Erfahren Sie mehr darüber, wie Yahoo! Japan hat ein passwortloses Identitätssystem entwickelt.
Yahoo! JAPAN ist eines der größten Medienunternehmen Japans und bietet Google-Dienste wie Suche, Nachrichten, E-Commerce und E-Mail. Mehr als 50 Millionen Nutzer Yahoo!- JAPAN Dienste jeden Monat.
Im Laufe der Jahre gab es viele Angriffe auf Nutzerkonten und Probleme, die Kontozugriff verlieren. Die meisten Probleme bezogen sich auf die Verwendung von Passwörtern. zur Authentifizierung.
Aufgrund der jüngsten Fortschritte in der Authentifizierungstechnologie, Yahoo! JAPAN hat beschlossen, von der passwortbasierten zur passwortlosen Authentifizierung wechseln.
Warum ohne Passwort?
Da Yahoo! JAPAN E-Commerce und andere geldbezogene Dienstleistungen anbietet, gibt es eine Risiko erheblicher Schäden für Nutzer bei unbefugtem Zugriff oder Kontoverlust.
Die häufigsten Angriffe im Zusammenhang mit Passwörtern waren Angriffe auf Passwortlisten und Phishing-Betrug. Einer der Gründe für häufige Angriffe auf Passwortlisten effektiv ist, dass viele Menschen dasselbe Passwort für mehrere Anwendungen und Websites.
Die folgenden Zahlen sind die Ergebnisse einer von Yahoo! durchgeführten Umfrage. JAPAN
50 %
dieselbe ID und dasselbe Passwort auf sechs oder mehr Websites verwenden
60 %
Dasselbe Passwort auf mehreren Websites verwenden
70 %
ein Passwort als primäre Anmeldemöglichkeit verwenden
Nutzer vergessen ihre Passwörter oft, was den Großteil der passwortbezogenen Fragen. Es gab auch Anfragen von Nutzern, die nicht nur die Anmeldedaten, sondern auch die Log-in-IDs vergessen haben. Auf dem Höhepunkt machten mehr als ein Drittel aller kontobezogenen Anfragen aus.
Da Yahoo! JAPAN wollte nicht nur die Sicherheit verbessern, ohne zusätzliche Belastung für die Nutzenden.
Aus Sicherheitsgründen werden Passwörter nicht von den Nutzern weg verwendet. verringert den Schaden durch listenbasierte Angriffe und Usability-Perspektive und eine Authentifizierungsmethode, die nicht durch das Merken von Passwörtern verhindert, dass Nutzer sich nicht mehr anmelden können, weil sie ihr Passwort vergessen haben.
Yahoo! Initiativen ohne Passwort in JAPAN
Yahoo! JAPAN ergreift mehrere Maßnahmen zur Förderung passwortloser Inhalte. Authentifizierung, die grob in drei Kategorien unterteilt werden kann:
- Bieten Sie eine alternative Möglichkeit zur Authentifizierung von Passwörtern.
- Passwortdeaktivierung
- Passwortlose Kontoregistrierung.
Die ersten beiden Initiativen zielten auf bestehende Nutzer ab – ohne Passwörter. für neue Nutzer abzielt.
1. Alternative Authentifizierungsmethoden für Passwörter bereitstellen
Yahoo! JAPAN bietet folgende Alternativen zu Passwörtern an.
Darüber hinaus bieten wir auch Authentifizierungsmethoden wie E-Mail Authentifizierung, Passwort in Kombination mit SMS-OTP (Einmalpasswort) und Passwort und OTP aus der E-Mail-Adresse kombiniert.
SMS-Authentifizierung
Mit der SMS-Authentifizierung erhalten registrierte Nutzer einen sechsstelligen Authentifizierungscode per SMS. Sobald der Nutzer die SMS erhält, können sie den Authentifizierungscode in die App oder Website eingeben.
