Erfahren Sie mehr darüber, wie Yahoo! Japan hat ein passwortloses Identitätssystem entwickelt.
Yahoo! JAPAN ist eines der größten Medienunternehmen Japans mit Dienstleistungen wie Suche, Nachrichten, E-Commerce und E-Mail. Über 50 Millionen Nutzer melden sich bei Yahoo! JAPAN Dienste jeden Monat.
Im Laufe der Jahre gab es viele Angriffe auf Nutzerkonten und Probleme, die zum Verlust des Kontozugriffs führten. Die meisten dieser Probleme bezogen sich auf die Nutzung von Passwörtern zur Authentifizierung.
Aufgrund der jüngsten Fortschritte in der Authentifizierungstechnologie, Yahoo! JAPAN hat beschlossen, von der passwortbasierten zur passwortlosen Authentifizierung zu wechseln.
Warum ohne Passwort?
Da Yahoo! JAPAN E-Commerce und andere geldbezogene Dienstleistungen anbietet, besteht das Risiko eines erheblichen Schadens für Nutzer bei unbefugtem Zugriff oder Kontoverlust.
Die häufigsten Angriffe im Zusammenhang mit Passwörtern waren Angriffe auf Passwortlisten und Phishing. Einer der Gründe für häufige und wirksame Angriffe auf Passwortlisten liegt darin, dass viele Menschen dasselbe Passwort für mehrere Anwendungen und Websites verwenden.
Die folgenden Zahlen sind die Ergebnisse einer von Yahoo! durchgeführten Umfrage. JAPAN
50 %
dieselbe ID und dasselbe Passwort auf sechs oder mehr Websites verwenden
60 %
Dasselbe Passwort auf mehreren Websites verwenden
70 %
ein Passwort als primäre Anmeldemöglichkeit verwenden
Nutzer vergessen oft ihre Passwörter, was für die Mehrheit der passwortbezogenen Anfragen verantwortlich war. Es gab auch Anfragen von Nutzern, die nicht nur ihre Passwörter, sondern auch die Log-in-ID vergessen hatten. Zu Spitzenzeiten machten diese Anfragen mehr als ein Drittel aller kontobezogenen Anfragen aus.
Da Yahoo! JAPAN wollte nicht nur die Sicherheit, sondern auch die Nutzerfreundlichkeit verbessern, ohne die Nutzer zusätzlich zu belasten.
Aus Sicherheitsgründen wird durch das Entfernen von Passwörtern aus dem Nutzerauthentifizierungsprozess der Schaden durch listenbasierte Angriffe reduziert. Aus Sicht der Nutzerfreundlichkeit wird durch die Bereitstellung einer Authentifizierungsmethode, bei der keine Passwörter gespeichert werden, Situationen verhindert, in denen sich ein Nutzer nicht anmelden kann, weil er sein Passwort vergessen hat.
Yahoo! Initiativen ohne Passwort in JAPAN
Yahoo! JAPAN ergreift eine Reihe von Maßnahmen zur Förderung der passwortlosen Authentifizierung, die sich grob in drei Kategorien unterteilen lassen:
- Bieten Sie eine alternative Möglichkeit zur Authentifizierung von Passwörtern.
- Passwortdeaktivierung
- Passwortlose Kontoregistrierung.
Die ersten beiden Initiativen zielten auf bestehende Nutzer ab, während die passwortlose Registrierung auf neue Nutzer ausgerichtet war.
1. Alternative Authentifizierungsmethoden für Passwörter bereitstellen
Yahoo! JAPAN bietet folgende Alternativen zu Passwörtern an.
Darüber hinaus bieten wir auch Authentifizierungsmethoden wie E-Mail-Authentifizierung, Passwort in Kombination mit SMS-OTP (Einmalpasswort) und Passwort in Kombination mit E-Mail-OTP.
SMS-Authentifizierung
Die SMS-Authentifizierung ist ein System, mit dem ein registrierter Nutzer einen sechsstelligen Authentifizierungscode per SMS erhalten kann. Sobald der Nutzer die SMS erhält, kann er den Authentifizierungscode in der App oder auf der Website eingeben.
