Découvrez comment Yahoo! Japan a développé un système d'identité sans mot de passe.
Yahoo! JAPAN est l'une des plus grandes entreprises de médias au Japon. tels que la recherche, les actualités, le commerce électronique et la messagerie. Plus de 50 millions d'utilisateurs vous connecter à Yahoo! JAPAN chaque mois.
Au fil des ans, de nombreuses attaques contre des comptes utilisateur et des problèmes ont conduit à la perte d'accès à votre compte. La plupart de ces problèmes étaient liés à l'utilisation des mots de passe pour l'authentification.
Avec les progrès récents de la technologie d'authentification, Yahoo! JAPAN a décidé de passer de l’authentification par mot de passe à l’authentification sans mot de passe.
Pourquoi utiliser des mots de passe sans mot de passe ?
Comme Yahoo! JAPAN propose des services de commerce électronique et d'autres services financiers, un risque de dommages importants pour les utilisateurs en cas d'accès non autorisé ou la perte de compte.
Les attaques les plus courantes liées aux mots de passe étaient les attaques de listes de mots de passe et les escroqueries par hameçonnage. L’une des raisons pour lesquelles les attaques de liste de mots de passe sont courantes et efficace est l'habitude d'un grand nombre de personnes qui utilisent le même mot de passe pour plusieurs applications et sites Web.
Les chiffres suivants sont les résultats d'une enquête menée par Yahoo! JAPAN
50 %
utilisent le même identifiant et le même mot de passe sur six sites ou plus
60 %
Utiliser le même mot de passe sur plusieurs sites
70 %
utiliser un mot de passe comme moyen principal de se connecter
Les utilisateurs oublient souvent leurs mots de passe, ce qui représente la majorité des les demandes liées aux mots de passe. Nous avons également reçu des demandes d'utilisateurs oublié leurs identifiants de connexion en plus de leurs mots de passe. À leur apogée, ces Elles ont représenté plus d'un tiers de toutes les demandes liées au compte.
En passant au sans mot de passe, Yahoo! JAPAN visait non seulement à améliorer la sécurité, également la facilité d'utilisation, sans alourdir la charge supplémentaire sur les utilisateurs.
Du point de vue de la sécurité, la suppression des mots de passe d'authentification réduit les dommages causés par les attaques basées sur des listes du point de vue de la facilité d’utilisation, en fournissant une méthode d’authentification qui ne repose pas sur la mémorisation des mots de passe permet d'éviter qu'un utilisateur ne puisse se connecter parce qu’ils ont oublié leur mot de passe.
Yahoo! Initiatives du sans mots de passe au Japon
Yahoo! JAPAN prend plusieurs mesures pour promouvoir l'utilisation de mots de passe sans mot de passe qui peuvent être divisées en trois grandes catégories:
- Fournir une autre méthode d'authentification aux mots de passe.
- Désactivation du mot de passe.
- Enregistrement de compte sans mot de passe.
Les deux premières initiatives ciblaient les utilisateurs existants, l'inscription est destinée aux nouveaux utilisateurs.
1. Fournir un autre moyen d'authentification aux mots de passe
Yahoo! JAPAN propose les alternatives suivantes aux mots de passe.
Nous proposons également des méthodes d'authentification authentification, mot de passe combiné avec SMS OTP (mot de passe à usage unique) et mot de passe associé à l'adresse e-mail OTP.
Authentification par SMS
L'authentification par SMS est un système qui permet à un utilisateur enregistré de recevoir code d'authentification à six chiffres par SMS. Une fois que l'utilisateur a reçu le SMS, il peut saisir le code d’authentification dans l’application ou sur le site web.
Apple autorise depuis longtemps iOS à lire les SMS et à suggérer une authentification
à partir du corps de texte. Depuis peu, il est possible d'utiliser les suggestions
spécifiant "code à usage unique" dans l'attribut autocomplete de l'entrée
. Chrome sur Android, Windows et Mac peut offrir la même expérience
à l'aide de l'API WebOTP ;
Exemple :
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Ces deux approches sont conçues pour éviter l'hameçonnage en incluant le domaine dans le corps du SMS et ne fournit des suggestions que pour le domaine spécifié.
Pour en savoir plus sur l'API WebOTP et autocomplete="one-time-code", consultez
consultez les bonnes pratiques concernant les formulaires OTP envoyés par SMS.
FIDO avec WebAuthn
FIDO avec WebAuthn utilise un authentificateur matériel pour générer une clé publique la paire de chiffrement et de prouver la possession. Lorsqu'un smartphone est utilisé comme authentificateur, il peut être associé à une authentification biométrique les empreintes digitales ou la reconnaissance faciale) pour effectuer une validation en une l'authentification unique. Dans ce cas, seuls la signature et l’indication de réussite de l'authentification biométrique sont envoyés au serveur. Il n'y a donc aucun risque du vol de données biométriques.
