Yahoo! بفضل المصادقة بدون كلمة مرور في اليابان، انخفضت الاستفسارات بنسبة 25%، كما زادت من وقت تسجيل الدخول بمقدار 2.6 مرة.

تعرَّف على كيفية عمل Yahoo! أنشأت اليابان نظامًا لتحديد الهوية بدون استخدام كلمة المرور.

ألكسندرا وايت
ألكسندرا وايت
يويا إيتو
يويا إيتو

Yahoo! شركة JAPAN هي واحدة من أكبر الشركات الإعلامية في اليابان، حيث توفر خدمات مثل البحث والأخبار والتجارة الإلكترونية والبريد الإلكتروني. قام أكثر من 50 مليون مستخدم بتسجيل الدخول إلى Yahoo! خدمات JAPAN شهريًا.

على مر السنين، كان هناك العديد من الهجمات على حسابات المستخدمين والمشكلات التي أدت إلى فقدان إمكانية الوصول إلى الحساب. تتعلق معظم هذه المشكلات باستخدام كلمة المرور للمصادقة.

في إطار أحدث التطورات في تقنية المصادقة، تسمح خدمات Yahoo! قررت شركة JAPAN الانتقال من المصادقة المستندة إلى كلمة المرور إلى المصادقة بدون كلمة مرور.

لماذا لا تستخدم كلمة مرور؟

بما أنّ Yahoo! تقدّم اليابان خدمات التجارة الإلكترونية وغيرها من الخدمات ذات الصلة بالمال، وقد يتعرّض المستخدمون لخطر إلحاق ضرر جسيم بهم في حال الوصول غير المصرّح به أو فقدان الحساب.

كانت أكثر الهجمات الشائعة المتعلقة بكلمات المرور هي الهجمات على قوائم كلمات المرور وخداع التصيّد الاحتيالي. إن أحد الأسباب التي تجعل هجمات قائمة كلمات المرور شائعة وفعالة هو عادة استخدام كلمة المرور نفسها لعدة تطبيقات ومواقع ويب.

الأرقام التالية هي نتائج استطلاع أجرته شركة Yahoo! اليابان.

    %50

    استخدام رقم التعريف نفسه وكلمة المرور نفسهما على ستة مواقع إلكترونية أو أكثر

    %60

    استخدام كلمة المرور نفسها في عدة مواقع إلكترونية

    %70

    استخدام كلمة مرور كطريقة أساسية لتسجيل الدخول

غالبًا ما ينسى المستخدمون كلمات المرور، وهو ما يمثل معظم الاستفسارات المتعلقة بكلمات المرور. كانت هناك أيضًا استفسارات من المستخدمين الذين نسوا معرفات تسجيل الدخول بالإضافة إلى كلمات المرور الخاصة بهم. وفي أعلى مستوياتها، شكّلت هذه الاستفسارات أكثر من ثلث الاستفسارات المتعلّقة بالحسابات.

بدون كلمة مرور، يمكن لـ Yahoo! كان هدف JAPAN هو تحسين الأمان ليس فقط ولكن أيضًا سهولة الاستخدام، بدون وضع أي عبء إضافي على المستخدمين.

من منظور أمني، يؤدي حذف كلمات المرور من عملية مصادقة المستخدم إلى الحد من الضرر الناجم عن الهجمات المستندة إلى القوائم، ومن منظور سهولة الاستخدام، يؤدي توفير طريقة مصادقة لا تعتمد على تذكر كلمات المرور إلى منع الحالات التي يتعذّر فيها على المستخدم تسجيل الدخول بسبب نسيان كلمة المرور.

Yahoo! مبادرات JAPAN بدون كلمات مرور

Yahoo! تتخذ اليابان عددًا من الخطوات للترويج للمصادقة بدون كلمة مرور، ويمكن تقسيمها على نطاق واسع إلى ثلاث فئات:

  1. توفير وسائل بديلة لمصادقة كلمات المرور
  2. إلغاء تفعيل كلمة المرور
  3. تسجيل الحساب بدون استخدام كلمات المرور

تمّ إعداد أول مبادرتَين موجَّهتَين إلى المستخدمين الحاليين، في حين أنّ التسجيل بدون كلمة مرور موجّه للمستخدمين الجدد.

