Scopri come le campagne Yahoo! Japan ha creato un sistema di identità senza password.
Migrazione dei sitelink di Yahoo! JAPAN è una delle più grandi società di media del Giappone e offre servizi quali ricerca, notizie, e-commerce ed email. Oltre 50 milioni di utenti accedono a Yahoo! JAPAN servizi ogni mese.
Nel corso degli anni, ci sono stati numerosi attacchi agli account utente e problemi che hanno portato alla perdita dell'accesso agli account. La maggior parte di questi problemi riguardava l'utilizzo delle password per l'autenticazione.
Grazie ai recenti progressi nella tecnologia di autenticazione, Yahoo! JAPAN ha deciso di passare dall'autenticazione basata su password a quella senza password.
Perché usare senza password?
Poiché Yahoo! JAPAN offre e-commerce e altri servizi legati al denaro. Esiste il rischio di danni significativi agli utenti in caso di accesso non autorizzato o perdita dell'account.
Gli attacchi più comuni correlati alle password sono stati gli attacchi basati su elenco di password e le frodi di phishing. Uno dei motivi per cui gli attacchi basati su elenchi di password sono comuni ed efficaci è l'abitudine di molte persone di utilizzare la stessa password per più applicazioni e siti web.
Le cifre seguenti sono i risultati di un sondaggio condotto da Yahoo! GIAPPONE.
il 50 %
Usano lo stesso ID e la stessa password su sei o più siti
Il 60 %
Utilizza la stessa password su più siti.
Il 70 %
utilizza una password come metodo principale per accedere
Gli utenti spesso dimenticano la password, il che rappresenta la maggior parte delle richieste relative alle password. Inoltre, ci sono state richieste di utenti che avevano dimenticato l'ID di accesso oltre alla password. Al loro apice, queste richieste hanno rappresentato oltre un terzo di tutte le richieste relative agli account.
Grazie all'assenza di password, Yahoo! JAPAN puntava a migliorare non solo la sicurezza, ma anche l'usabilità, senza sovraccaricare gli utenti.
Dal punto di vista della sicurezza, l'eliminazione delle password dal processo di autenticazione dell'utente riduce il danno causato da attacchi basati su elenchi e, dal punto di vista dell'usabilità, fornire un metodo di autenticazione che non si basa sulla memorizzazione delle password impedisce che un utente non sia in grado di accedere perché ha dimenticato la password.
Migrazione dei sitelink di Yahoo! le iniziative senza password di JAPAN
Migrazione dei sitelink di Yahoo! JAPAN sta adottando una serie di misure per promuovere l'autenticazione senza password, che possono essere suddivise in tre categorie:
- Fornire un mezzo di autenticazione alternativo alle password.
- Disattivazione password.
- Registrazione account senza password.
Le prime due iniziative sono rivolte agli utenti esistenti, mentre la registrazione senza password è rivolta ai nuovi utenti.
1. Fornire un metodo alternativo di autenticazione alle password
Migrazione dei sitelink di Yahoo! JAPAN offre le seguenti alternative alle password.
Inoltre, offriamo anche metodi di autenticazione come l'autenticazione dell'email, la password combinata con l'OTP SMS (password unica) e la password combinata con l'OTP dell'email.
Autenticazione SMS
L'autenticazione SMS è un sistema che consente a un utente registrato di ricevere un codice di autenticazione a sei cifre tramite SMS. Quando l'utente riceve l'SMS, può inserire il codice di autenticazione nell'app o nel sito web.
Da tempo Apple consente a iOS di leggere gli SMS e suggerire codici di autenticazione dal corpo del testo. Recentemente, è stato possibile utilizzare i suggerimenti specificando "one-time-code" nell'attributo autocomplete
dell'elemento di input. Chrome su Android, Windows e Mac può offrire la stessa esperienza utilizzando l'API WebOTP.
Ad esempio:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Entrambi gli approcci sono progettati per prevenire il phishing includendo il dominio nel corpo dell'SMS e fornendo suggerimenti solo per il dominio specificato.
Per ulteriori informazioni sull'API WebOTP e su autocomplete="one-time-code"
, consulta le best practice per i moduli OTP SMS.
FIDO con WebAuthn
FIDO con WebAuthn utilizza un autenticatore hardware per generare una coppia di crittografia a chiave pubblica e dimostrare il possesso. Quando si utilizza uno smartphone come autenticatore, è possibile combinarlo con l'autenticazione biometrica (come i sensori di impronte digitali o il riconoscimento facciale) per eseguire l'autenticazione a due fattori in una fase. In questo caso, solo la firma e l'indicazione di esito positivo dell'autenticazione biometrica vengono inviate al server, quindi non c'è rischio di furto di dati biometrici.
