Yahoo! Japan, şifresiz bir kimlik sistemi geliştirdi.
Yahoo! Japonya'daki en büyük medya şirketlerinden biri olan JAPAN, Arama, haber, e-ticaret ve e-posta gibi hizmetler. 50 milyondan fazla kullanıcı Yahoo! hizmet veriyor.
Yıllar içinde, kullanıcı hesaplarına yönelik saldırılar ve bunun sonucunda hesaba erişimi kaybetmesine neden olabilir. Bu sorunların çoğu şifre kullanımıyla ilgiliydi kimlik doğrulama için
Kimlik doğrulama teknolojisindeki son gelişmelerle birlikte, Yahoo! JAPAN tarafından şifre tabanlı kimlik doğrulamasından şifresiz kimlik doğrulamasına geçme.
Neden şifresiz?
Yahoo! JAPONYA, e-ticaret ve parayla ilgili diğer hizmetler sunuyor. yetkisiz erişim durumunda kullanıcılara önemli hasarlar verme veya riskleri hesap kaybı.
Şifrelerle ilgili en yaygın saldırılar şifre listesi saldırıları ve dolandırıcılığı ile ilgilidir. Şifre listesi saldırılarının sık karşılaşılan ve birçok insanın birden fazla hesap için aynı şifreyi uygulamalar ve web siteleri.
Aşağıda, Yahoo! tarafından gerçekleştirilen bir anketin sonuçları verilmiştir. JAPONYA.
50 %
altı veya daha fazla sitede aynı kimliği ve şifreyi kullanmalıdır
60 %
Birden çok sitede aynı şifreyi kullanın
70 %
birincil giriş yöntemi olarak şifre kullanma
Kullanıcılar genellikle şifrelerini unutur. Bu da, şifreyle ilgili sorgular. Ayrıca internette daha önce şifrelerinin yanı sıra giriş kimliklerini de unutmaları gerekir. En yoğun zamanında hesaplarla ilgili tüm sorguların üçte birinden fazlasını oluşturuyor.
Şifresiz geçişle, Yahoo! yalnızca güvenliği artırmayı değil, aynı zamanda de kullanabilirsiniz.
Güvenlik açısından bakıldığında, şifrenin kullanıcının şifre tarafından elenmesi kimlik doğrulama süreci, listeye dayalı saldırıların zararını azaltır ve arka plan bilgileri sunmayan bir kimlik doğrulama yöntemi kullanıcıların giriş yapamadığı durumları önler. şifresini unuttular.
Yahoo! JAPAN'nın şifresiz girişimleri
Yahoo! JAPAN, şifresiz hizmetlerin tanıtımını yapmak için birkaç adım atmaktadır Kimlik doğrulama, genel olarak üç kategoriye ayrılabilir:
- Şifreleriniz için kimlik doğrulaması yapmak üzere alternatif bir yöntem sağlayın.
- Şifreyi devre dışı bırakma.
- Şifresiz hesap kaydı.
Mevcut kullanıcıları hedefleyen ilk iki girişim, şifresiz yeni kullanıcıları hedeflemektedir.
1. Şifrelerde kimlik doğrulama için alternatif yöntemler sağlama
Yahoo! JAPAN, şifrelere aşağıdaki alternatifleri sunar.
Ayrıca, e-posta veya e-posta gönderme gibi kimlik doğrulama yöntemleri de sunuyoruz. SMS OTP ile birleştirilmiş şifre (tek kullanımlık şifre) ve e-posta OTP'si ile birleştirilmiş şifre.
SMS ile kimlik doğrulama
SMS ile kimlik doğrulama, kayıtlı kullanıcının bir alan adı ile SMS ile altı basamaklı kimlik doğrulama kodu. Kullanıcı SMS'i aldıktan sonra, Kimlik doğrulama kodunu uygulamaya veya web sitesine girebilirler.
Apple, iOS'in SMS mesajlarını okumasına ve kimlik doğrulama önermesine uzun süre izin verdi
kodları kullanır. Son zamanlarda, reklamcılık projelerine olan
"tek seferlik kod" girişin autocomplete özelliğinde
öğesine dokunun. Android, Windows ve Mac'te Chrome aynı deneyimi sunabilir
WebOTP API'yi kullanarak.
