در مورد چگونگی Yahoo! ژاپن یک سیستم هویت بدون رمز عبور ساخت.
یاهو JAPAN یکی از بزرگترین شرکت های رسانه ای در ژاپن است که خدماتی مانند جستجو، اخبار، تجارت الکترونیک و ایمیل ارائه می دهد. بیش از 50 میلیون کاربر به یاهو وارد می شوند! خدمات ژاپن هر ماه
در طول سالها، حملات زیادی به حسابهای کاربری و مسائلی صورت گرفت که منجر به از دست رفتن دسترسی به حسابها شد. بیشتر این مسائل مربوط به استفاده از رمز عبور برای احراز هویت بود.
با پیشرفت های اخیر در فناوری احراز هویت، Yahoo! ژاپن تصمیم گرفته است از احراز هویت مبتنی بر رمز عبور به احراز هویت بدون رمز عبور حرکت کند.
چرا بدون پسورد؟
به عنوان Yahoo! JAPAN تجارت الکترونیک و سایر خدمات مرتبط با پول را ارائه می دهد، در صورت دسترسی غیرمجاز یا از دست دادن حساب، خطر آسیب قابل توجهی برای کاربران وجود دارد.
رایج ترین حملات مربوط به رمزهای عبور، حملات لیست رمز عبور و کلاهبرداری های فیشینگ بود. یکی از دلایل رایج و مؤثر بودن حملات لیست رمز عبور، عادت بسیاری از افراد به استفاده از رمز عبور یکسان برای چندین برنامه و وب سایت است.
ارقام زیر نتایج نظرسنجی انجام شده توسط Yahoo! ژاپن.
50 درصد
از همان شناسه و رمز عبور در شش یا چند سایت استفاده کنید
60 درصد
از رمز عبور یکسان در چندین سایت استفاده کنید
70 درصد
از رمز عبور به عنوان راه اصلی برای ورود استفاده کنید
کاربران اغلب رمزهای عبور خود را فراموش می کنند، که اکثر سوالات مربوط به رمز عبور را تشکیل می دهد. همچنین درخواست هایی از کاربرانی که شناسه ورود به سیستم خود را علاوه بر رمز عبور خود فراموش کرده بودند نیز وجود داشت. در اوج خود، این پرس و جوها بیش از یک سوم کل پرس و جوهای مربوط به حساب را تشکیل می دادند.
با رفتن بدون رمز عبور، Yahoo! هدف ژاپن بهبود نه تنها امنیت، بلکه قابلیت استفاده، بدون تحمیل بار اضافی بر دوش کاربران بود.
از منظر امنیتی، حذف گذرواژهها از فرآیند احراز هویت کاربر آسیبهای ناشی از حملات مبتنی بر فهرست را کاهش میدهد و از منظر قابلیت استفاده، ارائه یک روش احراز هویت که متکی به به خاطر سپردن گذرواژهها نیست، از موقعیتهایی جلوگیری میکند که کاربر به دلیل فراموشی قادر به ورود به سیستم نیست. رمز عبور آنها
یاهو ابتکارات بدون رمز عبور ژاپن
یاهو ژاپن در حال انجام تعدادی گام برای ترویج احراز هویت بدون رمز عبور است که به طور کلی می توان آنها را به سه دسته تقسیم کرد:
- یک ابزار جایگزین برای احراز هویت برای رمزهای عبور ارائه دهید.
- غیرفعال کردن رمز عبور
- ثبت حساب بدون رمز عبور
دو ابتکار اول کاربران فعلی را هدف قرار داده اند، در حالی که ثبت نام بدون رمز عبور کاربران جدید را هدف قرار داده است.
1. ارائه ابزار جایگزین برای احراز هویت برای رمزهای عبور
یاهو ژاپن جایگزین های زیر را برای رمزهای عبور ارائه می دهد.
علاوه بر این، روشهای احراز هویت مانند احراز هویت ایمیل، رمز عبور همراه با SMS OTP (گذرواژه یکبار مصرف)، و رمز عبور همراه با OTP ایمیل را نیز ارائه میدهیم.
احراز هویت پیامکی
احراز هویت پیامکی سیستمی است که به کاربر ثبت نام شده اجازه می دهد تا کد احراز هویت شش رقمی را از طریق پیامک دریافت کند. هنگامی که کاربر پیامک را دریافت کرد، می تواند کد احراز هویت را در برنامه یا وب سایت وارد کند.
