A autenticação sem senha do Yahoo! JAPAN's autenticação sem senha reduziu as consultas em 25% e acelerou o tempo de login em 2,6 vezes

Saiba mais sobre como o Yahoo! Japan criou um sistema de identidade sem senha.

Campanhas do Yahoo! JAPAN é uma das maiores empresas de mídia do Japão, oferecendo como pesquisa, notícias, e-commerce e e-mail. Mais de 50 milhões de usuários fazer login no Yahoo! JAPAN todos os meses.

Ao longo dos anos, vários ataques a contas de usuários e problemas resultaram em à perda do acesso à conta. A maioria desses problemas estava relacionada ao uso de senhas para autenticação.

Com os recentes avanços na tecnologia de autenticação, o Yahoo! JAPAN decidiu para migrar da autenticação com base em senha para a sem senha.

Por que não usar senha?

Como o Yahoo! JAPAN oferece serviços de e-commerce e outros serviços monetários. Há um risco de danos significativos aos usuários no caso de acesso não autorizado ou perda de conta.

Os ataques mais comuns relacionados a senhas foram ataques de listas de senhas e golpes de phishing. Um dos motivos pelos quais os ataques de listas de senhas são comuns e eficaz é o hábito de muitas pessoas de usar a mesma senha por vários aplicativos e sites.

Os números a seguir são resultados de uma pesquisa realizada pelo Yahoo! Japan.

    50,00 %

    usam o mesmo ID e senha em seis ou mais sites

    60,00 %

    Usar a mesma senha em vários sites

    70 %

    usar uma senha como a principal maneira de fazer login

Muitas vezes, os usuários esquecem as senhas, o que representa a maioria consultas relacionadas a senhas. Também houve perguntas de usuários que tinham esqueceu os IDs de login e as senhas. No auge, esses consultas responderam por mais de um terço de todas as consultas relacionadas a contas.

Ao deixar de usar senha, o Yahoo! Japan tem como objetivo melhorar não só a segurança, além da usabilidade, sem colocar uma carga extra para os usuários.

Do ponto de vista da segurança, eliminar senhas do usuário de autenticação reduz os danos causados por ataques com base em listas e de uma de usabilidade, fornecendo um método de autenticação que não depende sobre memorização de senhas evita situações em que um usuário não consegue fazer login porque esqueceu a senha.

Campanhas do Yahoo! JAPAN

Campanhas do Yahoo! JAPAN está tomando uma série de medidas para promover o site sem senha que pode ser amplamente dividida em três categorias:

  1. Fornecem um meio de autenticação alternativo para as senhas.
  2. Desativação da senha.
  3. Registro de conta sem senha.

As duas primeiras iniciativas tinham como foco os usuários atuais, mas não tinham senha são direcionados a novos usuários.

1. Como fornecer um meio de autenticação alternativo para as senhas

Campanhas do Yahoo! JAPAN oferece as seguintes alternativas para senhas.

  1. Autenticação por SMS
  2. FIDO com WebAuthn

Além disso, também oferecemos métodos de autenticação, como autenticação por e-mail autenticação, senha combinada com OTP (senha única por SMS) e combinada com a OTP por e-mail.

Autenticação por SMS

A autenticação por SMS é um sistema que permite que um usuário registrado receba uma código de autenticação de seis dígitos por SMS. Depois que o usuário receber o SMS, inserir o código de autenticação no app ou site.

Há muito tempo, a Apple permite que o iOS leia mensagens SMS e sugira autenticação no corpo do texto. Recentemente, tornou-se possível usar sugestões especificando "código único" no atributo autocomplete da entrada . O Chrome no Android, Windows e Mac pode oferecer a mesma experiência usando a API WebOTP.

Exemplo:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

Ambas as abordagens foram desenvolvidas para evitar phishing por meio da inclusão do domínio em no corpo do SMS e fornecendo sugestões apenas para o domínio especificado.

Para mais informações sobre a API WebOTP e o autocomplete="one-time-code", confira as práticas recomendadas para formulários de OTP por SMS.

FIDO com WebAuthn

FIDO com WebAuthn usa um autenticador de hardware para gerar uma chave pública par de cifras e comprovar a posse. Quando um smartphone é usado autenticador, ela pode ser combinada com a autenticação biométrica (como sensores de impressão digital ou reconhecimento facial) para realizar a verificação de dois fatores em uma etapa autenticação. Nesse caso, apenas a assinatura e a indicação de sucesso da autenticação biométrica são enviadas ao servidor. Assim, não há risco do roubo de dados biométricos.

O diagrama a seguir mostra a configuração servidor-cliente para o FIDO. A O autenticador de cliente autentica o usuário com biometria e assina a usando a criptografia de chave pública. A chave privada usada para criar a assinatura é armazenada com segurança em um ambiente de execução confiável (TEE) ou em uma localização semelhante. Um provedor de serviços que usa FIDO é chamado de RP (parte confiável).

Depois que o usuário realiza a autenticação, normalmente com verificação biométrica ou PIN, o autenticador usa uma chave privada para enviar um sinal de verificação assinado ao navegador. O navegador, então, compartilha esse sinal com o site da parte restrita.