Apple erlaubt iOS schon lange, SMS zu lesen und Authentifizierungscodes aus dem Text vorzuschlagen. Seit Kurzem ist es möglich, Vorschläge zu verwenden, indem im Attribut autocomplete des Eingabeelements "einmaliger Code" angegeben wird. Chrome unter Android, Windows und Mac ermöglicht die gleiche Nutzung mithilfe der WebOTP API.
Beispiel:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Beide Ansätze sind darauf ausgelegt, Phishing zu verhindern, indem die Domain in den SMS-Text aufgenommen und nur Vorschläge für die angegebene Domain bereitgestellt werden.
Weitere Informationen zur WebOTP API und autocomplete="one-time-code" findest du in den Best Practices für SMS-OTP-Formulare.
FIDO mit WebAuthn
FIDO mit WebAuthn verwendet einen Hardware-Authenticator, um ein Public-Key-Chiffrepaar zu generieren und seinen Besitz nachzuweisen. Wenn ein Smartphone zur Authentifizierung verwendet wird, kann es mit biometrischer Authentifizierung (z. B. Fingerabdrucksensoren oder Gesichtserkennung) kombiniert werden, um eine zweistufige Authentifizierung in einem Schritt durchzuführen. In diesem Fall werden nur die Signatur und die Erfolgsmeldung der biometrischen Authentifizierung an den Server gesendet, sodass kein Risiko des Diebstahls biometrischer Daten besteht.
Das folgende Diagramm zeigt die Server-Client-Konfiguration für FIDO. Der Client-Authenticator authentifiziert den Nutzer mit biometrischen Verfahren und signiert das Ergebnis mit Public-Key-Kryptografie. Der zum Erstellen der Signatur verwendete private Schlüssel wird sicher an einem TEE (Trusted Execution Environment) oder einem ähnlichen Speicherort gespeichert. Ein Dienstanbieter, der FIDO verwendet, wird als RP (vertrauenswürdige Partei) bezeichnet.
Sobald der Nutzer die Authentifizierung durchführt (meist mit einem biometrischen Scan oder einer PIN), verwendet der Authenticator einen privaten Schlüssel, um ein signiertes Bestätigungssignal an den Browser zu senden. Der Browser gibt dieses Signal dann an die Website des RP weiter.
Die RP-Website sendet dann das signierte Bestätigungssignal an den Server des RP, der die Signatur anhand des öffentlichen Schlüssels prüft, um die Authentifizierung abzuschließen.
Weitere Informationen finden Sie in den Authentifizierungsrichtlinien der FIDO Alliance.
Yahoo! JAPAN unterstützt FIDO unter Android (mobile App und Web), iOS (mobile App und Web), Windows (Edge, Chrome, Firefox) und macOS (Safari, Chrome). Da FIDO als Verbraucherdienst auf fast jedem Gerät verwendet werden kann, eignet sich diese Methode gut zur Förderung der passwortlosen Authentifizierung.
Yahoo! JAPAN empfiehlt Nutzern, sich mit WebAuthn für FIDO zu registrieren, wenn sie sich noch nicht auf andere Weise authentifiziert haben. Wenn sich ein Nutzer mit demselben Gerät anmelden muss, kann er sich schnell mit einem biometrischen Sensor authentifizieren.
Nutzer müssen die FIDO-Authentifizierung mit allen Geräten einrichten, mit denen sie sich in Yahoo! anmelden. JAPAN
Um die passwortlose Authentifizierung zu fördern und bei Nutzern, die Passwörter nicht verwenden, Rücksicht nehmen zu können, bieten wir mehrere Authentifizierungsmethoden. Das bedeutet, dass verschiedene Nutzer unterschiedliche Einstellungen für die Authentifizierungsmethode haben können und die Authentifizierungsmethoden, die sie verwenden können, von Browser zu Browser unterschiedlich sein können. Wir sind der Meinung, dass es besser ist, wenn sich Nutzer jedes Mal mit derselben Authentifizierungsmethode anmelden.
