، تستغرق المصادقة عبر FIDO في المتوسط 8 ثوانٍ، بينما تستغرق كلمات المرور 21 ثانية، بينما تستغرق المصادقة عبر الرسائل القصيرة 27 ثانية.

إنّ الصعوبة الأكبر في توفير الحسابات بدون كلمات مرور ليست إضافة طرق المصادقة، بل انتشار استخدام أدوات المصادقة. إذا لم تكن تجربة استخدام خدمة بدون كلمات مرور سهلة، لن يكون الانتقال سهلاً.

نعتقد أنّه علينا أولاً تحسين سهولة الاستخدام لتحسين مستوى الأمان، الأمر الذي سيتطلب ابتكارات فريدة لكل خدمة.

الخلاصة

تُعد مصادقة كلمة المرور خطرة من حيث الأمان، كما أنها تشكل تحديات من حيث سهولة الاستخدام. والآن بعد أن أصبحت التكنولوجيات التي تدعم المصادقة بدون كلمة مرور، مثل واجهة برمجة التطبيقات WebOTP API وFIDO، متاحة على نطاق أوسع، حان الوقت لبدء العمل على المصادقة بدون كلمة مرور.

في Yahoo! في اليابان، كان لاتّباع هذا النهج تأثير واضح على كلّ من سهولة الاستخدام والأمان. ومع ذلك، لا يزال العديد من المستخدمين يستخدمون كلمات المرور، لذا سنستمر في تشجيع المزيد من المستخدمين على التبديل إلى أساليب المصادقة بدون كلمات مرور. سنواصل أيضًا تحسين منتجاتنا لتحسين تجربة المستخدم من أجل استخدام طرق المصادقة بدون استخدام كلمات المرور.

صورة بواسطة olieman.eth على قناة Unspark