Apple erlaubt iOS schon lange, SMS zu lesen und eine Authentifizierung vorzuschlagen
aus dem Text. Seit Kurzem können Sie Vorschläge auch
unter Angabe von "Einmalcode" im Attribut autocomplete der Eingabe
-Elements. Chrome unter Android, Windows und Mac bietet alles,
mithilfe der WebOTP API.
Beispiel:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Beide Ansätze sollen Phishing verhindern, indem die Domain in SMS-Text und Vorschläge werden nur für die angegebene Domain angezeigt.
Weitere Informationen zur WebOTP API und autocomplete="one-time-code"
findest du in den Best Practices für OTP-Formulare für SMS.
FIDO mit WebAuthn
FIDO mit WebAuthn verwendet einen Hardware-Authenticator, um einen öffentlichen Schlüssel zu generieren Chiffrepaar und Nachweis des Besitzes. Wenn ein Smartphone als Authenticator kann er mit biometrischer Authentifizierung (z. B. Fingerabdrucksensoren oder Gesichtserkennung), um eine 2-Faktor-Authentifizierung Authentifizierung. In diesem Fall werden nur die Signatur und die Erfolgsmeldung aus der biometrischen Authentifizierung an den Server gesendet werden, zum Diebstahl biometrischer Daten.
Das folgende Diagramm zeigt die Server-Client-Konfiguration für FIDO. Die Der Client-Authenticator authentifiziert den Nutzer mit biometrischen Verfahren und signiert den mit Public-Key-Kryptografie. Der private Schlüssel, der zum Erstellen der Die Signatur wird sicher in einem TEE (Trusted Execution Environment) gespeichert. oder einen ähnlichen Ort. Ein Dienstanbieter, der FIDO verwendet, wird als RP bezeichnet. (die vertrauende Partei).
Sobald der Nutzer die Authentifizierung durchführt (meist mit einem biometrischen Scan oder einer PIN), sendet der Authenticator mit einem privaten Schlüssel ein signiertes Bestätigungssignal an den Browser. Der Browser gibt dieses Signal dann an die Website des RP weiter.
Die RP-Website sendet dann das signierte Bestätigungssignal an den Server des RP, der die Signatur anhand des öffentlichen Schlüssels prüft, um die Authentifizierung abzuschließen.
Weitere Informationen finden Sie unter Authentifizierungsrichtlinien der FIDO Alliance
Yahoo! JAPAN unterstützt FIDO für Android (mobile App und Web), iOS (mobile App) Web), Windows (Edge, Chrome, Firefox) und macOS (Safari, Chrome). Als kann FIDO auf fast jedem Gerät verwendet werden, Option zur Förderung der passwortlosen Authentifizierung.
<ph type="x-smartling-placeholder">
Yahoo! JAPAN empfiehlt Nutzern, sich mit WebAuthn für FIDO zu registrieren, noch nicht auf andere Weise authentifiziert wurden. Wenn sich ein Nutzer anmelden muss mit demselben Gerät können sie sich schnell mit einem biometrischen Sensor authentifizieren.
Nutzer müssen die FIDO-Authentifizierung mit allen Geräten einrichten, auf denen sie sich anmelden Yahoo! JAPAN
Um für die Authentifizierung ohne Passwort zu sorgen und Rücksicht auf Nutzende zu nehmen, die ohne Passwörter zu verwenden, bieten wir mehrere Möglichkeiten, Authentifizierung. Das bedeutet, dass unterschiedliche Nutzer Einstellungen für die Authentifizierungsmethoden und die Authentifizierungsmethoden, die sie verwenden können kann sich von Browser zu Browser unterscheiden. Wir sind der Meinung, dass es sinnvoller ist, -Nutzer melden sich jedes Mal mit der gleichen Authentifizierungsmethode an.
