Informationen dazu, wie Yahoo! Japan hat ein passwortloses Identitätssystem entwickelt.
Yahoo! JAPAN ist eines der größten Medienunternehmen in Japan und bietet Dienste wie Suchmaschinen, Nachrichten, E-Commerce und E-Mail an. Mehr als 50 Millionen Nutzer melden sich bei Yahoo! an. JAPAN-Dienste jeden Monat.
Im Laufe der Jahre gab es viele Angriffe auf Nutzerkonten und Probleme, die zum Verlust des Kontozugriffs führten. Die meisten dieser Probleme betrafen die Verwendung von Passwörtern für die Authentifizierung.
Aufgrund der jüngsten Fortschritte bei der Authentifizierungstechnologie hat Yahoo! JAPAN hat sich entschieden, von der passwortbasierten Authentifizierung zur passwortlosen Authentifizierung überzugehen.
Warum ohne Passwort?
Wie Yahoo! JAPAN bietet E-Commerce- und andere geldbezogene Dienste an. Bei einem unbefugten Zugriff oder Verlust des Kontos besteht das Risiko erheblicher Schäden für die Nutzer.
Die häufigsten Angriffe im Zusammenhang mit Passwörtern waren Passwortlistenangriffe und Phishing-Betrüge. Einer der Gründe, warum Passwortlistenangriffe häufig und effektiv sind, ist die Gewohnheit vieler Menschen, dasselbe Passwort für mehrere Anwendungen und Websites zu verwenden.
Die folgenden Zahlen sind die Ergebnisse einer Umfrage von Yahoo! JAPAN.
50 %
dieselbe ID und dasselbe Passwort für sechs oder mehr Websites verwenden
60 %
Dasselbe Passwort für mehrere Websites verwenden
70 %
ein Passwort als primäre Anmeldemethode verwenden
Nutzer vergessen häufig ihre Passwörter. Das war der Grund für die meisten Anfragen zu Passwörtern. Es gab auch Anfragen von Nutzern, die nicht nur ihre Passwörter, sondern auch ihre Anmelde-IDs vergessen hatten. In der Spitze machten diese Anfragen mehr als ein Drittel aller kontobezogenen Anfragen aus.
Durch die Abschaffung von Passwörtern möchte Yahoo! Mit JAPAN sollte nicht nur die Sicherheit, sondern auch die Nutzerfreundlichkeit verbessert werden, ohne die Nutzer zusätzlich zu belasten.
Aus Sicherheitsperspektive reduziert die Entfernung von Passwörtern aus dem Nutzerauthentifizierungsprozess den Schaden durch listenbasierte Angriffe. Aus Usability-Sicht verhindert eine Authentifizierungsmethode, die nicht auf das Erinnern an Passwörter angewiesen ist, Situationen, in denen sich ein Nutzer nicht anmelden kann, weil er sein Passwort vergessen hat.
Yahoo! Passwortlose Initiativen von JAPAN
Yahoo! JAPAN ergreift eine Reihe von Maßnahmen zur Förderung der passwortlosen Authentifizierung, die sich grob in drei Kategorien unterteilen lassen:
- Bieten Sie eine alternative Authentifizierungsmethode zu Passwörtern an.
- Deaktivierung des Passworts
- Kontoregistrierung ohne Passwort
Die ersten beiden Initiativen richten sich an bestehende Nutzer, während die Registrierung ohne Passwort auf neue Nutzer ausgerichtet ist.
1. Alternative Authentifizierungsmethoden zu Passwörtern bereitstellen
Yahoo! JAPAN bietet die folgenden Alternativen zu Passwörtern.
Außerdem bieten wir Authentifizierungsmethoden wie die E-Mail-Authentifizierung, das Passwort in Kombination mit einem SMS-OTP (Einmalpasswort) und das Passwort in Kombination mit einem E-Mail-OTP an.
SMS-Authentifizierung
Bei der SMS-Authentifizierung kann ein registrierter Nutzer einen sechsstelligen Authentifizierungscode per SMS erhalten. Sobald der Nutzer die SMS erhalten hat, kann er den Authentifizierungscode in der App oder auf der Website eingeben.
