یاهو احراز هویت بدون رمز عبور ژاپن، درخواست ها را تا 25% کاهش داد، زمان ورود به سیستم را 2.6 برابر افزایش داد.

در مورد چگونگی Yahoo! ژاپن یک سیستم هویت بدون رمز عبور ساخت.

یاهو JAPAN یکی از بزرگترین شرکت های رسانه ای در ژاپن است که خدماتی مانند جستجو، اخبار، تجارت الکترونیک و ایمیل ارائه می دهد. بیش از 50 میلیون کاربر به یاهو وارد می شوند! خدمات ژاپن هر ماه

در طول سال‌ها، حملات زیادی به حساب‌های کاربری و مسائلی صورت گرفت که منجر به از دست رفتن دسترسی به حساب‌ها شد. بیشتر این مسائل مربوط به استفاده از رمز عبور برای احراز هویت بود.

با پیشرفت های اخیر در فناوری احراز هویت، Yahoo! ژاپن تصمیم گرفته است از احراز هویت مبتنی بر رمز عبور به احراز هویت بدون رمز عبور حرکت کند.

چرا بدون رمز؟

به عنوان Yahoo! JAPAN تجارت الکترونیک و سایر خدمات مرتبط با پول را ارائه می دهد، در صورت دسترسی غیرمجاز یا از دست دادن حساب، خطر آسیب قابل توجهی برای کاربران وجود دارد.

رایج ترین حملات مربوط به رمزهای عبور، حملات لیست رمز عبور و کلاهبرداری های فیشینگ بود. یکی از دلایل رایج و مؤثر بودن حملات لیست رمز عبور، عادت بسیاری از افراد به استفاده از رمز عبور یکسان برای چندین برنامه و وب سایت است.

ارقام زیر نتایج نظرسنجی انجام شده توسط Yahoo! ژاپن.

    50 درصد

    از همان شناسه و رمز عبور در شش یا چند سایت استفاده کنید

    60 درصد

    از رمز عبور یکسان در چندین سایت استفاده کنید

    70 درصد

    از رمز عبور به عنوان راه اصلی برای ورود استفاده کنید

کاربران اغلب رمزهای عبور خود را فراموش می کنند، که اکثر سوالات مربوط به رمز عبور را تشکیل می دهد. همچنین درخواست هایی از کاربرانی که شناسه ورود به سیستم خود را علاوه بر رمز عبور خود فراموش کرده بودند نیز وجود داشت. در اوج خود، این پرس و جوها بیش از یک سوم کل پرس و جوهای مربوط به حساب را تشکیل می دادند.

با رفتن بدون رمز عبور، Yahoo! هدف ژاپن بهبود نه تنها امنیت، بلکه قابلیت استفاده، بدون تحمیل بار اضافی بر دوش کاربران بود.

از منظر امنیتی، حذف گذرواژه‌ها از فرآیند احراز هویت کاربر آسیب‌های ناشی از حملات مبتنی بر فهرست را کاهش می‌دهد و از منظر قابلیت استفاده، ارائه یک روش احراز هویت که متکی به به خاطر سپردن گذرواژه‌ها نیست، از موقعیت‌هایی جلوگیری می‌کند که کاربر به دلیل فراموشی قادر به ورود به سیستم نیست. رمز عبور آنها

یاهو ابتکارات بدون رمز عبور ژاپن

یاهو ژاپن در حال انجام تعدادی گام برای ترویج احراز هویت بدون رمز عبور است که به طور کلی می توان آنها را به سه دسته تقسیم کرد:

  1. یک ابزار جایگزین برای احراز هویت برای رمزهای عبور ارائه دهید.
  2. غیرفعال کردن رمز عبور
  3. ثبت حساب بدون رمز عبور

دو ابتکار اول کاربران فعلی را هدف قرار داده اند، در حالی که ثبت نام بدون رمز عبور کاربران جدید را هدف قرار داده است.

1. ارائه ابزار جایگزین برای احراز هویت برای رمزهای عبور

یاهو ژاپن جایگزین های زیر را برای رمزهای عبور ارائه می دهد.

  1. احراز هویت پیامکی
  2. FIDO با WebAuthn

علاوه بر این، روش‌های احراز هویت مانند احراز هویت ایمیل، رمز عبور همراه با SMS OTP (گذرواژه یک‌بار مصرف)، و رمز عبور همراه با OTP ایمیل را نیز ارائه می‌دهیم.

احراز هویت پیامکی

احراز هویت پیامکی سیستمی است که به کاربر ثبت نام شده اجازه می دهد تا کد احراز هویت شش رقمی را از طریق پیامک دریافت کند. هنگامی که کاربر پیامک را دریافت کرد، می تواند کد احراز هویت را در برنامه یا وب سایت وارد کند.