Um diese Anforderungen zu erfüllen, muss die vorherige Authentifizierung und verknüpfen diese Informationen mit dem Client, indem sie in Form von und Cookies. Wir können dann analysieren, wie sich verschiedene Browser und Anwendungen die zur Authentifizierung verwendet werden. Der Nutzer wird gebeten, basierend auf den Einstellungen des Nutzers, der vorherigen die verwendeten Methoden und die erforderliche Mindestauthentifizierungsstufe.
2. Passwortdeaktivierung
Yahoo! JAPAN bittet die Nutzer, eine alternative Authentifizierungsmethode einzurichten. deaktivieren Sie das Passwort, damit es nicht mehr verwendet werden kann. Zusätzlich zur Einstellung alternative Authentifizierung einrichten, wodurch die Passwortauthentifizierung deaktiviert wird. da die Anmeldung nur mit einem Passwort nicht möglich ist). So werden Nutzer besser vor Listen-basierten Angriffen.
Wir haben die folgenden Schritte unternommen, um Nutzer dazu zu ermutigen, ihre Passwörter.
- Werbung für alternative Authentifizierungsmethoden, wenn Nutzer ihre Passwörter zurücksetzen
- Ermutigen Sie die Nutzer, nutzerfreundliche Authentifizierungsmethoden einzurichten (z. B. FIDO) und deaktivieren Sie Passwörter für Situationen, in denen eine häufige Authentifizierung.
- Nutzer auffordern, ihre Passwörter zu deaktivieren, bevor sie Dienste mit hohem Risiko verwenden wie E-Commerce-Zahlungen.
Wenn ein Nutzer sein Passwort vergisst, kann er eine Kontowiederherstellung durchführen. Vorher wurde das Passwort zurückgesetzt. Nutzer können jetzt ein anderes und empfehlen ihnen, dies zu tun.
3. Passwortlose Kontoregistrierung
Neue Nutzer können passwortfreie Yahoo!- JAPAN-Konten. Die Nutzenden stehen an erster Stelle erforderlich, um sich mit einer SMS-Authentifizierung zu registrieren. Nach der Anmeldung Ermutigen Sie den Nutzer, die FIDO-Authentifizierung einzurichten.
Da FIDO eine gerätespezifische Einstellung ist, kann es schwierig sein, falls das Gerät nicht mehr funktioniert. Deshalb müssen Nutzer ihre Telefonnummer registriert, auch nachdem sie eine zusätzliche Authentifizierung eingerichtet haben.
Wichtige Herausforderungen bei der passwortlosen Authentifizierung
Passwörter sind geräteunabhängig und basieren auf dem menschlichen Gedächtnis. Im Gegensatz dazu die bisher bei unserer Initiative ohne Passwort eingeführte Authentifizierungsmethoden, sind geräteabhängig. Dies wirft verschiedene Herausforderungen mit sich.
Wenn mehrere Geräte verwendet werden, gibt es einige Probleme im Zusammenhang mit der Nutzerfreundlichkeit:
- Wenn Nutzer die SMS-Authentifizierung für die Anmeldung über einen PC verwenden, müssen sie ihre Mobiltelefon für eingehende SMS. Dies könnte umständlich sein, setzt voraus, dass das Smartphone des Nutzers verfügbar und jederzeit leicht zugänglich ist.
- Bei FIDO, insbesondere bei Plattform-Authentifikatoren, kann ein Nutzer mit mehreren Geräte können sich auf nicht registrierten Geräten nicht authentifizieren. Sie müssen sich für jedes Gerät registrieren, das sie verwenden möchten.
Die FIDO-Authentifizierung ist an bestimmte Geräte gebunden, das heißt, sie müssen Besitz und aktiv sind.
- Wenn der Servicevertrag gekündigt wird, können Sie Ihnen keine SMS-Nachrichten an die registrierte Telefonnummer
- FIDO speichert private Schlüssel auf einem bestimmten Gerät. Wenn das Gerät verloren geht, Schlüssel sind unbrauchbar.