Apple erlaubt seit langem, dass iOS SMS-Nachrichten liest und Authentifizierungscodes aus dem Textkörper vorschlägt. Vor Kurzem wurde es möglich, Vorschläge zu verwenden, indem im autocomplete-Attribut des Eingabeelements „one-time-code“ angegeben wird. Chrome für Android, Windows und Mac bietet mit der WebOTP API dieselben Funktionen.
Beispiel:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Beide Ansätze sollen Phishing verhindern, indem die Domain in den SMS-Text eingefügt und Vorschläge nur für die angegebene Domain angezeigt werden.
Weitere Informationen zur WebOTP API und zu autocomplete="one-time-code" findest du in den Best Practices für SMS-OTP-Formulare.
FIDO mit WebAuthn
Bei FIDO mit WebAuthn wird ein Hardware-Authentifikator verwendet, um ein Public-Key-Verschlüsselungspaar zu generieren und den Besitz zu bestätigen. Wenn ein Smartphone als Authenticator verwendet wird, kann es mit der biometrischen Authentifizierung (z. B. Fingerabdrucksensoren oder Gesichtserkennung) kombiniert werden, um eine 2-Faktor-Authentifizierung in nur einem Schritt durchzuführen. In diesem Fall werden nur die Signatur und die Erfolgsmeldung der biometrischen Authentifizierung an den Server gesendet. Es besteht also kein Risiko für den Diebstahl biometrischer Daten.
Das folgende Diagramm zeigt die Server-Client-Konfiguration für FIDO. Der Client-Authentifikator authentifiziert den Nutzer mithilfe von Biometrie und signiert das Ergebnis mithilfe der Public-Key-Kryptografie. Der zum Erstellen der Signatur verwendete private Schlüssel wird sicher in einer TEE (Trusted Execution Environment) oder an einem ähnlichen Ort gespeichert. Ein Dienstanbieter, der FIDO verwendet, wird als RP (Relying Party) bezeichnet.
Sobald der Nutzer die Authentifizierung durchführt (in der Regel mit einem biometrischen Scan oder einer PIN), sendet der Authenticator mit einem privaten Schlüssel ein signiertes Bestätigungssignal an den Browser. Der Browser gibt dieses Signal dann an die Website des RP weiter.
Die Website des RP sendet dann das signierte Bestätigungssignal an den Server des RP, der die Signatur anhand des öffentlichen Schlüssels überprüft, um die Authentifizierung abzuschließen.
Weitere Informationen finden Sie in den Authentifizierungsrichtlinien der FIDO Alliance.
Yahoo! JAPAN unterstützt FIDO auf Android-Geräten (mobile App und Web), iOS-Geräten (mobile App und Web), Windows-Geräten (Edge, Chrome, Firefox) und macOS-Geräten (Safari, Chrome). Als Verbraucherdienst kann FIDO auf fast allen Geräten verwendet werden. Dies ist eine gute Option, um die Authentifizierung ohne Passwort zu fördern.
Yahoo! JAPAN empfiehlt Nutzern, sich mit WebAuthn für FIDO zu registrieren, sofern sie sich nicht bereits auf andere Weise authentifiziert haben. Wenn sich ein Nutzer mit demselben Gerät anmelden muss, kann er sich schnell mit einem biometrischen Sensor authentifizieren.
Nutzer müssen die FIDO-Authentifizierung auf allen Geräten einrichten, mit denen sie sich bei Yahoo! anmelden. JAPAN.
Wir möchten die passwortlose Authentifizierung fördern und Nutzern, die von Passwörtern wegsteuern, entgegenkommen. Deshalb bieten wir mehrere Authentifizierungsmethoden an. Das bedeutet, dass verschiedene Nutzer unterschiedliche Einstellungen für die Authentifizierungsmethode haben können und die Authentifizierungsmethoden, die sie verwenden können, sich von Browser zu Browser unterscheiden können. Wir sind der Meinung, dass es für Nutzer besser ist, sich jedes Mal mit derselben Authentifizierungsmethode anzumelden.