Il seguente diagramma mostra la configurazione server-client per FIDO. L'autenticatore client autentica l'utente con la biometria e firma il risultato utilizzando la crittografia a chiave pubblica. La chiave privata utilizzata per creare la firma è archiviata in modo sicuro in un TEE (Trusted Execution Environment) o in una posizione simile. Un fornitore di servizi che utilizza FIDO è chiamato RP (parte coinvolta).
Per ulteriori informazioni, leggi le linee guida per l'autenticazione di FIDO Alliance.
Migrazione dei sitelink di Yahoo! JAPAN supporta FIDO su Android (app mobile e web), iOS (app mobile e Web), Windows (Edge, Chrome, Firefox) e macOS (Safari, Chrome). Essendo un servizio consumer, FIDO può essere utilizzato su quasi tutti i dispositivi, il che è una buona opzione per promuovere l'autenticazione senza password.
Migrazione dei sitelink di Yahoo! JAPAN consiglia agli utenti di registrarsi per FIDO con WebAuthn, se non hanno già effettuato l'autenticazione con altri mezzi. Quando un utente deve accedere con lo stesso dispositivo, può autenticarsi rapidamente con un sensore biometrico.
Gli utenti devono configurare l'autenticazione FIDO con tutti i dispositivi che utilizzano per accedere a Yahoo! GIAPPONE.
Per promuovere l'autenticazione senza password e tenere conto degli utenti che stanno passando dalle password, offriamo vari metodi di autenticazione. Ciò significa che utenti diversi possono avere impostazioni del metodo di autenticazione diverse e che i metodi di autenticazione che possono utilizzare possono variare da browser a browser. Riteniamo che sia migliore se gli utenti accedono ogni volta con lo stesso metodo di autenticazione.
Per soddisfare questi requisiti, è necessario tenere traccia dei metodi di autenticazione precedenti e collegare queste informazioni al client memorizzandole sotto forma di cookie e così via. Possiamo quindi analizzare come vengono utilizzati i diversi browser e applicazioni per l'autenticazione. All'utente viene chiesto di fornire l'autenticazione appropriata in base alle impostazioni dell'utente, ai metodi di autenticazione utilizzati in precedenza e al livello minimo di autenticazione richiesto.
2. Disattivazione password
Migrazione dei sitelink di Yahoo! JAPAN chiede agli utenti di impostare un metodo di autenticazione alternativo e di disattivare la password in modo che non possa essere utilizzata. Oltre a configurare l'autenticazione alternativa, disabilitare l'autenticazione tramite password (rendendo quindi impossibile l'accesso con una sola password) aiuta a proteggere gli utenti dagli attacchi basati su elenchi.
Abbiamo adottato le seguenti misure per incoraggiare gli utenti a disattivare le loro password.
- Promozione di metodi di autenticazione alternativi quando gli utenti reimpostano le loro password.
- Incoraggiare gli utenti a configurare metodi di autenticazione facili da usare (come FIDO) e disabilitare le password per situazioni che richiedono un'autenticazione frequente.
- Incoraggiare gli utenti a disabilitare le password prima di utilizzare servizi ad alto rischio, come i pagamenti e-commerce.
Se un utente dimentica la password, può eseguire un recupero dell'account. In precedenza, questa operazione comportava una reimpostazione della password. Ora gli utenti possono scegliere di impostare un metodo di autenticazione diverso e noi li invitiamo a farlo.
3. Registrazione account senza password
I nuovi utenti possono creare account Yahoo! senza password JAPAN. Gli utenti devono prima registrarsi con un'autenticazione SMS. Una volta effettuato l'accesso, invitiamo l'utente a configurare l'autenticazione FIDO.
Poiché FIDO è un'impostazione a livello di dispositivo, può essere difficile recuperare un account se il dispositivo diventa inutilizzabile. Gli utenti devono quindi mantenere registrato il proprio numero di telefono, anche dopo aver configurato un'autenticazione aggiuntiva.
Verifiche delle chiavi per l'autenticazione senza password
Le password si basano sulla memoria umana e sono indipendenti dal dispositivo. D'altra parte, i metodi di autenticazione introdotti finora nella nostra iniziativa senza password dipendono dal dispositivo. Questo comporta diverse sfide.
