מידע נוסף על האופן שבו מערכת Yahoo! ביפן יש מערכת זהויות ללא סיסמאות.
מזהה העסק JAPAN היא אחת מחברות המדיה הגדולות ביותר ביפן, ומספקת שירותים כמו חיפוש, חדשות, מסחר אלקטרוני ואימייל. יותר מ-50 מיליון משתמשים מתחברים ל-Yahoo! JAPAN בכל חודש.
במהלך השנים היו הרבה התקפות על חשבונות משתמשים ובעיות שהובילו לאובדן הגישה לחשבון. רוב הבעיות האלה היו קשורות לשימוש בסיסמה לצורך אימות.
עם הפיתוחים האחרונים בטכנולוגיית האימות, החליטו לעבור מאימות המבוסס על סיסמה לאימות ללא סיסמה.
למה ללא סיסמה?
מכיוון שמערכת Yahoo! Japan מספק מסחר אלקטרוני ושירותים אחרים שקשורים לכסף, וקיים סיכון משמעותי לגרימת נזק משמעותי למשתמשים במקרה של גישה לא מורשית או אובדן חשבון.
ההתקפות הנפוצות ביותר שקשורות לסיסמאות היו התקפות של רשימות סיסמאות ותרמיות פישינג. אחת הסיבות לכך שהתקפות על סמך רשימות סיסמאות הן נפוצות ויעילות היא שיש אנשים רבים שמתרגלים להשתמש באותה סיסמה באפליקציות ובאתרים רבים.
הנתונים הבאים הם תוצאות של סקר שבוצע על ידי Yahoo! Japan.
%50
להשתמש באותו מזהה וסיסמה בשישה אתרים או יותר
%60
שימוש באותה סיסמה במספר אתרים
%70
להשתמש בסיסמה כאמצעי הראשי להתחברות
הרבה פעמים משתמשים שוכחים את הסיסמאות שלהם, וזו הסיבה לרוב הבדיקות שקשורות לסיסמאות. היו גם שאלות ממשתמשים ששכחו את מזהי ההתחברות שלהם בנוסף לסיסמאות שלהם. בשיאן, הבדיקות האלה היוו יותר משליש מכל הבדיקות שקשורות לחשבון.
מעבר ללא סיסמה, Yahoo! JAPAN המטרה שלהם הייתה לשפר לא רק את האבטחה, אלא גם את נוחות השימוש, בלי ליצור עומס נוסף על המשתמשים.
מנקודת מבט של אבטחה, ביטול הסיסמאות בתהליך האימות של המשתמשים מפחית את הנזק מהתקפות על סמך רשימות, ומנקודת מבט של נוחות השימוש, יצירת שיטת אימות שלא מסתמכת על זכירת סיסמאות מונעת מצבים שבהם משתמש לא יכול להתחבר כי הוא שכח את הסיסמה.
מזהה העסק היוזמות של JAPAN ללא סיסמה
מזהה העסק JAPAN יש כמה פעולות שצריך לבצע כדי לקדם אימות ללא סיסמאות. אפשר לחלק את התהליך לשלוש קטגוריות:
- יש לספק אמצעי אימות חלופיים לסיסמאות.
- השבתה של סיסמה.
- רישום לחשבון ללא סיסמה.
שתי היוזמות הראשונות שמיועדות למשתמשים קיימים, ואילו הרשמה ללא סיסמה מיועדת למשתמשים חדשים.
1. מתן אמצעי אימות חלופיים לסיסמאות
מזהה העסק JAPAN מציע את החלופות הבאות לסיסמאות.
נוסף על כך, אנחנו מציעים גם שיטות אימות כמו אימות אימייל, סיסמה משולבת עם SMS OTP (סיסמה חד-פעמית) וסיסמה בשילוב עם OTP באימייל.
אימות באמצעות SMS
אימות באמצעות SMS הוא מערכת שמאפשרת למשתמש רשום לקבל קוד אימות בן 6 ספרות באמצעות SMS. כשהמשתמש יקבל את ה-SMS, הוא יוכל להזין את קוד האימות באפליקציה או באתר.