Örneğin:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Her iki yaklaşım da alan adını dahil ederek kimlik avını önlemek için tasarlanmıştır. SMS gövdesi ve yalnızca belirtilen alan için öneri sağlama.
WebOTP API ve autocomplete="one-time-code" hakkında daha fazla bilgi için
SMS OTP formu en iyi uygulamaları başlıklı makaleyi inceleyin.
WebAuthn ile FIDO
WebAuthn özellikli FIDO, ortak anahtar oluşturmak için bir donanım kimlik doğrulayıcı kullanır sahip olduğunu kanıtlamaktır. Akıllı telefon Bu kimlik doğrulayıcı, biyometrik kimlik doğrulama (ör. parmak izi sensörleri veya yüz tanıma) kullanın kimlik doğrulama. Bu durumda, yalnızca imza ve başarı göstergesi sunucuya gönderildiği için hiçbir riskin olmaması biyometrik veri hırsızlığının önü.
Aşağıdaki şemada FIDO için sunucu-istemci yapılandırması gösterilmektedir. İlgili içeriği oluşturmak için kullanılan İstemci kimlik doğrulayıcı, kullanıcının kimliğini biyometri ile doğrular ve bir sonuç elde edersiniz. Belge oluşturmak için kullanılan özel anahtar imza, TEE (Güvenilir Yürütme Ortamı) içinde güvenli bir şekilde saklanır. veya benzer bir yer. FIDO kullanan bir servis sağlayıcıya RP denir. (bağımlı taraf)
Kullanıcı kimlik doğrulamayı gerçekleştirdikten sonra (genellikle biyometrik tarama veya PIN ile), kimlik doğrulayıcı tarayıcıya imzalı bir doğrulama sinyali göndermek için özel bir anahtar kullanır. Daha sonra tarayıcı bu sinyali RP'nin web sitesiyle paylaşır.
Daha sonra RP web sitesi, imzalı doğrulama sinyalini Kısıtlanmış Taraf'ın sunucusuna gönderir. Böylece, kimlik doğrulamayı tamamlamak için ortak anahtarla karşılaştırılarak imza doğrulanır.
Daha fazla bilgi için FIDO Alliance'ın kimlik doğrulama yönergeleri.
Yahoo! JAPAN, Android (mobil uygulama ve web), iOS (mobil uygulama) üzerinde FIDO'yu destekler. ve web), Windows (Edge, Chrome, Firefox) ve macOS (Safari, Chrome). Kullanıcı gibi bir hizmet olan FIDO, neredeyse her cihazda kullanılabilir ve dolayısıyla iyi bir seçenektir. şifresiz kimlik doğrulamayı tanıtma seçeneğini kullanırsınız.
Yahoo! JAPAN tarafından webAuthn ile FIDO'ya kaydolması önerilir. kimlik doğrulaması yapılmamıştır. Kullanıcının giriş yapması gerektiğinde girdiklerinde, biyometrik sensör kullanarak hızlı bir şekilde kimlik doğrulaması yapabilirler.
Kullanıcılar, giriş yapmak için kullandıkları tüm cihazlarda FIDO kimlik doğrulamasını ayarlamalıdır Yahoo! JAPONYA.
Şifresiz kimlik doğrulamayı teşvik etmek ve kimlik avı yapan kullanıcılara karşı şifre kullanmayı bırakmaya yönelik birden çok yöntem kimlik doğrulama. Bu, farklı kullanıcıların farklı kimlik doğrulama yöntemi ayarları ve kullanabilecekleri kimlik doğrulama yöntemleri tarayıcıdan tarayıcıya farklılık gösterebilir. Bunun daha iyi bir deneyim olacağına inanıyoruz. Kullanıcılar her seferinde aynı kimlik doğrulama yöntemini kullanarak giriş yapar.