Quando vengono utilizzati più dispositivi, si verificano alcuni problemi di usabilità:
- Quando utilizzano l'autenticazione SMS per accedere da PC, gli utenti devono controllare se sul cellulare sono presenti SMS in arrivo. Questo può essere spiacevole, in quanto richiede che il telefono dell'utente sia disponibile e facilmente accessibile in qualsiasi momento.
- Con FIDO, in particolare con gli autenticatori di piattaforma, un utente con più dispositivi non sarà in grado di eseguire l'autenticazione sui dispositivi non registrati. La registrazione deve essere completata per ogni dispositivo che l'utente intende utilizzare.
L'autenticazione FIDO è legata a dispositivi specifici, per cui devono rimanere in possesso e attivi dell'utente.
- Se il contratto di servizio viene annullato, non sarà più possibile inviare messaggi SMS al numero di telefono registrato.
- FIDO archivia le chiavi private su un dispositivo specifico. Se il dispositivo viene smarrito, quelle chiavi sono inutilizzabili.
Migrazione dei sitelink di Yahoo! JAPAN sta adottando varie misure per risolvere questi problemi.
La soluzione più importante consiste nell'incoraggiare gli utenti a configurare più metodi di autenticazione. In questo modo puoi accedere in modo alternativo all'account in caso di smarrimento dei dispositivi. Poiché le chiavi FIDO dipendono dal dispositivo, è buona norma registrare anche le chiavi private FIDO su più dispositivi.
In alternativa, gli utenti possono utilizzare l'API WebOTP per passare i codici di verifica SMS da uno smartphone Android a Chrome su PC.
Riteniamo che la risoluzione di questi problemi diventerà ancora più importante con la diffusione dell'autenticazione senza password.
Promozione dell'autenticazione senza password
Migrazione dei sitelink di Yahoo! JAPAN sta lavorando a queste iniziative senza password dal 2015. Tutto è iniziato con l'acquisizione della certificazione dei server FIDO nel maggio 2015, seguita dall'introduzione dell'autenticazione SMS, di una funzione di disattivazione della password e del supporto FIDO per ciascun dispositivo.
Oggi, oltre 30 milioni di utenti attivi ogni mese hanno già disattivato le password e utilizzano metodi di autenticazione diversi dalle password. Migrazione dei sitelink di Yahoo! JAPAN Il supporto per FIDO è iniziato con Chrome su Android e ora più di 10 milioni di utenti hanno configurato l'autenticazione FIDO.
In seguito alle modifiche apportate da Yahoo! Japan, la percentuale di richieste relative a password o ID di accesso dimenticati è diminuita del 25% rispetto al periodo in cui il numero di richieste era al massimo. Inoltre, siamo riusciti a confermare che gli accessi non autorizzati sono diminuiti a seguito dell'aumento del numero di account senza password.
Poiché FIDO è così facile da configurare, ha un tasso di conversione particolarmente elevato. Infatti, Yahoo! JAPAN ha rilevato che FIDO ha un CVR più elevato rispetto all'autenticazione SMS.
Il 25 %
Diminuzione delle richieste di credenziali dimenticate
Il 74 %
Gli utenti riescono a eseguire l'autenticazione FIDO
Il 65 %
Supera la verifica tramite SMS
FIDO ha una percentuale di successo superiore rispetto all'autenticazione SMS e tempi di autenticazione medi e mediani più rapidi. Per quanto riguarda le password, alcuni gruppi hanno tempi di autenticazione brevi e sospettiamo che questo sia dovuto all'errore autocomplete="current-password"
del browser.
La maggiore difficoltà per offrire account senza password non è l'aggiunta di metodi di autenticazione, ma la promozione dell'uso degli strumenti di autenticazione. Se l'esperienza di utilizzo di un servizio senza password non è facile da usare, la transizione non sarà facile.
Crediamo che per migliorare la sicurezza dobbiamo prima migliorare l'usabilità, il che richiederà innovazioni uniche per ciascun servizio.
Conclusione
L'autenticazione tramite password è rischiosa in termini di sicurezza e anche in termini di usabilità. Ora che le tecnologie che supportano l'autenticazione senza password, come l'API WebOTP e il FIDO, sono maggiormente disponibili, è il momento di passare all'autenticazione senza password.
Nel sito di Yahoo! JAPAN, questo approccio ha avuto un effetto definitivo sull'usabilità e sulla sicurezza. Tuttavia, poiché molti utenti utilizzano ancora le password, continueremo a incoraggiare altri utenti a passare a metodi di autenticazione senza password. Continueremo inoltre a migliorare i nostri prodotti per ottimizzare l'esperienza utente per i metodi di autenticazione senza password.
Foto di olieman.eth su Unsplash