اپل مدت‌هاست که به iOS اجازه می‌دهد پیام‌های SMS را بخواند و کدهای احراز هویت را از متن متن پیشنهاد کند. اخیراً، استفاده از پیشنهادات با تعیین "یک بار-کد" در ویژگی autocomplete عنصر ورودی امکان پذیر شده است. Chrome در Android، Windows و Mac می‌تواند همین تجربه را با استفاده از WebOTP API ارائه دهد.

مثلا:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

هر دو رویکرد برای جلوگیری از فیشینگ با گنجاندن دامنه در متن پیامک و ارائه پیشنهادات فقط برای دامنه مشخص شده طراحی شده‌اند.

برای اطلاعات بیشتر در مورد WebOTP API و autocomplete="one-time-code" ، بهترین روش‌های فرم OTP SMS را بررسی کنید.

FIDO با WebAuthn

FIDO با WebAuthn از یک تصدیق‌کننده سخت‌افزار برای تولید یک جفت رمز کلید عمومی و اثبات مالکیت استفاده می‌کند. هنگامی که از تلفن هوشمند به عنوان احراز هویت استفاده می شود، می توان آن را با احراز هویت بیومتریک (مانند حسگرهای اثر انگشت یا تشخیص چهره) ترکیب کرد تا احراز هویت دو مرحله ای یک مرحله ای را انجام دهد. در این حالت فقط امضا و نشانه موفقیت از احراز هویت بیومتریک به سرور ارسال می شود، بنابراین خطر سرقت اطلاعات بیومتریک وجود ندارد.

نمودار زیر پیکربندی سرور-کلاینت را برای FIDO نشان می دهد. احراز هویت مشتری کاربر را با بیومتریک احراز هویت می کند و نتیجه را با استفاده از رمزنگاری کلید عمومی امضا می کند. کلید خصوصی مورد استفاده برای ایجاد امضا به طور ایمن در یک TEE (محیط اجرای مورد اعتماد) یا مکان مشابه ذخیره می شود. ارائه دهنده خدماتی که از FIDO استفاده می کند RP (حزب متکی) نامیده می شود.

هنگامی که کاربر احراز هویت را انجام می دهد (معمولاً با اسکن بیومتریک یا پین)، احراز هویت از یک کلید خصوصی برای ارسال یک سیگنال تأیید امضا شده به مرورگر استفاده می کند. سپس مرورگر آن سیگنال را با وب سایت RP به اشتراک می گذارد.

سپس وب‌سایت RP سیگنال تأیید امضا شده را به سرور RP ارسال می‌کند، که امضا را در برابر کلید عمومی تأیید می‌کند تا احراز هویت کامل شود.

برای اطلاعات بیشتر، دستورالعمل‌های احراز هویت را از اتحاد FIDO بخوانید.

یاهو ژاپن از FIDO در اندروید (برنامه موبایل و وب)، iOS (برنامه موبایل و وب)، ویندوز (Edge، Chrome، Firefox) و macOS (Safari، Chrome) پشتیبانی می کند. به‌عنوان یک سرویس مصرف‌کننده، FIDO را می‌توان تقریباً در هر دستگاهی مورد استفاده قرار داد، که آن را به گزینه خوبی برای ترویج احراز هویت بدون رمز عبور تبدیل می‌کند.

سیستم عامل پشتیبانی از FIDO
اندروید برنامه ها، مرورگر (Chrome)
iOS برنامه ها (iOS14 یا جدیدتر)، مرورگر (Safari 14 یا جدیدتر)
پنجره ها مرورگر (Edge، Chrome، Firefox)
مک (بیگ سور یا جدیدتر) مرورگر (سافاری، کروم)
نمونه یاهو JAPAN درخواست احراز هویت با FIDO.

یاهو ژاپن توصیه می کند که کاربران برای FIDO با WebAuthn ثبت نام کنند، اگر قبلاً از طریق روش های دیگر احراز هویت نشده اند. زمانی که کاربر نیاز به ورود با همان دستگاه دارد، می‌تواند به سرعت با استفاده از حسگر بیومتریک احراز هویت کند.

کاربران باید احراز هویت FIDO را با تمام دستگاه هایی که برای ورود به یاهو استفاده می کنند تنظیم کنند! ژاپن.

برای ترویج احراز هویت بدون رمز عبور و توجه به کاربرانی که از پسوردها دور می‌شوند، ابزارهای متعددی برای احراز هویت ارائه می‌کنیم. این بدان معناست که کاربران مختلف می‌توانند تنظیمات روش احراز هویت متفاوتی داشته باشند و روش‌های احراز هویتی که می‌توانند استفاده کنند ممکن است از مرورگر به مرورگر متفاوت باشد. ما معتقدیم اگر کاربران هر بار با استفاده از روش احراز هویت یکسان وارد شوند، تجربه بهتری خواهد بود.

