איך מערכת Yahoo! יפן פיתחה מערכת זהויות ללא סיסמאות.
מזהה העסק JAPAN היא אחת מחברות המדיה הגדולות ביפן. היא מספקת שירותים כמו חיפוש, חדשות, מסחר אלקטרוני ואימייל. יותר מ-50 מיליון משתמשים מתחברים ל-Yahoo! JAPAN בכל חודש.
לאורך השנים היו הרבה מתקפות על חשבונות משתמשים ובעיות שהובילו לאובדן הגישה לחשבון. רוב הבעיות האלה היו קשורות לשימוש בסיסמה לצורך אימות.
עם החידושים האחרונים בטכנולוגיית האימות, Yahoo! JAPAN החליטה לעבור מאימות שמבוסס על סיסמה לאימות ללא סיסמה.
למה כדאי להשתמש ללא סיסמה?
כי ב-Yahoo! JAPAN מציעה שירותים של מסחר אלקטרוני ושירותים אחרים שקשורים לכסף, ויש סיכון לנזק משמעותי למשתמשים במקרה של גישה לא מורשית או אובדן חשבון.
ההתקפות הנפוצות ביותר שקשורות לסיסמאות היו מתקפות של רשימות סיסמאות ותרמיות פישינג. אחת הסיבות לכך שהתקפות על רשימות סיסמאות הן נפוצות ואפקטיביות היא ההרגלים של אנשים רבים להשתמש באותה סיסמה במספר אפליקציות ואתרים.
הנתונים הבאים הם תוצאות סקר שבוצע על ידי Yahoo! JAPAN.
50 %
להשתמש באותו מזהה ובאותה סיסמה בשישה אתרים או יותר
60 %
שימוש באותה סיסמה במספר אתרים
70 %
להשתמש בסיסמה בתור הדרך העיקרית להתחברות
הרבה פעמים משתמשים שוכחים את הסיסמאות שלהם, וזה גורם לרוב הבירורים שקשורים לסיסמאות. היו גם שאלות של משתמשים ששכחו את מזהי ההתחברות שלהם בנוסף לסיסמאות שלהם. בשיא השיא, הבקשות האלה הניבו יותר משליש מכל הבקשות שקשורות לחשבון.
מעכשיו, Yahoo! JAPAN רצתה לשפר לא רק את האבטחה, אלא גם את נוחות השימוש, בלי להעמיס על המשתמשים.
מבחינת אבטחה, ביטול הסיסמאות מתהליך אימות המשתמשים מפחית את הנזק ממתקפות מבוססות-רשימות, ומבחינת נוחות השימוש, שיטת אימות שלא מסתמכת על זכירת סיסמאות מונעת מצבים שבהם משתמש לא יכול להתחבר כי הוא שכח את הסיסמה.
מזהה העסק של Yahoo! JAPAN
מזהה העסק JAPAN מבצעת כמה פעולות כדי לקדם אימות ללא סיסמאות, ואפשר לחלק אותו לשלוש קטגוריות:
- לספק אמצעי אימות חלופיים לסיסמאות.
- השבתה של סיסמה.
- רישום חשבון ללא סיסמה.
שתי היוזמות הראשונות נועדו למשתמשים קיימים, ואילו רישום ללא סיסמה מיועד למשתמשים חדשים.
1. מתן אמצעי אימות חלופיים לסיסמאות
מזהה העסק JAPAN מציעה את החלופות הבאות לסיסמאות.
בנוסף, אנחנו מציעים גם שיטות אימות כמו אימות אימייל, סיסמה בשילוב עם SMS OTP (סיסמה חד-פעמית) וסיסמה בשילוב עם OTP של כתובת האימייל.
אימות באמצעות SMS
אימות באמצעות SMS הוא מערכת שמאפשרת למשתמש רשום לקבל קוד אימות בן 6 ספרות ב-SMS. אחרי שהמשתמש יקבל את הודעת ה-SMS, הוא יוכל להזין את קוד האימות באפליקציה או באתר.