Bu şartları karşılamak için kimlik doğrulama işlemini önceden takip etmek gerekir. yöntemleri kullanarak saklayarak bu bilgileri müşteriyle çerezler vb. kullanabilir. Böylece, farklı tarayıcıların ve uygulamaların kimlik doğrulama için kullanılır. Kullanıcıdan kullanıcı ayarlarına göre kimlik doğrulama, önceki ve gereken minimum kimlik doğrulama düzeyi gibi bilgilere yer verir.
2. Şifreyi devre dışı bırakma
Yahoo! JAPAN, kullanıcılardan alternatif bir kimlik doğrulama yöntemi ayarlamalarını ister ve ardından şifresini devre dışı bırakarak kullanılamaz. Doğru aracı belirlemenin yanı sıra alternatif kimlik doğrulamayı etkinleştirme, şifre kimlik doğrulamasını devre dışı bırakma (bu nedenle oturum açmayı imkansız hale getirmek gibi), kullanıcıların saldırılardan biridir.
Kullanıcıları şifreler.
- Kullanıcılar şifrelerini sıfırladığında alternatif kimlik doğrulama yöntemlerini tanıtma.
- Kullanıcıları kullanımı kolay kimlik doğrulama yöntemleri (ör. FIDO) kullanabilir ve sık sık erişim gerektiren durumlarda şifreleri devre dışı bırakabilirsiniz kimlik doğrulama.
- Kullanıcılardan yüksek riskli hizmetleri kullanmadan önce şifrelerini devre dışı bırakmalarını istemek, hedef e-ticaret ödemeleridir.
Şifresini unutan bir kullanıcı, hesap kurtarma işlemi gerçekleştirebilir. Önceden şifre sıfırlama işlemi gerektiriyordu. Artık kullanıcılar farklı bir ve bunu yapmalarını öneriyoruz.
3. Şifresiz hesap kaydı
Yeni kullanıcılar şifre olmadan Yahoo! JAPAN hesapları. Kullanıcılar önceliklidir SMS ile kimlik doğrulama ile kaydolmak için gereklidir. Giriş yaptıktan sonra, kullanıcıyı FIDO kimlik doğrulamasını ayarlamaya teşvik edin.
FIDO cihaz başına bir ayar olduğundan hesap kurtarmak zor olabilir. ve çalışır durumda olmamalıdır. Bu nedenle, kullanıcıların kişisel bilgilerini ek bir kimlik doğrulama ayarı yapıldıktan sonra bile telefon numarası kaydedilemez.
Şifresiz kimlik doğrulama için temel giriş sorgulamaları
Şifreler insan belleğine dayanır ve cihazdan bağımsızdır. Diğer yandan şifresiz girişimimizde şimdiye kadar kullanılan kimlik doğrulama yöntemlerini cihaza bağlıdır. Bu, çeşitli zorlukları beraberinde getirir.
Birden fazla cihaz kullanıldığında, kullanılabilirlikle ilgili bazı sorunlar ortaya çıkar:
- Bilgisayardan giriş yapmak için SMS ile kimlik doğrulamayı kullanırken kullanıcıların giriş yaparken kullandıkları gelen SMS mesajları için cep telefonu. Bu durum zahmetli olabileceği için kullanıcının telefonunun kullanılabilir ve her zaman kolayca erişilebilir olmasını gerektirir.
- FIDO ile, özellikle de platform kimlik doğrulayıcıları söz konusu olduğunda, birden fazla kayıtlı olmayan cihazlarda kimlik doğrulaması yapılamaz. Kullanmayı amaçladıkları her cihaz için kayıt işlemi tamamlanmalıdır.
FIDO kimlik doğrulaması belirli cihazlara bağlıdır ve bu nedenle bu cihazların kullanıcının sahip olduğu ve aktif olduğu durumlar.
- Hizmet sözleşmesi iptal edilirse artık Kayıtlı telefon numarasına SMS mesajları.
- FIDO, özel anahtarları belirli bir cihazda depolar. Cihaz kaybolursa anahtarları kullanılamıyor.
Yahoo! JAPAN bu sorunları gidermek için çeşitli adımlar atmaktadır.