اپل مدتهاست که به iOS اجازه میدهد پیامهای SMS را بخواند و کدهای احراز هویت را از متن متن پیشنهاد کند. اخیراً، استفاده از پیشنهادات با تعیین "یک بار-کد" در ویژگی autocomplete
عنصر ورودی امکان پذیر شده است. Chrome در Android، Windows و Mac میتواند همین تجربه را با استفاده از WebOTP API ارائه دهد.
مثلا:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
هر دو رویکرد برای جلوگیری از فیشینگ با گنجاندن دامنه در متن پیامک و ارائه پیشنهادات فقط برای دامنه مشخص شده طراحی شدهاند.
برای اطلاعات بیشتر در مورد WebOTP API و autocomplete="one-time-code"
، بهترین روشهای فرم OTP SMS را بررسی کنید.
FIDO با WebAuthn
FIDO با WebAuthn از یک تصدیقکننده سختافزار برای تولید یک جفت رمز کلید عمومی و اثبات مالکیت استفاده میکند. هنگامی که از تلفن هوشمند به عنوان احراز هویت استفاده می شود، می توان آن را با احراز هویت بیومتریک (مانند حسگرهای اثر انگشت یا تشخیص چهره) ترکیب کرد تا احراز هویت دو مرحله ای یک مرحله ای را انجام دهد. در این حالت فقط امضا و نشانه موفقیت از احراز هویت بیومتریک به سرور ارسال می شود، بنابراین خطر سرقت اطلاعات بیومتریک وجود ندارد.
نمودار زیر پیکربندی سرور-کلاینت را برای FIDO نشان می دهد. احراز هویت مشتری کاربر را با بیومتریک احراز هویت می کند و نتیجه را با استفاده از رمزنگاری کلید عمومی امضا می کند. کلید خصوصی مورد استفاده برای ایجاد امضا به طور ایمن در یک TEE (محیط اجرای مورد اعتماد) یا مکان مشابه ذخیره می شود. ارائه دهنده خدماتی که از FIDO استفاده می کند RP (حزب متکی) نامیده می شود.
برای اطلاعات بیشتر، دستورالعملهای احراز هویت را از اتحاد FIDO بخوانید.
یاهو ژاپن از FIDO در اندروید (برنامه موبایل و وب)، iOS (برنامه موبایل و وب)، ویندوز (Edge، Chrome، Firefox) و macOS (Safari، Chrome) پشتیبانی می کند. بهعنوان یک سرویس مصرفکننده، FIDO را میتوان تقریباً در هر دستگاهی مورد استفاده قرار داد، که آن را به گزینه خوبی برای ترویج احراز هویت بدون رمز عبور تبدیل میکند.
یاهو ژاپن توصیه می کند که کاربران برای FIDO با WebAuthn ثبت نام کنند، اگر قبلاً از طریق روش های دیگر احراز هویت نشده اند. زمانی که کاربر نیاز به ورود با همان دستگاه دارد، میتواند به سرعت با استفاده از حسگر بیومتریک احراز هویت کند.
کاربران باید احراز هویت FIDO را با تمام دستگاه هایی که برای ورود به یاهو استفاده می کنند تنظیم کنند! ژاپن.
برای ترویج احراز هویت بدون رمز عبور و توجه به کاربرانی که از پسوردها دور میشوند، ابزارهای متعددی برای احراز هویت ارائه میکنیم. این بدان معناست که کاربران مختلف میتوانند تنظیمات روش احراز هویت متفاوتی داشته باشند و روشهای احراز هویتی که میتوانند استفاده کنند ممکن است از مرورگر به مرورگر متفاوت باشد. ما معتقدیم اگر کاربران هر بار با استفاده از روش احراز هویت یکسان وارد شوند، تجربه بهتری خواهد بود.
برای برآورده کردن این الزامات، لازم است روشهای احراز هویت قبلی را ردیابی کنید و این اطلاعات را با ذخیره آنها در قالب کوکیها و غیره به مشتری پیوند دهید. سپس میتوانیم نحوه استفاده از مرورگرها و برنامههای مختلف برای احراز هویت را تجزیه و تحلیل کنیم. از کاربر خواسته می شود تا احراز هویت مناسب را بر اساس تنظیمات کاربر، روش های احراز هویت قبلی استفاده شده و حداقل سطح احراز هویت مورد نیاز ارائه دهد.