ב-Apple אפשר כבר מזמן ל-iOS לקרוא הודעות SMS ולהציע קודי אימות מגוף הטקסט. לאחרונה אפשר להשתמש בהצעות על ידי ציון 'קוד חד-פעמי' במאפיין autocomplete של רכיב הקלט. Chrome ב-Android, ב-Windows וב-Mac יכול לספק את אותה החוויה באמצעות WebOTP API.
למשל:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
שתי הגישות נועדו למנוע פישינג על ידי הכללת הדומיין בגוף ה-SMS ומתן הצעות רק לדומיין שצוין.
למידע נוסף על WebOTP API ועל autocomplete="one-time-code", אפשר לעיין בשיטות מומלצות לשליחת טופסי SMS OTP.
FIDO עם WebAuthn
ב-FIDO עם WebAuthn נעשה שימוש במאמת חומרה כדי ליצור צמד צופן של מפתחות ציבוריים ולהוכיח את הבעלות. כשסמארטפון משמש לאימות, אפשר לשלב אותו עם אימות ביומטרי (כמו חיישנים של טביעות אצבע או זיהוי פנים) כדי לבצע אימות דו-שלבי דו-שלבי. במקרה כזה, רק החתימה והאינדיקציה להצלחה של האימות הביומטרי נשלחים לשרת, כך שאין סיכון לגניבת נתונים ביומטריים.
התרשים הבא מציג את תצורת שרת-לקוח עבור FIDO. המאמת של הלקוח מאמת את המשתמש באמצעות מידע ביומטרי וחותם על התוצאה באמצעות קריפטוגרפיה של מפתח ציבורי. המפתח הפרטי שמשמש ליצירת החתימה מאוחסן באופן מאובטח ב-TEE (סביבת מחשוב אמינה) או במיקום דומה. ספק שירות שמשתמש ב-FIDO נקרא RP (צד נסמך).
אחרי שהמשתמש מבצע את האימות (בדרך כלל באמצעות סריקה ביומטרית או קוד אימות), מאמת החשבונות משתמש במפתח פרטי כדי לשלוח לדפדפן אות אימות חתום. לאחר מכן, הדפדפן משתף את האות הזה עם האתר של הגורם המוגבל.
לאחר מכן, אתר ה-RP שולח את אות האימות החתום לשרת של הגורם המוגבל, ומאמת את החתימה מול המפתח הציבורי כדי להשלים את האימות.
מידע נוסף זמין במאמר הנחיות לאימות מ-FIDO Alliance.
מזהה העסק JAPAN תומכת ב-FIDO ב-Android (באפליקציה לנייד ובאינטרנט), ב-iOS (באפליקציה לנייד ובאינטרנט), ב-Windows (Edge, Chrome, Firefox) וב-macOS (Safari, Chrome). בתור שירות לצרכנים, אפשר להשתמש ב-FIDO כמעט בכל מכשיר, כך שזו אפשרות טובה לקידום אימות ללא סיסמה.
מזהה העסק JAPAN ממליצה למשתמשים להירשם ל-FIDO באמצעות WebAuthn, אם הם עדיין לא אומתו באמצעים אחרים. כשמשתמש צריך להתחבר באמצעות אותו מכשיר, הוא יכול לבצע אימות במהירות באמצעות חיישן ביומטרי.
המשתמשים חייבים להגדיר אימות FIDO בכל המכשירים שבהם הם משתמשים כדי להתחבר ל-Yahoo! JAPAN.
כדי לקדם אימות ללא סיסמאות ולהתחשב במשתמשים שיוצאים משימוש בסיסמאות, אנחנו מספקים מספר אמצעי אימות. המשמעות היא שלמשתמשים שונים יכולות להיות הגדרות שונות של שיטת האימות, ושיטות האימות שבהן הם יכולים להשתמש עשויות להשתנות מדפדפן לדפדפן. אנחנו מאמינים שחוויה טובה יותר אם משתמשים מתחברים באותה שיטת אימות בכל פעם.