1- توفير وسائل بديلة لمصادقة كلمات المرور

Yahoo! توفّر Japan البدائل التالية لكلمات المرور.

  1. مصادقة الرسائل القصيرة SMS
  2. FIDO مع WebAuthn

بالإضافة إلى ذلك، نقدم أيضًا طرق مصادقة مثل مصادقة البريد الإلكتروني وكلمة المرور المدمجة مع كلمة المرور لمرة واحدة عبر الرسائل القصيرة SMS (كلمة المرور لمرة واحدة) وكلمة المرور إلى جانب كلمة المرور لمرة واحدة عبر البريد الإلكتروني.

مصادقة الرسائل القصيرة SMS

مصادقة الرسائل القصيرة SMS هي نظام يسمح للمستخدم المسجّل باستلام رمز مصادقة مكوّن من ستة أرقام عبر الرسائل القصيرة SMS. بمجرد أن يتلقى المستخدم رسالة SMS، يمكنه إدخال رمز المصادقة في التطبيق أو موقع الويب.

ومنذ فترة طويلة، سمحت Apple لنظام iOS بقراءة رسائل SMS واقتراح رموز المصادقة من نص النص. أصبح من الممكن مؤخرًا استخدام الاقتراحات من خلال تحديد "رمز برمجي لمرة واحدة" في سمة autocomplete للعنصر الإدخال. بإمكان Chrome على أجهزة Android وWindows وMac توفير التجربة نفسها باستخدام WebOTP API.

مثال:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

وتم تصميم كلا الأسلوبين لمنع التصيّد الاحتيالي من خلال تضمين النطاق في نص الرسائل القصيرة SMS وتقديم الاقتراحات للنطاق المحدّد فقط.

لمزيد من المعلومات حول واجهة برمجة تطبيقات WebOTP API وautocomplete="one-time-code"، يمكنك الاطّلاع على أفضل الممارسات المتعلّقة بنموذج استخدام كلمة المرور لمرة واحدة (OTP) عبر الرسائل القصيرة..

FIDO مع WebAuthn

يستخدم FIDO with WebAuthn برنامج مصادقة للأجهزة لإنشاء زوج تشفير مفتاح عام وإثبات ملكيته. عند استخدام هاتف ذكي كأداة المصادقة، يمكن دمجه مع المصادقة بالمقاييس الحيوية (مثل أدوات استشعار بصمة الإصبع أو التعرّف على الوجوه) لإجراء مصادقة ثنائية بخطوتين. في هذه الحالة، يتم إرسال التوقيع ومؤشر النجاح فقط إلى الخادم من خلال المصادقة بالمقاييس الحيوية، وبالتالي ليس هناك خطر سرقة بيانات المقاييس الحيوية.

يعرض الرسم البياني التالي تهيئة الخادم-العميل لـ FIDO. يصادق برنامج مصادقة العميل على المستخدم باستخدام المقاييس الحيوية، ويوقِّع النتيجة باستخدام طريقة تشفير المفتاح العام. ويتم تخزين المفتاح الخاص المستخدَم لإنشاء التوقيع بشكل آمن في بيئة تنفيذ موثوقة (TEE) أو في مكان مشابه. يُعرَف مقدّم الخدمة الذي يستخدم FIDO باسم "الطرف المعتمَد".

بعد أن يجري المستخدم المصادقة (عادةً من خلال المسح الضوئي للمقاييس الحيوية أو رقم التعريف الشخصي)، يستخدم برنامج المصادقة مفتاحًا خاصًا لإرسال إشارة تحقُّق موقَّعة إلى المتصفِّح. وبعد ذلك، يشارك المتصفِّح تلك الإشارة مع الموقع الإلكتروني للجهة المحظورة.