2. غیرفعال کردن رمز عبور
یاهو JAPAN از کاربران می خواهد که یک روش احراز هویت جایگزین تنظیم کنند و سپس رمز عبور خود را غیرفعال کنند تا قابل استفاده نباشد. علاوه بر راهاندازی احراز هویت جایگزین، غیرفعال کردن تأیید اعتبار رمز عبور (بنابراین ورود فقط با رمز عبور را غیرممکن میکند) به محافظت از کاربران در برابر حملات مبتنی بر فهرست کمک میکند.
ما مراحل زیر را برای تشویق کاربران به غیرفعال کردن رمزهای عبور خود انجام داده ایم.
- ترویج روشهای احراز هویت جایگزین زمانی که کاربران رمز عبور خود را بازنشانی میکنند.
- تشویق کاربران به راهاندازی روشهای احراز هویت با استفاده آسان (مانند FIDO) و غیرفعال کردن رمزهای عبور برای موقعیتهایی که نیاز به احراز هویت مکرر دارند.
- ترغیب کاربران برای غیرفعال کردن رمزهای عبور خود قبل از استفاده از خدمات پرخطر، مانند پرداخت های تجارت الکترونیک.
اگر کاربر رمز عبور خود را فراموش کند، می تواند بازیابی حساب را اجرا کند. قبلاً این شامل بازنشانی رمز عبور بود. اکنون، کاربران میتوانند روش دیگری برای احراز هویت راهاندازی کنند و ما آنها را تشویق میکنیم که این کار را انجام دهند.
3. ثبت نام بدون رمز عبور
کاربران جدید می توانند Yahoo بدون رمز عبور ایجاد کنند! حساب های ژاپن کاربران ابتدا باید با احراز هویت پیامکی ثبت نام کنند. هنگامی که آنها وارد سیستم شدند، ما کاربر را تشویق می کنیم تا احراز هویت FIDO را تنظیم کند.
از آنجایی که FIDO یک تنظیم برای هر دستگاه است، در صورت غیرفعال شدن دستگاه، بازیابی یک حساب ممکن است دشوار باشد. بنابراین، ما از کاربران میخواهیم حتی پس از تنظیم احراز هویت اضافی، شماره تلفن خود را ثبت نگه دارند.
چالش های کلیدی برای احراز هویت بدون رمز عبور
رمزهای عبور متکی به حافظه انسان هستند و مستقل از دستگاه هستند. از سوی دیگر، روشهای احراز هویت که تاکنون در طرح بدون رمز عبور ما معرفی شدهاند، وابسته به دستگاه هستند. این چند چالش را به همراه دارد.
هنگامی که چندین دستگاه استفاده می شود، برخی از مسائل مربوط به قابلیت استفاده وجود دارد:
- هنگام استفاده از احراز هویت SMS برای ورود از رایانه شخصی، کاربران باید تلفن همراه خود را برای پیامک های دریافتی بررسی کنند. این ممکن است ناخوشایند باشد، زیرا لازم است تلفن کاربر در هر زمان در دسترس و آسان باشد.
- با FIDO، به ویژه با احراز هویت پلت فرم، کاربر با چندین دستگاه قادر به احراز هویت در دستگاه های ثبت نشده نخواهد بود. برای هر دستگاهی که قصد استفاده از آن را دارند باید ثبت نام انجام شود.
احراز هویت FIDO به دستگاه های خاصی گره خورده است، که مستلزم آن است که آنها در اختیار کاربر باقی بمانند و فعال باشند.
- در صورت لغو قرارداد خدمات، دیگر امکان ارسال پیامک به شماره تلفن ثبت شده وجود نخواهد داشت.
- FIDO کلیدهای خصوصی را در یک دستگاه خاص ذخیره می کند. اگر دستگاه گم شود، آن کلیدها غیرقابل استفاده هستند.
یاهو ژاپن اقدامات مختلفی را برای رفع این مشکلات انجام می دهد.