Um diese Anforderungen zu erfüllen, müssen vorherige Authentifizierungsmethoden erfasst und diese Informationen mit dem Client verknüpft werden, indem sie beispielsweise in Form von Cookies gespeichert werden. So können wir analysieren, wie verschiedene Browser und Anwendungen für die Authentifizierung verwendet werden. Der Nutzer wird aufgefordert, eine geeignete Authentifizierung vorzunehmen, die auf seinen Einstellungen, den zuvor verwendeten Authentifizierungsmethoden und der erforderlichen Mindestauthentifizierungsstufe basiert.
2. Passwortdeaktivierung
Yahoo! JAPAN bittet Nutzer, eine alternative Authentifizierungsmethode einzurichten und dann ihr Passwort zu deaktivieren, damit es nicht mehr verwendet werden kann. Neben der Einrichtung einer alternativen Authentifizierung können Sie die Passwortauthentifizierung deaktivieren, um Nutzer vor listenbasierten Angriffen zu schützen.
Wir haben die folgenden Schritte unternommen, um Nutzer dazu anzuregen, ihre Passwörter zu deaktivieren.
- Sie sollten alternative Authentifizierungsmethoden empfehlen, wenn Nutzer ihre Passwörter zurücksetzen.
- Nutzer dazu anregen, nutzerfreundliche Authentifizierungsmethoden wie FIDO einzurichten und Passwörter für Situationen zu deaktivieren, in denen eine häufige Authentifizierung erforderlich ist.
- Nutzer werden aufgefordert, ihre Passwörter zu deaktivieren, bevor sie Dienste mit hohem Risiko nutzen, z. B. E-Commerce-Zahlungen.
Wenn ein Nutzer sein Passwort vergisst, kann er eine Kontowiederherstellung durchführen. Bisher war dafür ein Passwort zurücksetzen erforderlich. Nutzer können jetzt eine andere Authentifizierungsmethode einrichten. Wir empfehlen ihnen, dies zu tun.
3. Passwortlose Kontoregistrierung
Neue Nutzer können ein passwortfreies Yahoo! JAPAN-Konten. Nutzer müssen sich zuerst mit einer SMS-Authentifizierung registrieren. Nach der Anmeldung empfehlen wir dem Nutzer, die FIDO-Authentifizierung einzurichten.
Da FIDO eine gerätespezifische Einstellung ist, kann es schwierig sein, ein Konto wiederherzustellen, falls das Gerät nicht mehr funktioniert. Daher müssen Nutzer ihre Telefonnummer auch dann registriert lassen, wenn sie eine zusätzliche Authentifizierung eingerichtet haben.
Wichtige Herausforderungen bei der passwortlosen Authentifizierung
Passwörter basieren auf dem menschlichen Gedächtnis und sind geräteunabhängig. Die bisher in unserer Initiative zur passwortlosen Authentifizierung eingeführten Authentifizierungsmethoden sind hingegen geräteabhängig. Das stellt mehrere Herausforderungen.
Bei der Verwendung mehrerer Geräte gibt es einige Probleme mit der Nutzerfreundlichkeit:
- Wenn Nutzer sich über einen PC mit der SMS-Authentifizierung anmelden, müssen sie auf ihrem Smartphone nach eingehenden SMS-Nachrichten suchen. Das kann ärgerlich sein, da das Smartphone des Nutzers jederzeit verfügbar und leicht zugänglich sein muss.
- Bei FIDO, insbesondere bei Plattform-Authentifikatoren, kann sich ein Nutzer mit mehreren Geräten nicht auf nicht registrierten Geräten authentifizieren. Die Registrierung muss für jedes Gerät erfolgen, das verwendet werden soll.
Die FIDO-Authentifizierung ist an bestimmte Geräte gebunden, die sich im Besitz des Nutzers befinden und aktiv sein müssen.
- Wenn der Dienstleistungsvertrag gekündigt wird, können keine SMS mehr an die registrierte Telefonnummer gesendet werden.
- Bei FIDO werden private Schlüssel auf einem bestimmten Gerät gespeichert. Wenn das Gerät verloren geht, sind diese Schlüssel unbrauchbar.
Yahoo! JAPAN ergreift verschiedene Maßnahmen, um diese Probleme zu beheben.