بعد ذلك، يرسل موقع الجهة المحظورة على الويب إشارة التحقق الموقَّعة إلى خادم الجهة المحظورة، التي تتحقق من التوقيع مقابل المفتاح العام لإكمال المصادقة.

للحصول على مزيد من المعلومات، يمكنك الاطّلاع على إرشادات المصادقة من FIDO Alliance.

Yahoo! تدعم اليابان FIDO على Android (التطبيق المتوافق مع الأجهزة الجوّالة والويب) وiOS (التطبيق المتوافق مع الأجهزة الجوّالة والويب) وWindows (Edge وChrome وFirefox) وmacOS (Safari وChrome). وبوصفه خدمة للمستهلك، يمكن استخدام FIDO على أي جهاز تقريبًا، مما يجعله خيارًا جيدًا للترويج للمصادقة بدون كلمة مرور.

نظام التشغيل توافق مع FIDO
Android التطبيقات، المتصفِّح (Chrome)
iOS التطبيقات (الإصدار iOS14 أو الإصدارات الأحدث)، المتصفّح (الإصدار 14 من Safari أو الإصدارات الأحدث)
أجهزة Windows المتصفّح (Edge وChrome وFirefox)
نظام التشغيل Mac (Big Sur أو إصدار أحدث) المتصفّح (Safari وChrome)
نموذج Yahoo! طلب في اليابان للمصادقة مع FIDO.

Yahoo! تقترح شركة JAPAN أن يسجّل المستخدمون في FIDO باستخدام WebAuthn إذا لم يسبق لهم المصادقة باستخدام وسائل أخرى. عندما يحتاج المستخدم إلى تسجيل الدخول باستخدام الجهاز نفسه، يمكنه المصادقة بسرعة باستخدام أداة استشعار المقاييس الحيوية.

على المستخدمين إعداد مصادقة FIDO في جميع الأجهزة التي يستخدمونها لتسجيل الدخول إلى حسابات Yahoo! اليابان.

لتعزيز المصادقة بدون كلمة مرور ومراعاة المستخدمين الذين ينتقلون من استخدام كلمات المرور، نوفّر وسائل متعددة للمصادقة. وهذا يعني أنّه قد يكون للمستخدمين المختلفين إعدادات مختلفة لطرق المصادقة، وقد تختلف طرق المصادقة التي يمكنهم استخدامها من متصفّح إلى آخر. ونعتقد أنها تجربة أفضل إذا قام المستخدمون بتسجيل الدخول باستخدام نفس طريقة المصادقة في كل مرة.

لاستيفاء هذه المتطلبات، من الضروري تتبع طرق المصادقة السابقة وربط هذه المعلومات بالعميل عن طريق تخزينها في شكل ملفات تعريف ارتباط وما إلى ذلك. ويمكننا بعد ذلك تحليل كيفية استخدام المتصفحات والتطبيقات المختلفة للمصادقة. يُطلب من المستخدم تقديم المصادقة المناسبة استنادًا إلى إعدادات المستخدم وطرق المصادقة السابقة المستخدمة والحد الأدنى من مستوى المصادقة المطلوب.

2- إلغاء تفعيل كلمة المرور

Yahoo! يطلب موقع JAPAN من المستخدمين إعداد طريقة مصادقة بديلة ثم تعطيل كلمة مرورهم بحيث لا يمكن استخدامها. بالإضافة إلى إعداد مصادقة بديلة، يساعد إيقاف مصادقة كلمة المرور (وبالتالي جعل تسجيل الدخول باستخدام كلمة مرور فقط) في حماية المستخدمين من الهجمات المستندة إلى القوائم.

لقد اتخذنا الخطوات التالية لتشجيع المستخدمين على إيقاف كلمات المرور.