مهم ترین راه حل، تشویق کاربران به راه اندازی چندین روش احراز هویت است. این امکان دسترسی به حساب جایگزین را در صورت گم شدن دستگاه ها فراهم می کند. از آنجایی که کلیدهای FIDO وابسته به دستگاه هستند، ثبت کلیدهای خصوصی FIDO در چندین دستگاه نیز تمرین خوبی است.
همچنین، کاربران میتوانند از WebOTP API برای ارسال کدهای تأیید پیامک از تلفن Android به Chrome در رایانه شخصی استفاده کنند.
ما معتقدیم که با گسترش احراز هویت بدون رمز عبور، پرداختن به این مسائل اهمیت بیشتری پیدا خواهد کرد.
ترویج احراز هویت بدون رمز عبور
یاهو ژاپن از سال 2015 روی این ابتکارات بدون رمز عبور کار می کند. این کار با کسب گواهینامه سرور FIDO در می 2015 آغاز شد و به دنبال آن احراز هویت پیامکی، ویژگی غیرفعال کردن رمز عبور و پشتیبانی FIDO برای هر دستگاه ارائه شد.
امروزه بیش از 30 میلیون کاربر فعال ماهانه رمز عبور خود را غیرفعال کرده اند و از روش های احراز هویت بدون رمز عبور استفاده می کنند. یاهو پشتیبانی ژاپن از FIDO با Chrome در اندروید آغاز شد و اکنون بیش از 10 میلیون کاربر احراز هویت FIDO را راه اندازی کرده اند.
در نتیجه یاهو! با ابتکارات ژاپن، درصد درخواستهای مربوط به شناسههای ورود یا گذرواژههای فراموش شده در مقایسه با دوره زمانی که تعداد این درخواستها در بالاترین حد خود بود، 25 درصد کاهش یافته است، و همچنین توانستیم تأیید کنیم که دسترسی غیرمجاز در نتیجه کاهش یافته است. افزایش تعداد حساب های بدون رمز عبور
از آنجایی که تنظیم FIDO بسیار آسان است، نرخ تبدیل بالایی دارد. در واقع یاهو! ژاپن دریافته است که FIDO دارای CVR بالاتری نسبت به احراز هویت پیامکی است.
25 درصد
کاهش درخواست برای اعتبارنامه های فراموش شده
74 درصد
کاربران با احراز هویت FIDO موفق می شوند
65 درصد
با تأیید پیامک موفق شوید
FIDO دارای نرخ موفقیت بالاتری نسبت به احراز هویت پیامکی است و میانگین و متوسط زمان احراز هویت سریعتر است. در مورد گذرواژهها، برخی از گروهها زمان احراز هویت کوتاهی دارند و ما گمان میکنیم که این به دلیل autocomplete="current-password"
مرورگر باشد.
بزرگترین مشکل برای ارائه حسابهای بدون رمز عبور اضافه کردن روشهای احراز هویت نیست، بلکه رایج کردن استفاده از احراز هویت است . اگر تجربه استفاده از سرویس بدون رمز کاربر پسند نباشد، انتقال آسان نخواهد بود.
ما معتقدیم که برای دستیابی به امنیت بهتر، ابتدا باید قابلیت استفاده را بهبود ببخشیم، که نیازمند نوآوری های منحصر به فردی برای هر سرویس است.
نتیجه
احراز هویت رمز عبور از نظر امنیتی مخاطره آمیز است و از نظر قابلیت استفاده نیز چالش هایی را ایجاد می کند. اکنون که فناوریهایی که از احراز هویت بدون رمز عبور پشتیبانی میکنند، مانند WebOTP API و FIDO، بهطور گستردهتر در دسترس هستند، زمان آن رسیده است که به سمت احراز هویت بدون رمز عبور کار کنیم.
در یاهو ژاپن، اتخاذ این رویکرد تاثیر قطعی بر قابلیت استفاده و امنیت داشته است. با این حال، بسیاری از کاربران هنوز از رمز عبور استفاده می کنند، بنابراین ما همچنان کاربران بیشتری را تشویق می کنیم تا به روش های احراز هویت بدون رمز عبور روی آورند. ما همچنین به بهبود محصولات خود برای بهینه سازی تجربه کاربری برای روش های احراز هویت بدون رمز عبور ادامه خواهیم داد.
عکس از olieman.eth در Unsplash