כדי לעמוד בדרישות האלה, צריך לעקוב אחרי שיטות האימות הקודמות ולקשר את המידע הזה ללקוח על ידי שמירתו בפורמט של קובצי cookie וכו'. לאחר מכן נוכל לנתח את האופן שבו אפליקציות ודפדפנים שונים משמשים לאימות. המשתמש יתבקש לספק אימות מתאים על סמך ההגדרות של המשתמש, שיטות האימות הקודמות והרמה המינימלית הנדרשת של האימות.
2. השבתת סיסמה
מזהה העסק JAPAN מבקשת מהמשתמשים להגדיר שיטת אימות חלופית ואז להשבית את הסיסמה שלהם כדי שלא תהיה אפשרות להשתמש בה. בנוסף להגדרת אימות חלופי, השבתת האימות באמצעות סיסמה (כלומר, שלא ניתן להיכנס לחשבון באמצעות סיסמה בלבד) עוזרת להגן על המשתמשים מפני מתקפות שמבוססות על רשימות.
ביצענו את השלבים הבאים כדי לעודד משתמשים להשבית את הסיסמאות שלהם.
- לקדם שיטות אימות חלופיות כשמשתמשים מאפסים את הסיסמאות שלהם.
- לעודד משתמשים להגדיר שיטות אימות קלות לשימוש (כמו FIDO) ולהשבית סיסמאות במצבים שמחייבים אימות בתדירות גבוהה.
- קריאה למשתמשים להשבית את הסיסמאות שלהם לפני שהם משתמשים בשירותים בסיכון גבוה, כמו תשלומים במסחר אלקטרוני.
אם משתמש שוכח את הסיסמה שלו, הוא יכול להפעיל שחזור חשבון. בעבר היה צורך באיפוס סיסמה. עכשיו המשתמשים יכולים לבחור להגדיר שיטת אימות אחרת, ואנחנו ממליצים להם לעשות זאת.
3. רישום חשבון ללא סיסמה
משתמשים חדשים יכולים ליצור גרסת Yahoo! JAPAN. המשתמשים נדרשים קודם להירשם באמצעות אימות באמצעות SMS. אחרי ההתחברות, אנחנו ממליצים למשתמשים להגדיר אימות FIDO.
מכיוון ש-FIDO היא הגדרה לפי מכשיר, לפעמים קשה לשחזר חשבון אם המכשיר לא יהיה פעיל. לכן אנחנו דורשים מהמשתמשים להשאיר את מספר הטלפון שלהם רשום, גם אחרי שהם הגדירו אימות נוסף.
אתגרים מרכזיים לאימות ללא סיסמה
הסיסמאות מסתמכות על זיכרון אנושי והן תלויות במכשיר. לעומת זאת, שיטות האימות שהשקנו עד עכשיו ביוזמה שלנו ללא סיסמאות תלויות במכשיר. כתוצאה מכך, יש כמה אתגרים.
כשמשתמשים בכמה מכשירים, יש כמה בעיות שקשורות לנוחות השימוש:
- כשמשתמשים באימות באמצעות SMS כדי להתחבר ממחשב, המשתמשים צריכים לבדוק אם יש הודעות SMS נכנסות בטלפון הנייד. המצב הזה עשוי להיות לא נוח, כי כדי שהטלפון של המשתמש יהיה זמין וקל לגשת אליו בכל שלב.
- כשמשתמשים ב-FIDO, במיוחד עם מאמתי פלטפורמות, משתמשים עם מספר מכשירים לא יוכלו לבצע אימות במכשירים לא רשומים. צריך להשלים את הרישום לכל מכשיר שבו הם מתכוונים להשתמש.
אימות FIDO מקושר למכשירים ספציפיים, כדי לאפשר לו להישאר ברשות המשתמש ולהיות פעיל.
- אם חוזה השירות יבוטל, לא תהיה יותר אפשרות לשלוח הודעות SMS למספר הטלפון הרשום.
- תקן FIDO מאחסן מפתחות פרטיים במכשיר ספציפי. אם המכשיר אבד, אי אפשר להשתמש במפתחות האלה.
מזהה העסק JAPAN נוקטת פעולות שונות כדי לטפל בבעיות האלה.