כבר זמן רב Apple מאפשרת ל-iOS לקרוא הודעות SMS ולהציע קודי אימות מגוף הטקסט. לאחרונה אפשר להשתמש בהצעות על ידי ציון 'קוד חד-פעמי' במאפיין autocomplete של רכיב הקלט. Chrome ב-Android, ב-Windows וב-Mac יכול לספק את אותה חוויית שימוש באמצעות WebOTP API.
למשל:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
שתי הגישות נועדו למנוע פישינג באמצעות הוספת הדומיין לגוף ה-SMS והצגת הצעות רק לדומיין שצוין.
למידע נוסף על WebOTP API ועל autocomplete="one-time-code", קראו את השיטות המומלצות לטופס ב-SMS OTP.
FIDO עם WebAuthn
בתהליך FIDO עם WebAuthn נעשה שימוש באימות חומרה כדי ליצור זוג צופן מפתחות ציבורי ולהוכיח את הבעלות שלכם. כשנעזרים בסמארטפון כמאמת חשבונות, אפשר לשלב אותו עם אימות ביומטרי (כמו חיישנים של טביעת אצבע או זיהוי פנים) כדי לבצע אימות דו-שלבי. במקרה כזה, רק החתימה והאינדיקציה להצלחה מהאימות הביומטרי יישלחו לשרת, כך שאין סיכון לגניבת הנתונים הביומטריים.
בתרשים הבא מוצגת התצורה של לקוח-שרת עבור FIDO. מאמת הלקוח מאמת את המשתמש באמצעות מידע ביומטרי וחותם על התוצאה באמצעות קריפטוגרפיה של מפתח ציבורי. המפתח הפרטי שמשמש ליצירת החתימה מאוחסן באופן מאובטח ב-TEE (סביבת מחשוב אמינה) או במיקום דומה. ספק שירות שמשתמש ב-FIDO נקרא RP (צד נסמך).
אחרי שהמשתמש מבצע את האימות (בדרך כלל באמצעות סריקה ביומטרית או קוד אימות), המאמת משתמש במפתח פרטי כדי לשלוח לדפדפן אות אימות חתום. לאחר מכן הדפדפן משתף את האות הזה עם האתר של הגורם המוגבל.
לאחר מכן, האתר של הגורם המוגבל שולח את אות האימות החתום לשרת של הגורם המוגבל, שמאמת את החתימה מול המפתח הציבורי כדי להשלים את האימות.
למידע נוסף, אפשר לקרוא את הנחיות האימות של FIDO Alliance.
מזהה העסק JAPAN תומך ב-FIDO ב-Android (אפליקציות לנייד ואינטרנט), ב-iOS (אפליקציות לנייד ואינטרנט), ב-Windows (Edge, Chrome, Firefox) וב-macOS (Safari, Chrome). כשירות לצרכנים, אפשר להשתמש ב-FIDO כמעט בכל מכשיר, ולכן זו אפשרות טובה לקידום אימות ללא סיסמה.
מזהה העסק JAPAN ממליץ למשתמשים להירשם ל-FIDO ב-WebAuthn אם הם לא אומתו באמצעים אחרים. כשמשתמשים צריכים להתחבר לאותו מכשיר, הם יכולים לבצע אימות במהירות באמצעות חיישן ביומטרי.
המשתמשים חייבים להגדיר אימות FIDO בכל המכשירים שבהם הם משתמשים כדי להתחבר ל-Yahoo! Japan.
כדי לקדם אימות ללא סיסמה ולהתחשב במשתמשים שעוזבים את הסיסמאות, אנחנו מספקים מספר אמצעי אימות. כלומר, למשתמשים שונים יכולות להיות הגדרות שונות של שיטות אימות, ושיטות האימות שבהן הם יכולים להשתמש עשויות להשתנות מדפדפן לדפדפן. אנחנו מאמינים שחוויה טובה יותר אם משתמשים מתחברים באמצעות אותה שיטת אימות בכל פעם.