برای برآورده کردن این الزامات، لازم است روش‌های احراز هویت قبلی را ردیابی کنید و این اطلاعات را با ذخیره آن‌ها در قالب کوکی‌ها و غیره به مشتری پیوند دهید. سپس می‌توانیم نحوه استفاده از مرورگرها و برنامه‌های مختلف برای احراز هویت را تجزیه و تحلیل کنیم. از کاربر خواسته می شود تا احراز هویت مناسب را بر اساس تنظیمات کاربر، روش های احراز هویت قبلی استفاده شده و حداقل سطح احراز هویت مورد نیاز ارائه دهد.

2. غیرفعال کردن رمز عبور

یاهو JAPAN از کاربران می خواهد که یک روش احراز هویت جایگزین تنظیم کنند و سپس رمز عبور خود را غیرفعال کنند تا قابل استفاده نباشد. علاوه بر راه‌اندازی احراز هویت جایگزین، غیرفعال کردن تأیید اعتبار رمز عبور (بنابراین ورود فقط با رمز عبور را غیرممکن می‌کند) به محافظت از کاربران در برابر حملات مبتنی بر فهرست کمک می‌کند.

ما مراحل زیر را برای تشویق کاربران به غیرفعال کردن رمزهای عبور خود انجام داده ایم.

  • ترویج روش‌های احراز هویت جایگزین زمانی که کاربران رمز عبور خود را بازنشانی می‌کنند.
  • تشویق کاربران به راه‌اندازی روش‌های احراز هویت با استفاده آسان (مانند FIDO) و غیرفعال کردن رمزهای عبور برای موقعیت‌هایی که نیاز به احراز هویت مکرر دارند.
  • ترغیب کاربران برای غیرفعال کردن رمزهای عبور خود قبل از استفاده از خدمات پرخطر، مانند پرداخت های تجارت الکترونیک.

اگر کاربر رمز عبور خود را فراموش کند، می تواند بازیابی حساب را اجرا کند. قبلاً این شامل بازنشانی رمز عبور بود. اکنون، کاربران می‌توانند روش دیگری برای احراز هویت راه‌اندازی کنند و ما آنها را تشویق می‌کنیم که این کار را انجام دهند.

3. ثبت نام بدون رمز عبور

کاربران جدید می توانند Yahoo بدون رمز عبور ایجاد کنند! حساب های ژاپن کاربران ابتدا باید با احراز هویت پیامکی ثبت نام کنند. هنگامی که آنها وارد سیستم شدند، ما کاربر را تشویق می کنیم تا احراز هویت FIDO را تنظیم کند.

از آنجایی که FIDO یک تنظیم برای هر دستگاه است، در صورت غیرفعال شدن دستگاه، بازیابی یک حساب ممکن است دشوار باشد. بنابراین، ما از کاربران می‌خواهیم حتی پس از تنظیم احراز هویت اضافی، شماره تلفن خود را ثبت نگه دارند.

چالش های کلیدی برای احراز هویت بدون رمز عبور

رمزهای عبور متکی به حافظه انسان هستند و مستقل از دستگاه هستند. از سوی دیگر، روش‌های احراز هویت که تاکنون در طرح بدون رمز عبور ما معرفی شده‌اند، وابسته به دستگاه هستند. این چند چالش را به همراه دارد.

هنگامی که چندین دستگاه استفاده می شود، برخی از مسائل مربوط به قابلیت استفاده وجود دارد:

  • هنگام استفاده از احراز هویت SMS برای ورود از رایانه شخصی، کاربران باید تلفن همراه خود را برای پیامک های دریافتی بررسی کنند. این ممکن است ناخوشایند باشد، زیرا لازم است تلفن کاربر در هر زمان در دسترس و آسان باشد.
  • با FIDO، به ویژه با احراز هویت پلت فرم، کاربر با چندین دستگاه قادر به احراز هویت در دستگاه های ثبت نشده نخواهد بود. برای هر دستگاهی که قصد استفاده از آن را دارند باید ثبت نام انجام شود.

احراز هویت FIDO به دستگاه های خاصی گره خورده است، که مستلزم آن است که آنها در اختیار کاربر باقی بمانند و فعال باشند.

  • در صورت لغو قرارداد خدمات، دیگر امکان ارسال پیامک به شماره تلفن ثبت شده وجود نخواهد داشت.
  • FIDO کلیدهای خصوصی را در یک دستگاه خاص ذخیره می کند. اگر دستگاه گم شود، آن کلیدها غیرقابل استفاده هستند.

یاهو ژاپن اقدامات مختلفی را برای رفع این مشکلات انجام می دهد.