Le schéma suivant illustre la configuration serveur-client pour FIDO. La L'authentificateur de client authentifie l'utilisateur avec la biométrie et signe l' à l’aide de la cryptographie à clé publique. La clé privée utilisée pour créer le signature est stockée de manière sécurisée dans un environnement d'exécution sécurisé (TEE). ou un lieu similaire. Un fournisseur de services qui utilise FIDO est appelé un tiers assujetti à des restrictions (partie de confiance).
Une fois que l'utilisateur a effectué l'authentification (généralement via un scan biométrique ou un code), l'authentificateur envoie un signal de validation signé au navigateur à l'aide d'une clé privée. Le navigateur partage ensuite ce signal avec le site Web du tiers assujetti à des restrictions.
Le site Web du tiers assujetti à des restrictions envoie ensuite le signal de validation signé au serveur du tiers assujetti à des restrictions, qui vérifie la signature par rapport à la clé publique pour terminer l'authentification.
Pour en savoir plus, consultez consignes d'authentification de FIDO Alliance.
Yahoo! JAPAN est compatible avec FIDO sur Android (application mobile et Web) et sur iOS (application mobile). et Web), Windows (Edge, Chrome, Firefox) et macOS (Safari, Chrome). En tant que de service client, FIDO peut être utilisé sur presque tous les appareils, ce qui en fait une bonne permettant de promouvoir l'authentification sans mot de passe.
<ph type="x-smartling-placeholder">
Yahoo! JAPAN recommande aux utilisateurs de s'inscrire à FIDO avec WebAuthn s'ils ont qui ne sont pas déjà authentifiées par d’autres moyens. Lorsqu'un utilisateur doit se connecter avec le même appareil, ils peuvent s'authentifier rapidement à l'aide d'un capteur biométrique.
Les utilisateurs doivent configurer l'authentification FIDO sur tous les appareils auxquels ils se connectent pour se connecter. Campagne Yahoo! JAPAN
Pour promouvoir l’authentification sans mot de passe et tenir compte des utilisateurs des mots de passe, nous proposons plusieurs moyens l'authentification unique. Cela signifie que différents utilisateurs peuvent avoir les paramètres de méthode d'authentification et les méthodes d'authentification qu'ils peuvent utiliser peuvent varier d'un navigateur à l'autre. Nous pensons qu'il est préférable de les utilisateurs se connectent en utilisant la même méthode d’authentification à chaque fois.
Pour répondre à ces exigences, il est nécessaire de suivre et lier ces informations au client en les stockant sous la forme les cookies, etc. Nous pouvons alors analyser le comportement des différents navigateurs et applications utilisée pour l'authentification. L'utilisateur est invité à fournir des en fonction des paramètres de l'utilisateur, l'authentification précédente les méthodes utilisées et le niveau minimal d'authentification requis.
2. Désactivation du mot de passe
Yahoo! JAPAN demande aux utilisateurs de configurer une autre méthode d'authentification et puis désactiver son mot de passe afin qu’il ne puisse pas être utilisé. En plus de définir configurer une authentification alternative, désactiver l'authentification par mot de passe (et donc rendant impossible la connexion avec un seul mot de passe) permet de protéger les utilisateurs contre ou basées sur des listes.
Nous avons pris les mesures suivantes pour inciter les utilisateurs à désactiver leur mots de passe.
- Promouvoir des méthodes d'authentification alternatives lorsque les utilisateurs réinitialisent leurs mots de passe.
- Encourager les utilisateurs à configurer des méthodes d'authentification faciles à utiliser (comme FIDO) et désactiver les mots de passe pour les situations nécessitant l'authentification unique.
- Inciter les utilisateurs à désactiver leurs mots de passe avant d'utiliser des services à haut risque, comme les paiements en ligne.
Si un utilisateur oublie son mot de passe, il peut lancer une récupération de compte. Précédemment cela a impliqué une réinitialisation du mot de passe. Désormais, les utilisateurs peuvent choisir de configurer et nous les encourageons à le faire.
3. Enregistrement de compte sans mot de passe
Les nouveaux utilisateurs peuvent créer des comptes Yahoo! JAPAN. Les utilisateurs sont les premiers pour s'inscrire à une authentification par SMS. Une fois qu'ils se sont connectés, nous encouragez l'utilisateur à configurer l'authentification FIDO.
Étant donné que FIDO est un paramètre propre à chaque appareil, il peut être difficile de récupérer un compte, si l'appareil devient inutilisable. C'est pourquoi nous exigeons des utilisateurs qu'ils conservent enregistré, même après la configuration d'une authentification supplémentaire.
Principales questions d'authentification pour l'authentification sans mot de passe
Les mots de passe dépendent de la mémoire humaine et sont indépendants de l'appareil. Par ailleurs, les méthodes d’authentification présentées jusqu’à présent dans notre initiative sans mot de passe dépendent de l'appareil. Cela pose plusieurs problèmes.