Die wichtigste Lösung besteht darin, Nutzer dazu anzuregen, mehrere Authentifizierungsmethoden einzurichten. So erhalten Sie bei Verlust eines Geräts Zugriff auf ein alternatives Konto. Da FIDO-Schlüssel geräteabhängig sind, empfiehlt es sich auch, FIDO-Private-Schlüssel auf mehreren Geräten zu registrieren.
Alternativ können Nutzer die WebOTP API verwenden, um SMS-Bestätigungscodes von einem Android-Smartphone an Chrome auf einem PC weiterzuleiten.
Wir sind der Meinung, dass die Lösung dieser Probleme noch wichtiger wird, wenn die Authentifizierung ohne Kennwort immer weiter verbreitet wird.
Werbung für die passwortlose Authentifizierung
Yahoo! JAPAN arbeitet seit 2015 an diesen Initiativen ohne Passwort. Das begann mit der FIDO-Serverzertifizierung im Mai 2015, gefolgt von der Einführung der SMS-Authentifizierung, einer Funktion zur Deaktivierung von Passwörtern und der FIDO-Unterstützung für jedes Gerät.
Mehr als 30 Millionen monatlich aktive Nutzer haben bereits ihre Passwörter deaktiviert und verwenden Authentifizierungsmethoden ohne Passwort. Yahoo! Die Unterstützung von FIDO in Japan begann mit Chrome auf Android. Mittlerweile haben mehr als 10 Millionen Nutzer die FIDO-Authentifizierung eingerichtet.
Aufgrund der Einstellung von JAPAN hat der Anteil der Anfragen im Zusammenhang mit vergessenen Anmelde-IDs oder Passwörtern um 25% im Vergleich zum Zeitraum zurückgegangen, in dem die Anzahl dieser Anfragen am höchsten war. Außerdem konnten wir feststellen, dass der unbefugte Zugriff aufgrund der steigenden Anzahl sicherer Konten zurückgegangen ist.
Da FIDO so einfach einzurichten ist, hat es eine besonders hohe Conversion-Rate. Tatsächlich… JAPAN hat festgestellt, dass FIDO eine höhere CVR als die SMS-Authentifizierung hat.
25 %
Weniger Anfragen zu vergessenen Anmeldedaten
74 %
Nutzer können sich mit der FIDO-Authentifizierung anmelden
65 %
Erfolgreiche SMS-Bestätigung
FIDO hat eine höhere Erfolgsrate als die SMS-Authentifizierung und eine kürzere durchschnittliche und mittlere Authentifizierungszeit. Bei Passwörtern haben einige Gruppen kurze Authentifizierungszeiten. Wir vermuten, dass dies auf die autocomplete="current-password" des Browsers zurückzuführen ist.
Die größte Herausforderung beim Angebot passwortloser Konten besteht nicht darin, Authentifizierungsmethoden hinzuzufügen, sondern die Verwendung von Authentifizierungsgeräten zu fördern. Wenn die Nutzung eines passwortlosen Dienstes nicht nutzerfreundlich ist, ist die Umstellung nicht einfach.
Wir sind der Meinung, dass wir die Sicherheit nur dann verbessern können, wenn wir zuerst die Nutzerfreundlichkeit verbessern. Das erfordert einzigartige Innovationen für jeden Dienst.
Fazit
Die Passwortauthentifizierung ist aus Sicherheitsgründen riskant und stellt auch in Bezug auf die Nutzerfreundlichkeit eine Herausforderung dar. Da Technologien zur Authentifizierung ohne Passwort, wie die WebOTP API und FIDO, immer häufiger verfügbar sind, ist es an der Zeit, auf die passwortlose Authentifizierung umzustellen.
Bei Yahoo! JAPAN, dieser Ansatz hat sich sowohl auf die Nutzerfreundlichkeit als auch auf die Sicherheit ausgewirkt. Viele Nutzer verwenden jedoch immer noch Passwörter. Deshalb möchten wir auch weiterhin mehr Nutzer dazu bewegen, auf passwortlose Authentifizierungsmethoden umzustellen. Außerdem arbeiten wir kontinuierlich daran, unsere Produkte zu verbessern, um die Nutzerfreundlichkeit für passwortlose Authentifizierungsmethoden zu optimieren.
Foto von olieman.eth auf Unsplash