כדי לעמוד בדרישות האלה צריך לעקוב אחרי שיטות האימות הקודמות ולקשר את המידע ללקוח, על ידי אחסונו בקובצי cookie וכו'. לאחר מכן נוכל לנתח את השימוש באפליקציות ובדפדפנים שונים לצורך אימות. המשתמש מתבקש לספק את האימות המתאים על סמך הגדרות המשתמש, שיטות האימות הקודמות ורמת האימות המינימלית הנדרשת.
2. השבתה של סיסמה
מזהה העסק Japan מבקש מהמשתמשים להגדיר שיטת אימות חלופית ואז להשבית את הסיסמה שלהם כדי שלא ניתן יהיה להשתמש בה. בנוסף להגדרת אימות חלופי, השבתה של אימות באמצעות סיסמה (כלומר אי אפשר להיכנס באמצעות סיסמה בלבד) עוזרת להגן על המשתמשים מפני מתקפות המבוססות על רשימות.
נקטנו את הצעדים הבאים כדי לעודד משתמשים להשבית את הסיסמאות שלהם.
- קידום שיטות אימות חלופיות כשמשתמשים מאפסים את הסיסמאות שלהם.
- לעודד משתמשים להגדיר שיטות אימות נוחות (כמו FIDO) ולהשבית סיסמאות במצבים שבהם נדרש אימות תדיר.
- עידוד משתמשים להשבית את הסיסמאות שלהם לפני שימוש בשירותים בסיכון גבוה, כמו תשלומים במסחר אלקטרוני.
אם משתמשים שוכחים את הסיסמה, הם יכולים להריץ שחזור חשבון. בעבר זה כלל איפוס סיסמה. המשתמשים יכולים לבחור עכשיו להגדיר שיטת אימות שונה, ואנחנו ממליצים להם לעשות זאת.
3. רישום לחשבון ללא סיסמה
משתמשים חדשים יכולים ליצור חשבונות Yahoo! Japan. המשתמשים יצטרכו קודם להירשם באמצעות אימות באמצעות SMS. לאחר ההתחברות, אנחנו ממליצים למשתמש להגדיר אימות מסוג FIDO.
מאחר שההגדרה FIDO מוגדרת בכל מכשיר בנפרד, יכול להיות שיהיה קשה לשחזר חשבון אם לא תהיה אפשרות לתפעל את המכשיר. לכן אנחנו דורשים מהמשתמשים לשמור על מספר הטלפון שלהם רשום, גם אחרי שהם הגדירו אימות נוסף.
אתגרים מרכזיים לאימות ללא סיסמה
הסיסמאות מסתמכות על הזיכרון האנושי והן לא תלויות במכשיר. מצד שני, שיטות האימות שהשקנו עד כה ביוזמה שלנו ללא סיסמאות תלויות במכשיר. הדבר מציב כמה אתגרים.
כשמשתמשים בכמה מכשירים, יש כמה בעיות שקשורות לנוחות השימוש:
- כשמשתמשים באימות באמצעות SMS כדי להתחבר ממחשב, הם צריכים לבדוק אם יש הודעות SMS בטלפון הנייד. זה עלול להיות לא נוח, כי הטלפון של המשתמש חייב להיות זמין ולגשת בקלות בכל שלב.
- באמצעות FIDO, במיוחד עם מאמתי פלטפורמות, משתמש עם כמה מכשירים לא יוכל לבצע אימות במכשירים לא רשומים. יש להשלים את הרישום עבור כל מכשיר שהם מתכוונים להשתמש בו.
אימות FIDO מקושר למכשירים ספציפיים, ולכן הם צריכים להיות בבעלות המשתמש ופעילים.
- אם חוזה השירות יבוטל, לא תהיה יותר אפשרות לשלוח הודעות SMS למספר הטלפון הרשום.
- מערכת FIDO שומרת מפתחות פרטיים במכשיר ספציפי. אם המכשיר יאבד, אי אפשר להשתמש במפתחות האלה.
מזהה העסק JAPAN נוקט אמצעים שונים לטיפול בבעיות האלה.