مهم ترین راه حل، تشویق کاربران به راه اندازی چندین روش احراز هویت است. این امکان دسترسی به حساب جایگزین را در صورت گم شدن دستگاه ها فراهم می کند. از آنجایی که کلیدهای FIDO وابسته به دستگاه هستند، ثبت کلیدهای خصوصی FIDO در چندین دستگاه نیز تمرین خوبی است.

همچنین، کاربران می‌توانند از WebOTP API برای ارسال کدهای تأیید پیامک از تلفن Android به Chrome در رایانه شخصی استفاده کنند.

ما معتقدیم که با گسترش احراز هویت بدون رمز عبور، پرداختن به این مسائل اهمیت بیشتری پیدا خواهد کرد.

ترویج احراز هویت بدون رمز عبور

یاهو ژاپن از سال 2015 روی این ابتکارات بدون رمز عبور کار می کند. این کار با کسب گواهینامه سرور FIDO در می 2015 آغاز شد و به دنبال آن احراز هویت SMS، ویژگی غیرفعال کردن رمز عبور و پشتیبانی FIDO برای هر دستگاه ارائه شد.

امروزه بیش از 30 میلیون کاربر فعال ماهانه رمز عبور خود را غیرفعال کرده اند و از روش های احراز هویت بدون رمز عبور استفاده می کنند. یاهو پشتیبانی ژاپن از FIDO با Chrome در اندروید آغاز شد و اکنون بیش از 10 میلیون کاربر احراز هویت FIDO را راه اندازی کرده اند.

در نتیجه یاهو! با ابتکارات ژاپن، درصد درخواست‌های مربوط به شناسه‌های ورود یا رمز عبور فراموش شده در مقایسه با دوره زمانی که تعداد این درخواست‌ها در بالاترین حد خود بود، 25 درصد کاهش یافته است، و ما همچنین توانسته‌ایم تأیید کنیم که دسترسی غیرمجاز در نتیجه کاهش یافته است. افزایش تعداد حساب های بدون رمز عبور

از آنجایی که تنظیم FIDO بسیار آسان است، نرخ تبدیل بالایی دارد. در واقع یاهو! ژاپن دریافته است که FIDO دارای CVR بالاتری نسبت به احراز هویت پیامکی است.

    25 درصد

    کاهش درخواست برای اعتبارنامه های فراموش شده

    74 درصد

    کاربران با احراز هویت FIDO موفق می شوند

    65 درصد

    با تأیید پیامک موفق شوید

FIDO دارای نرخ موفقیت بالاتری نسبت به احراز هویت پیامکی است و میانگین و متوسط ​​زمان احراز هویت سریعتر است. در مورد گذرواژه‌ها، برخی از گروه‌ها زمان احراز هویت کوتاهی دارند و ما گمان می‌کنیم که این به دلیل autocomplete="current-password" مرورگر باشد.

مقایسه نمودار زمان احراز هویت برای رمزهای عبور، پیامک و FIDO.
به طور متوسط، FIDO برای احراز هویت 8 ثانیه طول می کشد، در حالی که رمزهای عبور 21 ثانیه طول می کشد و تأیید پیامک 27 ثانیه طول می کشد.

بزرگ‌ترین مشکل برای ارائه حساب‌های بدون رمز عبور اضافه کردن روش‌های احراز هویت نیست، بلکه رایج کردن استفاده از احراز هویت است . اگر تجربه استفاده از سرویس بدون رمز کاربر پسند نباشد، انتقال آسان نخواهد بود.

ما معتقدیم که برای دستیابی به امنیت بهتر، ابتدا باید قابلیت استفاده را بهبود ببخشیم، که نیازمند نوآوری های منحصر به فردی برای هر سرویس است.

نتیجه

احراز هویت رمز عبور از نظر امنیتی مخاطره آمیز است و از نظر قابلیت استفاده نیز چالش هایی را ایجاد می کند. اکنون که فناوری‌هایی که از احراز هویت بدون رمز عبور پشتیبانی می‌کنند، مانند WebOTP API و FIDO، به طور گسترده‌تری در دسترس هستند، زمان آن رسیده است که به سمت احراز هویت بدون رمز عبور کار کنیم.

در یاهو ژاپن، اتخاذ این رویکرد تأثیر قطعی بر قابلیت استفاده و امنیت داشته است. با این حال، بسیاری از کاربران هنوز از رمز عبور استفاده می کنند، بنابراین ما همچنان کاربران بیشتری را تشویق می کنیم تا به روش های احراز هویت بدون رمز عبور روی آورند. ما همچنین به بهبود محصولات خود برای بهینه سازی تجربه کاربری برای روش های احراز هویت بدون رمز عبور ادامه خواهیم داد.

عکس از olieman.eth در Unsplash