Um diese Anforderungen zu erfüllen, müssen frühere Authentifizierungsmethoden verfolgt und diese Informationen mit dem Client verknüpft werden, indem sie in Form von Cookies usw. gespeichert werden. Wir können dann analysieren, wie verschiedene Browser und Anwendungen zur Authentifizierung verwendet werden. Der Nutzer wird aufgefordert, basierend auf den Einstellungen des Nutzers, den zuvor verwendeten Authentifizierungsmethoden und dem erforderlichen Mindestniveau der Authentifizierung eine entsprechende Authentifizierung vorzunehmen.
2. Passwortdeaktivierung
Yahoo! JAPAN fordert die Nutzer auf, eine alternative Authentifizierungsmethode einzurichten und dann ihr Passwort zu deaktivieren, damit es nicht verwendet werden kann. Zusätzlich zur Einrichtung einer alternativen Authentifizierung können Sie Nutzer vor listenbasierten Angriffen schützen, indem Sie die Passwortauthentifizierung deaktivieren, sodass eine Anmeldung nicht nur mit einem Passwort möglich ist.
Wir haben die folgenden Schritte unternommen, um Nutzer dazu zu ermutigen, ihre Passwörter zu deaktivieren.
- Werbung für alternative Authentifizierungsmethoden, wenn Nutzer ihre Passwörter zurücksetzen
- Ermutigen Sie Nutzer, nutzerfreundliche Authentifizierungsmethoden (z. B. FIDO) einzurichten und Passwörter für Situationen zu deaktivieren, in denen eine häufige Authentifizierung erforderlich ist.
- Nutzer dazu auffordern, ihre Passwörter zu deaktivieren, bevor sie Dienste mit hohem Risiko nutzen, z. B. E-Commerce-Zahlungen.
Wenn ein Nutzer sein Passwort vergisst, kann er eine Kontowiederherstellung durchführen. Bisher musste das Passwort zurückgesetzt werden. Nutzer können jetzt eine andere Authentifizierungsmethode einrichten. Wir empfehlen ihnen, dies nachzuholen.
3. Passwortlose Kontoregistrierung
Neue Nutzer können passwortfreie Yahoo!- JAPAN-Konten. Nutzer müssen sich zuerst mit einer SMS-Authentifizierung registrieren. Nach der Anmeldung empfehlen wir dem Nutzer, die FIDO-Authentifizierung einzurichten.
Da FIDO eine gerätespezifische Einstellung ist, kann es schwierig sein, ein Konto wiederherzustellen, sollte das Gerät nicht mehr funktionieren. Daher müssen Nutzer ihre Telefonnummer registriert lassen, auch nachdem sie eine zusätzliche Authentifizierung eingerichtet haben.
Wichtige Herausforderungen bei der passwortlosen Authentifizierung
Passwörter sind geräteunabhängig und basieren auf dem menschlichen Gedächtnis. Andererseits sind die bisher in unserer Initiative ohne Passwort eingeführten Authentifizierungsmethoden geräteabhängig. Dies wirft verschiedene Herausforderungen mit sich.
Wenn mehrere Geräte verwendet werden, gibt es einige Probleme im Zusammenhang mit der Nutzerfreundlichkeit:
- Wenn sich Nutzer mithilfe der SMS-Authentifizierung über einen PC anmelden, müssen sie auf ihrem Mobiltelefon nach eingehenden SMS suchen. Dies kann umständlich sein, da das Smartphone des Nutzers dafür verfügbar und jederzeit leicht zugänglich sein muss.
- Mit FIDO, insbesondere mit Plattform-Authentifikatoren, kann sich ein Nutzer mit mehreren Geräten nicht auf nicht registrierten Geräten authentifizieren. Sie müssen sich für jedes Gerät registrieren, das sie verwenden möchten.
Die FIDO-Authentifizierung ist an bestimmte Geräte gebunden. Dies erfordert, dass sie im Besitz des Nutzers bleiben und aktiv sind.
- Wenn der Servicevertrag gekündigt wird, können keine SMS mehr an die registrierte Telefonnummer gesendet werden.
- FIDO speichert private Schlüssel auf einem bestimmten Gerät. Wenn das Gerät verloren geht, sind diese Schlüssel unbrauchbar.
Yahoo! JAPAN unternimmt verschiedene Schritte, um diese Probleme anzugehen.