הפתרון החשוב ביותר הוא לעודד משתמשים להגדיר מספר שיטות אימות. כך מקבלים גישה חלופית לחשבון במקרה של אובדן מכשירים. מפתחות FIDO תלויים במכשיר, ולכן מומלץ גם לרשום מפתחות פרטיים מסוג FIDO במספר מכשירים.
לחלופין, המשתמשים יכולים להשתמש ב-WebOTP API כדי להעביר קודי אימות ב-SMS מטלפון Android ל-Chrome במחשב.
אנחנו מאמינים שהטיפול בבעיות האלה יהפוך אפילו יותר ויותר חשוב עם ההפצה של האימות ללא סיסמה.
קידום אימות ללא סיסמאות
מזהה העסק JAPAN עובדת על היוזמות האלה ללא סיסמאות כניסה מאז 2015. זה התחיל עם קבלת אישור לשרת FIDO במאי 2015, ואחריו הוספנו אימות באמצעות SMS, תכונה להשבתת הסיסמה ותמיכה ב-FIDO בכל מכשיר.
כיום, יותר מ-30 מיליון משתמשים פעילים בחודש כבר השביתו את הסיסמאות שלהם ומשתמשים בשיטות אימות שלא מבוססות על סיסמאות. מזהה העסק התמיכה של JAPAN ב-FIDO התחילה ב-Chrome ב-Android, ועכשיו יותר מ-10 מיליון משתמשים הגדירו אימות FIDO.
כתוצאה מ-Yahoo! לפי היוזמות של JAPAN, אחוז השאילתות שכוללות מזהי התחברות או סיסמאות שנשכחו ירד ב-25% בהשוואה לתקופה שבה היה מספר הבקשות הגבוה ביותר. כמו כן, הצלחנו לאשר שהגישה הלא מורשית ירדה כתוצאה מהעלייה במספר החשבונות ללא סיסמאות.
מאחר שקל מאוד להגדיר את מודל FIDO, יש לו שיעור המרות גבוה במיוחד. למעשה, מערכת Yahoo! JAPAN גילתה שהשיעור המרה (CVR) ב-FIDO גבוה יותר מזה של האימות באמצעות SMS.
25 %
ירידה במספר הבקשות לפרטי כניסה שנשכחו
74 %
המשתמשים מצליחים באמצעות אימות FIDO
65 %
השלמת תהליך האימות ב-SMS
ל-FIDO יש שיעור הצלחה גבוה יותר מאשר לאימות באמצעות SMS, וזמני האימות הממוצעים והחציוניים מהירים יותר. לגבי סיסמאות, לקבוצות מסוימות יש זמני אימות קצרים, ואנחנו חושדים שהסיבה לכך היא autocomplete="current-password" של הדפדפן.
הקושי הגדול ביותר להציע חשבונות ללא סיסמאות הוא לא הוספת שיטות אימות, אלא הכללת השימוש במאמתים. אם חוויית השימוש בשירות ללא סיסמאות לא ידידותית למשתמש, המעבר לא יהיה קל.
אנחנו מאמינים שכדי להשיג אבטחה משופרת, קודם צריך לשפר את נוחות השימוש. לשם כך, בכל שירות צריך חידושים ייחודיים.
סיכום
אימות סיסמה הוא מסוכן מבחינת האבטחה, וגם מהווה אתגרים מבחינת נוחות השימוש. עכשיו, טכנולוגיות שתומכות באימות ללא סיסמה, כמו WebOTP API ו-FIDO, זמינות יותר לכולם, והגיע הזמן להתחיל לעבור לאימות ללא סיסמה.
ב-Yahoo! JAPAN, לגישה הזו הייתה השפעה מובהקת על השימושיות וגם על האבטחה. עם זאת, משתמשים רבים עדיין משתמשים בסיסמאות, כך שנמשיך לעודד משתמשים נוספים לעבור לשיטות אימות ללא סיסמאות. כמו כן, נמשיך לשפר את המוצרים שלנו כדי לבצע אופטימיזציה של חוויית המשתמש לשיטות אימות ללא סיסמה.
תמונה מאת olieman.eth ב-Unbounce