Lorsque plusieurs appareils sont utilisés, certains problèmes liés à la facilité d'utilisation se posent:
- Lorsqu'ils utilisent l'authentification par SMS pour se connecter à partir d'un PC, les utilisateurs doivent vérifier leurs téléphone portable pour les SMS entrants. Cela peut s'avérer gênant, car nécessite que le téléphone de l'utilisateur soit disponible et facile d'accès à tout moment.
- Avec FIDO, en particulier avec les authentificateurs de plate-forme, un utilisateur ayant plusieurs les appareils ne pourront pas s'authentifier sur les appareils non enregistrés. L'enregistrement doit être effectué pour chaque appareil qu'il a l'intention d'utiliser.
L'authentification FIDO est liée à des appareils spécifiques, ce qui exige qu'ils restent sur en possession de l'utilisateur et actif.
- Si le contrat de service est résilié, il ne sera plus possible d'envoyer SMS au numéro de téléphone enregistré.
- FIDO stocke les clés privées sur un appareil spécifique. Si l'appareil est perdu, ces clés sont inutilisables.
Yahoo! JAPAN prend différentes mesures pour résoudre ces problèmes.
La solution la plus importante consiste à inciter les utilisateurs à configurer plusieurs méthodes d'authentification. Cela permet de fournir un autre accès au compte sont perdues. Les clés FIDO étant dépendantes de l'appareil, il est également recommandé de enregistrer des clés privées FIDO sur plusieurs appareils.
Les utilisateurs peuvent également utiliser l'API WebOTP pour valider la validation par SMS. de code depuis un téléphone Android vers Chrome sur un PC.
Nous pensons qu'il sera d'autant plus important de s'attaquer à ces questions à mesure que l’authentification sans mot de passe se propage.
Promouvoir l'authentification sans mot de passe
Yahoo! JAPAN travaille sur ces initiatives visant à protéger les mots de passe depuis 2015. Tout a commencé avec l’acquisition de la certification des serveurs FIDO en mai 2015, suivie de l'introduction de l'authentification par SMS, une fonction de désactivation du mot de passe et la prise en charge FIDO de chaque appareil.
Aujourd'hui, plus de 30 millions d'utilisateurs actifs par mois ont déjà désactivé leur mots de passe et utilisent des méthodes d’authentification sans mot de passe. Yahoo! JAPON la prise en charge de FIDO a commencé avec Chrome sur Android, et plus de 10 millions les utilisateurs ont configuré l'authentification FIDO.
Grâce à Yahoo! Yahoo! Japan, le pourcentage de demandes impliquant des identifiants de connexion ou des mots de passe oubliés a diminué de 25 % au cours de la période pendant laquelle le nombre de ces requêtes était le plus élevé. de confirmer que l'accès non autorisé a été refusé à la suite d’augmentation du nombre de comptes sans mot de passe.
FIDO étant très facile à configurer, son taux de conversion est particulièrement élevé. En fait, Yahoo! JAPAN a constaté que FIDO a un taux de conversion plus élevé que les SMS l'authentification unique.
25 ans %
Diminution du nombre de demandes d'identifiants oubliés
74 %
Les utilisateurs réussissent grâce à l'authentification FIDO
65 %
Validation par SMS réussie
FIDO a un taux de réussite supérieur à celui de l’authentification par SMS et un moyen plus rapide et
la durée médiane d'authentification. Concernant les mots de passe, certains groupes ont des
d'authentification. Nous pensons que cela est dû à la
autocomplete="current-password"
La principale difficulté pour offrir des comptes sans mot de passe n’est pas l’ajout méthodes d'authentification, mais aussi la popularisation de l'utilisation d'authentificateurs. Si l’expérience d’utilisation d’un service sans mot de passe n’est pas conviviale, le la transition ne sera pas facile.
Nous pensons que pour renforcer la sécurité, il faut d'abord améliorer la facilité d'utilisation, ce qui nécessitera des innovations uniques pour chaque service.
Conclusion
L’authentification par mot de passe est risquée en termes de sécurité et présente également difficultés en termes de convivialité. Maintenant que les technologies compatibles l'authentification sans mot de passe, comme l'API WebOTP et FIDO, sont plus largement il est temps de commencer à travailler vers une authentification sans mot de passe.
Chez Yahoo! Yahoo! Japan, cette approche a eu un effet certain la facilité d'utilisation et la sécurité. Toutefois, de nombreux utilisateurs utilisent encore leurs mots de passe. continueront d’encourager davantage d’utilisateurs à passer à l’authentification sans mot de passe méthodes. Nous continuerons également à améliorer nos produits afin d'optimiser des méthodes d’authentification sans mot de passe.
Photo par olieman.eth sur Unsplash