Die wichtigste Lösung besteht darin, Nutzer dazu zu ermutigen, mehrere Authentifizierungsmethoden einzurichten. Dies ermöglicht einen alternativen Kontozugriff, wenn Geräte verloren gehen. Da FIDO-Schlüssel geräteabhängig sind, empfiehlt es sich auch, private FIDO-Schlüssel auf mehreren Geräten zu registrieren.
Alternativ können Nutzer die WebOTP API verwenden, um SMS-Bestätigungscodes von einem Android-Smartphone an Chrome auf einem PC zu übergeben.
Wir sind davon überzeugt, dass die Behebung dieser Probleme durch die Verbreitung der Authentifizierung ohne Passwort noch wichtiger wird.
Passwortlose Authentifizierung fördern
Yahoo! JAPAN arbeitet seit 2015 an Initiativen ohne Passwort. Dies begann mit der Erlangung der FIDO-Serverzertifizierung im Mai 2015, gefolgt von der Einführung der SMS-Authentifizierung, einer Funktion zur Passwortdeaktivierung und der FIDO-Unterstützung für jedes Gerät.
Inzwischen haben mehr als 30 Millionen monatlich aktive Nutzer ihre Passwörter bereits deaktiviert und verwenden Authentifizierungsmethoden ohne Passwort. Yahoo! JAPAN unterstützt FIDO zunächst mit Chrome unter Android. Inzwischen haben mehr als 10 Millionen Nutzer die FIDO-Authentifizierung eingerichtet.
Infolge von Yahoo! Japans Initiativen durchgeführt hat, ist der Prozentsatz der Anfragen zu vergessenen Log-in-IDs oder Passwörtern im Vergleich zum Zeitraum, in dem die Anzahl dieser Anfragen am höchsten war, um 25% gesunken. Außerdem konnten wir bestätigen, dass der unbefugte Zugriff durch die Zunahme der Anzahl passwortloser Konten zurückgegangen ist.
Da FIDO so einfach einzurichten ist, hat es eine besonders hohe Conversion-Rate. Yahoo! JAPAN hat festgestellt, dass FIDO eine höhere CVR als die SMS-Authentifizierung hat.
25 %
Weniger Anfragen für vergessene Anmeldedaten
74 %
Nutzer sind mit FIDO-Authentifizierung erfolgreich
65 %
Erfolgreiche SMS-Bestätigung
FIDO hat eine höhere Erfolgsquote als die SMS-Authentifizierung sowie schnellere durchschnittliche und mittlere Authentifizierungszeiten. In Bezug auf Passwörter haben einige Gruppen kurze Authentifizierungszeiten. Wir vermuten, dass dies am autocomplete="current-password" des Browsers liegt.
Die größte Schwierigkeit beim Anbieten von Konten ohne Passwort besteht nicht im Hinzufügen von Authentifizierungsmethoden, sondern darin, die Verwendung von Authenticatoren bekannt zu machen. Wenn die Nutzung eines passwortlosen Dienstes nicht nutzerfreundlich ist, wird der Wechsel nicht einfach sein.
Wir sind der Überzeugung, dass wir für mehr Sicherheit zuerst die Nutzerfreundlichkeit verbessern müssen. Dafür sind für jeden Dienst einzigartige Innovationen erforderlich.
Fazit
Die Passwortauthentifizierung ist sowohl in Bezug auf die Sicherheit als auch in Bezug auf die Nutzerfreundlichkeit ein Problem. Da Technologien, die die Authentifizierung ohne Passwort unterstützen, wie die WebOTP API und FIDO, mittlerweile weiter verbreitet sind, ist es an der Zeit, eine passwortlose Authentifizierung zu entwickeln.
Bei Yahoo! JAPAN hat sich dieser Ansatz eindeutig auf die Nutzerfreundlichkeit und die Sicherheit ausgewirkt. Viele Nutzer verwenden jedoch weiterhin Passwörter. Daher werden wir mehr Nutzer dazu ermuntern, zu Authentifizierungsmethoden ohne Passwort zu wechseln. Wir werden auch weiterhin unsere Produkte verbessern, um die Nutzererfahrung für Authentifizierungsmethoden ohne Passwort zu optimieren.
Foto von olieman.eth auf Unsplash