En önemli çözüm, kullanıcıları birden çok etiket oluşturmaya teşvik etmektir. kimlik doğrulama yöntemlerinden birini seçin. Bu, cihazlar aşağıdaki durumlarda alternatif hesap erişimi sağlar: emin olun. FIDO anahtarları cihaza bağlı olduğundan aşağıdakileri yapmak da iyi bir uygulamadır: FIDO özel anahtarlarını birden fazla cihazda kaydedebilirsiniz.
Alternatif olarak, kullanıcılar SMS doğrulamasını geçmek için WebOTP API'yi kullanabilir. kodları Android telefondan PC'deki Chrome'a bağlayabilirsiniz.
Bu sorunların ele alınmasının daha da önemli hale geleceğine inanıyoruz. şifresiz kimlik doğrulama yayılır.
Şifresiz kimlik doğrulamayı tanıtma
Yahoo! JAPAN, 2015'ten beri bu şifresiz girişimler üzerinde çalışmaktadır. Bu süreç, Mayıs 2015'te FIDO sunucu sertifikasının alınmasıyla başladı. ardından SMS ile kimlik doğrulama, şifrenin devre dışı bırakılması ve özelliğini ve FIDO desteğini kullanabilirsiniz.
Bugün 30 milyondan fazla aylık etkin kullanıcı şifre olmayan kimlik doğrulama yöntemlerini kullanıyor. Yahoo! JAPAN's FIDO desteği Android üzerinde Chrome ile başladı ve şimdi 10 milyondan fazla kullanıcıları FIDO kimlik doğrulamasını ayarlamış olmalıdır.
Yahoo! JAPONYA'nın girişimleri, sorguların yüzdesi (%25), unutulan giriş kimliklerinin veya şifrelerin en yüksek olduğu dönemdeyiz ve 2024 yılı boyunca sonucunda yetkisiz erişimin reddedildiğini şifresiz hesap sayısında artış yaşandı.
FIDO kurulumu çok kolay olduğu için özellikle yüksek bir dönüşüm oranına sahiptir. Hatta Yahoo! JAPAN, FIDO'nun SMS'ten daha yüksek DO'ya sahip olduğunu tespit etti. kimlik doğrulama.
25 %
Unutulan kimlik bilgileri için yapılan isteklerde azalma
74 %
Kullanıcılar FIDO kimlik doğrulamasıyla başarılı
65 %
SMS doğrulamasıyla tamamlandı
FIDO, SMS ile kimlik doğrulamadan daha yüksek bir başarı oranı ve daha hızlı ortalama
kimlik doğrulama süresi ortanca değeri. Şifrelerde ise bazı gruplarda
sırasında tarayıcı tarafından kontrol edilir ve bunun tarayıcının
autocomplete="current-password".
Şifresiz hesaplar sunmanın en büyük zorluğu da Ancak kimlik doğrulayıcıların kullanımını popüler hale getirme. Şifresiz bir hizmetten kullanıcı dostu olarak yararlanamıyorsanız kolay olmayacaktır.
Güvenliği artırmak için önce kullanılabilirliği, Bu da her hizmet için benzersiz yenilikler gerektiriyor.
Sonuç
Şifre kimlik doğrulaması güvenlik açısından risklidir ve aynı zamanda birtakım zorluklara da yer veriyor. Destekleyen teknolojiler WebOTP API ve FIDO gibi şifresiz kimlik doğrulama yöntemleri, günümüzde Şifresiz kimlik doğrulama için çalışmaya başlamanın zamanı gelmiş demektir.
Yahoo! bu yaklaşımı benimsemek her iki taraf da üzerinde kesin bir etkiye kullanılabilirlik ve güvenlik. Ancak birçok kullanıcı hâlâ şifre kullanıyor. Bu yüzden daha fazla kullanıcıyı şifresiz kimlik doğrulamasına geçmeye teşvik etmeye devam edecek yöntemlerine göz atın. Ayrıca, kullanıcılarımızın deneyimini optimize etmek için ürünlerimizi tecrübe edindiğinizi düşünün.
Fotoğrafçı: olieman.eth, Unsplash