הפתרון החשוב ביותר הוא לעודד את המשתמשים להגדיר כמה שיטות אימות. כך אפשר לקבל גישה חלופית לחשבון במקרה של אובדן מכשירים. מפתחות FIDO הם תלויי מכשיר, ולכן מומלץ גם לרשום מפתחות פרטיים מסוג FIDO במספר מכשירים.
לחלופין, המשתמשים יכולים להשתמש ב-WebOTP API כדי להעביר קודי אימות ב-SMS מטלפון Android ל-Chrome במחשב.
אנחנו מאמינים שטיפול בבעיות האלה יהיה אפילו חשוב יותר ככל שהאימות ללא סיסמה יתפשט.
קידום אימות ללא סיסמה
מזהה העסק JAPAN מפתחים את היוזמות האלה ללא סיסמה מאז 2015. זה התחיל עם קבלת אישור שרת FIDO במאי 2015, ואחריו נוספו אפשרויות אימות באמצעות SMS, תכונה להשבתת הסיסמאות ותמיכה ב-FIDO לכל מכשיר.
כיום, יותר מ-30 מיליון משתמשים פעילים בחודש כבר השביתו את הסיסמאות שלהם והם משתמשים בשיטות אימות שלא מבוססות על סיסמאות. מזהה העסק התמיכה של JAPAN ב-FIDO התחילה ב-Chrome ב-Android ועכשיו יותר מ-10 מיליון משתמשים הגדירו אימות מסוג FIDO.
כתוצאה מ-Yahoo! ביוזמות של JAPAN, אחוז הבדיקות שקשורות לסיסמאות או מזהי התחברות שנשכחו ירד ב-25% בהשוואה לתקופה שבה מספר הבדיקות האלה היה בשיא, והצלחנו גם לאשר שגישה לא מורשית ירדה כתוצאה מהעלייה במספר החשבונות ללא סיסמה.
מאחר שקל מאוד להגדיר FIDO, שיעור ההמרה שלו גבוה במיוחד. למעשה, מערכת Yahoo! JAPAN מצאו ששיעור ההמרות ב-FIDO גבוה יותר מאימות באמצעות SMS.
%25
ירידה במספר הבקשות לפרטי כניסה שנשכחו
%74
המשתמשים מצליחים עם אימות FIDO
%65
האימות באמצעות SMS בוצע בהצלחה
ל-FIDO יש שיעור הצלחה גבוה יותר מאימות באמצעות SMS, וזמני האימות הממוצעים והחציוניים מהירים יותר. בנוגע לסיסמאות, לחלק מהקבוצות יש זמני אימות קצרים, וסביר להניח שהסיבה לכך היא autocomplete="current-password" של הדפדפן.
הקושי הכי גדול בהגשת חשבונות ללא סיסמה הוא לא הוספה של שיטות אימות, אלא שימוש במאמתי חשבונות. אם חוויית השימוש בשירות ללא סיסמה לא תהיה ידידותית למשתמש, המעבר לא יהיה קל.
אנחנו מאמינים שכדי להשיג אבטחה משופרת, קודם עלינו לשפר את נוחות השימוש, מה שיחייב חידושים ייחודיים בכל שירות.
סיכום
אימות הסיסמה הוא מסוכן מבחינת האבטחה, והוא גם מהווה אתגרים מבחינת נוחות השימוש. כיום, הטכנולוגיות שתומכות באימות ללא סיסמה, כמו WebOTP API ו-FIDO, זמינות ליותר אנשים. זה הזמן להתחיל להשתמש באימות ללא סיסמה.
ב-Yahoo! לגישה הזו הייתה השפעה מובהקת על נוחות השימוש וגם על האבטחה. עם זאת, משתמשים רבים עדיין משתמשים בסיסמאות, לכן נמשיך לעודד יותר משתמשים לעבור לשיטות אימות ללא סיסמאות. בנוסף, נמשיך לשפר את המוצרים שלנו כדי לשפר את חוויית המשתמש בשיטות אימות ללא סיסמאות.
תמונה על ידי olieman.eth ב-UnFlood