  • الترويج لطرق مصادقة بديلة عند إعادة ضبط المستخدمين لكلمات المرور
  • تشجيع المستخدمين على إعداد طرق مصادقة سهلة الاستخدام (مثل FIDO) وإيقاف كلمات المرور في الحالات التي تتطلّب مصادقة متكررة
  • حث المستخدمين على إيقاف كلمات مرورهم قبل استخدام الخدمات العالية الخطورة، مثل عمليات الدفع من خلال التجارة الإلكترونية

في حال نسي أحد المستخدمين كلمة المرور، يمكنه تنفيذ عملية استرداد الحساب. وكان ذلك في السابق إعادة تعيين كلمة المرور. الآن، يمكن للمستخدمين اختيار إعداد طريقة مصادقة مختلفة، ونشجعهم على ذلك.

3. تسجيل الحساب بدون استخدام كلمات المرور

يمكن للمستخدمين الجدد إنشاء حسابات Yahoo! بدون كلمة مرور حساباتك في اليابان. يُطلب من المستخدمين أولاً التسجيل باستخدام مصادقة الرسائل القصيرة SMS. بعد تسجيل الدخول، نشجّع المستخدم على إعداد مصادقة FIDO.

نظرًا لأن FIDO هو إعداد مخصص لكل جهاز، فقد يكون من الصعب استرداد حساب، في حالة توقف الجهاز عن العمل. لذلك، نطلب من المستخدمين الاحتفاظ برقم هاتفهم مسجَّلاً، حتى بعد إعداد مصادقة إضافية.

التحديات الرئيسية للمصادقة بدون كلمة مرور

تعتمد كلمات المرور على ذاكرة الإنسان وهي مستقلة عن الأجهزة. من ناحية أخرى، تعتمد طرق المصادقة التي تم تقديمها حتى الآن في مبادرتنا بدون كلمة مرور على الأجهزة. وهذا يشكل عدة تحديات.

عند استخدام أجهزة متعددة، تكون هناك بعض المشاكل المتعلقة بسهولة الاستخدام:

  • عند استخدام مصادقة الرسائل القصيرة SMS لتسجيل الدخول من جهاز كمبيوتر شخصي، يجب على المستخدمين التحقق من هواتفهم الجوّالة بحثًا عن الرسائل القصيرة SMS الواردة. قد يكون هذا غير مريح، لأنه يتطلب أن يكون هاتف المستخدم متاحًا ويسهل الوصول إليه في أي وقت.
  • باستخدام FIDO، وخاصةً مع برامج المصادقة على النظام الأساسي، لن يكون بإمكان المستخدم الذي لديه أجهزة متعددة إجراء المصادقة على الأجهزة غير المسجَّلة. يجب إكمال التسجيل لكل جهاز تنوي استخدامه.

ترتبط مصادقة FIDO بأجهزة معيّنة، ما يتطلّب أن تكون هذه الأجهزة بحوزة المستخدم ونشطة.

  • إذا تم إلغاء عقد الخدمة، فلن يكون بإمكانك إرسال رسائل قصيرة SMS إلى رقم الهاتف المسجَّل بعد ذلك.
  • يخزِّن FIDO المفاتيح الخاصة على جهاز معيّن. في حال فقدان الجهاز، لن تكون هذه المفاتيح قابلة للاستخدام.

Yahoo! تتخذ اليابان خطوات متعددة لمعالجة هذه المشاكل.

يتمثل الحل الأكثر أهمية في تشجيع المستخدمين على إعداد طرق مصادقة متعددة. يوفر هذا إمكانية وصول بديل إلى الحساب عند فقدان الأجهزة. نظرًا لأن مفاتيح FIDO تعتمد على الأجهزة، فمن الممارسات الجيدة أيضًا تسجيل مفاتيح FIDO الخاصة على أجهزة متعددة.

بدلاً من ذلك، يمكن للمستخدمين استخدام WebOTP API لتمرير رموز التحقّق عبر الرسائل القصيرة من هاتف Android إلى Chrome على جهاز كمبيوتر شخصي.

نعتقد أنّ معالجة هذه المشاكل ستصبح أكثر أهمية مع انتشار المصادقة بدون كلمة مرور.