Yahoo! JAPAN unternimmt verschiedene Schritte, um diese Probleme anzugehen.
Die wichtigste Lösung besteht darin, Nutzer dazu zu ermutigen, Authentifizierungsmethoden. Dies bietet einen alternativen Kontozugriff, wenn Geräte sind verloren gegangen. Da FIDO-Schlüssel geräteabhängig sind, empfiehlt es sich auch, Private FIDO-Schlüssel auf mehreren Geräten registrieren
Alternativ können Nutzer die WebOTP API verwenden, um die SMS-Überprüfung zu bestehen. von einem Android-Smartphone an Chrome auf einem PC übertragen.
Wir sind überzeugt, dass die Behebung dieser Probleme passwortlose Authentifizierungen.
Passwortlose Authentifizierung fördern
Yahoo! JAPAN arbeitet seit 2015 an Initiativen ohne Passwort. Dies begann mit der Übernahme der FIDO-Serverzertifizierung im Mai 2015. Es folgte die Einführung der SMS-Authentifizierung und die Deaktivierung von Passwörtern. und FIDO-Unterstützung für jedes Gerät.
Inzwischen haben mehr als 30 Millionen monatlich aktive Nutzer ihre Passwörter verwenden und Authentifizierungsmethoden ohne Passwort verwenden. Yahoo! JAPAN Unterstützung für FIDO begann mit Chrome unter Android, inzwischen sind es mehr als 10 Millionen -Nutzer haben die FIDO-Authentifizierung eingerichtet.
Infolge von Yahoo! Japans Initiativen, der Prozentsatz der Anfragen im Zusammenhang mit vergessenen Log-in-IDs oder Passwörtern ist im Vergleich zu den als die Anzahl solcher Anfragen am höchsten war. konnten bestätigen, dass der unbefugte Zugriff aufgrund des mehr Konten ohne Passwort.
Da FIDO so einfach einzurichten ist, hat es eine besonders hohe Conversion-Rate. Yahoo! JAPAN hat festgestellt, dass FIDO eine höhere CVR als SMS aufweist. Authentifizierung.
25 %
Weniger Anfragen für vergessene Anmeldedaten
74 %
Nutzer sind mit FIDO-Authentifizierung erfolgreich
65 %
Erfolgreiche SMS-Bestätigung
FIDO hat eine höhere Erfolgsquote als die SMS-Authentifizierung sowie einen schnelleren Durchschnitt und
Medianwert der Authentifizierungszeiten. Passwörter haben in einigen Gruppen kurze
Authentifizierungszeiten. Wir vermuten, dass dies am Browser-
autocomplete="current-password"
Die größte Schwierigkeit beim Anbieten von Konten ohne Passwort ist nicht die von Authentifizierungsmethoden, aber auch die Verwendung von Authenticatoren bekannt. Wenn die Nutzung eines passwortlosen Dienstes nicht nutzerfreundlich ist, wird die Umstellung nicht einfach sein.
Wir sind der Meinung, dass wir für mehr Sicherheit zunächst die Nutzerfreundlichkeit verbessern müssen, was einzigartige Innovationen für jeden Dienst erfordert.
Fazit
Die Passwortauthentifizierung birgt Risiken im Hinblick auf die Sicherheit Herausforderungen hinsichtlich der Usability. Da Technologien, die Authentifizierung ohne Passwort, wie WebOTP API und FIDO, ist es an der Zeit, eine passwortlose Authentifizierung einzurichten.
Bei Yahoo! Japan hat dieser Ansatz definitiv Auswirkungen auf Nutzerfreundlichkeit und Sicherheit. Viele Nutzer verwenden jedoch immer noch Passwörter. wird mehr Nutzer dazu ermuntern, zur passwortlosen Authentifizierung zu wechseln. . Wir werden auch weiterhin unsere Produkte verbessern, um für passwortlose Authentifizierungsmethoden.
Foto von olieman.eth auf Unsplash