الترويج للمصادقة بدون كلمة مرور

Yahoo! تعمل شركة JAPAN على تنفيذ هذه المبادرات التي لا تتضمن كلمات مرور منذ عام 2015. وقد حصل ذلك على شهادة خادم FIDO في أيار (مايو) 2015، وأعقبته بإتاحة مصادقة الرسائل القصيرة SMS، وميزة إيقاف كلمات المرور، وتوفير إمكانية استخدام FIDO لكل جهاز.

واليوم، نجح أكثر من 30 مليون مستخدم نشط شهريًا في إيقاف كلمات المرور ويستخدمون طرق المصادقة التي لا تستخدم كلمات المرور. Yahoo! بدأ دعم اليابان لـ FIDO باستخدام Chrome على Android، وقام أكثر من 10 ملايين مستخدم بإعداد مصادقة FIDO.

ونتيجة بحث Yahoo! بعد إطلاق المبادرات اليابانية، انخفضت النسبة المئوية للاستعلامات التي تضمّنت أرقام تعريف أو كلمات مرور لتسجيل الدخول منسيّة بنسبة 25% مقارنةً بالفترة التي بلغ فيها عدد هذه الاستفسارات ذروتها، وتمكّنا أيضًا من تأكيد انخفاض معدّل الوصول غير المصرّح به نتيجةً لزيادة عدد الحسابات بدون كلمة مرور.

بما أن إعداد FIDO في غاية السهولة، فهو يسجّل معدل تحويل مرتفع بشكلٍ خاص. في الواقع، تعتمد Yahoo! سجّلت شركة JAPAN أن معدّل FIDO معدل إحالات ناجحة أعلى من معدّل مصادقة الرسائل القصيرة.

    %25

    انخفاض عدد الطلبات بسبب نسيان بيانات الاعتماد

    %74

    نجاح المستخدمين باستخدام مصادقة FIDO

    %65

    إثبات الملكية بنجاح عبر الرسائل القصيرة SMS

لدى FIDO معدل نجاح أعلى من مصادقة الرسائل القصيرة SMS ومتوسط ومتوسط أسرع للمصادقة. بالنسبة إلى كلمات المرور، قد تستغرق بعض المجموعات أوقات مصادقة قصيرة، ونعتقد أن هذا يرجع إلى autocomplete="current-password" في المتصفح.

رسم بياني للمقارنة بين وقت المصادقة لكلمات المرور والرسائل القصيرة وFIDO.
تستغرق المصادقة في FIDO في المتوسط 8 ثوانٍ، بينما تستغرق كلمات المرور 21 ثانية، وتستغرق عملية التحقق من خلال الرسائل القصيرة 27 ثانية.

إنّ أكبر صعوبة في توفير حسابات بدون كلمات مرور لا تتمثل في إضافة طرق مصادقة، ولكن عملية توزيع استخدام برامج المصادقة. إذا كانت تجربة استخدام خدمة بدون كلمة مرور غير سهلة الاستخدام، لن يكون الانتقال منها سهلاً.

ونعتقد أنه ينبغي لنا أولاً تحسين سهولة الاستخدام لتحسين مستوى الأمان، الأمر الذي يتطلب ابتكارات فريدة لكل خدمة.

الخلاصة

تنطوي مصادقة كلمات المرور على مخاطر من حيث الأمان، كما تشكل تحديات من حيث سهولة الاستخدام. والآن بعد أن أصبحت التقنيات التي تدعم المصادقة بدون كلمة مرور، مثل WebOTP API وFIDO متوفرة على نطاق أوسع، حان الوقت لبدء العمل على المصادقة بدون كلمة مرور.

في Yahoo! اليابان، كان لهذا النهج تأثير واضح على كل من سهولة الاستخدام والأمان. ومع ذلك، لا يزال العديد من المستخدمين يستخدمون كلمات المرور، لذا سنستمر في تشجيع المزيد من المستخدمين على التبديل إلى أساليب المصادقة بدون كلمة مرور. سنواصل أيضًا تحسين منتجاتنا لتحسين تجربة المستخدم من أجل استخدام طرق المصادقة بدون كلمة مرور.

صورة من olieman.eth على قناة Unسبلاش