Em seguida, o site da RP envia o sinal de verificação assinado ao servidor da RP, que compara a assinatura com a chave pública para concluir a autenticação.

Para mais informações, leia diretrizes de autenticação da FIDO Alliance.

Campanhas do Yahoo! JAPAN é compatível com FIDO no Android (Web e app para dispositivos móveis), iOS (app para dispositivos móveis e Web), Windows (Edge, Chrome, Firefox) e macOS (Safari, Chrome). Como serviço ao consumidor, o FIDO pode ser usado em praticamente qualquer dispositivo, o que o torna uma boa para promover a autenticação sem senha.

Sistema operacional Suporte para FIDO
Android Apps, navegador (Chrome)
iOS Apps (iOS14 ou mais recente), navegador (Safari 14 ou mais recente)
Windows Navegador (Edge, Chrome, Firefox)
Mac (Big Sur ou posterior) Navegador (Safari, Chrome)
Exemplo de modelos de anúncios do Yahoo! JAPAN para autenticar com o FIDO.

Campanhas do Yahoo! Japan recomenda que os usuários se registrem no FIDO com o WebAuthn, caso já tenham ainda não autenticados por outros meios. Quando um usuário precisa fazer login com o mesmo dispositivo, eles podem se autenticar rapidamente usando um sensor biométrico.

Os usuários precisam configurar a autenticação FIDO com todos os dispositivos usados para fazer login no Anúncio do Yahoo! Japan.

Para promover a autenticação sem senha e ter cuidado com os usuários em vez de usar senhas, fornecemos vários meios de autenticação. Isso significa que diferentes usuários podem ter diferentes configurações de método de autenticação e os métodos de autenticação que podem ser usados podem variar de acordo com o navegador. Acreditamos que é uma experiência melhor os usuários fazem login sempre com o mesmo método de autenticação.

Para atender a esses requisitos, é necessário rastrear as autenticações e vinculam essas informações ao cliente, armazenando-as na forma de cookies etc. Podemos analisar como diferentes navegadores e aplicativos são para autenticação. O usuário é solicitado a fornecer informações com base nas configurações do usuário, a autenticação anterior métodos usados e o nível mínimo de autenticação necessário.

2. Desativação da senha

Campanhas do Yahoo! JAPAN pede que os usuários configurem um método de autenticação alternativo e então desative a senha para que ela não possa ser usada. Além de definir autenticação alternativa, desativando a autenticação por senha (portanto, impossibilitando o login somente com a senha) ajuda a proteger os usuários contra ataques baseados em listas.

Tomamos as seguintes medidas para incentivar os usuários a desativarem seus senhas.

  • Promover métodos alternativos de autenticação quando os usuários redefinirem as senhas.
  • Incentivar os usuários a configurar métodos de autenticação fáceis de usar (como FIDO) e desativar senhas para situações que exigem frequência autenticação.
  • Instruir os usuários a desativar as senhas antes de usar serviços de alto risco; como pagamentos de comércio eletrônico.

Se um usuário esquecer a senha, ele poderá executar uma recuperação de conta. Anteriormente isso envolveu uma redefinição de senha. Agora, os usuários podem configurar método de autenticação de usuários e nós os incentivamos a fazer isso.

3. Registro de conta sem senha

Novos usuários podem criar grupos de anúncios do Yahoo! Japan. Os usuários são em primeiro lugar para se registrar com uma autenticação por SMS. Depois do login, incentivar o usuário a configurar a autenticação FIDO.

Como a FIDO é uma configuração por dispositivo, pode ser difícil recuperar uma conta, caso o dispositivo fique inoperante. Portanto, exigimos que os usuários mantenham seus número de telefone registrado, mesmo depois de configurar a autenticação adicional.

Principais desafios da autenticação sem senha

As senhas dependem da memória humana e não dependem de dispositivos. Por outro lado, métodos de autenticação introduzidos até agora em nossa iniciativa sem senha dependem do dispositivo. Isso traz vários desafios.

Quando vários dispositivos são usados, existem alguns problemas relacionados à usabilidade:

  • Ao usar a autenticação por SMS para fazer login em um PC, os usuários precisam verificar celular para receber mensagens SMS. Isso pode ser inconveniente, porque exige que o telefone do usuário esteja disponível e fácil de acessar a qualquer momento.
  • Com a FIDO, especialmente com autenticadores de plataforma, um usuário com várias Os dispositivos não poderão ser autenticados em dispositivos não registrados. O registro de cada dispositivo que ele pretende usar precisa ser concluído.

A autenticação FIDO está vinculada a dispositivos específicos, o que exige que eles permaneçam no posse do usuário e ativa.

  • Se o contrato de serviço for cancelado, não será mais possível enviar Mensagens SMS para o número de telefone registrado.
  • O FIDO armazena chaves privadas em um dispositivo específico. Em caso de perda do dispositivo, não podem ser usadas.

Campanhas do Yahoo! JAPAN está tomando várias medidas para resolver esses problemas.

A solução mais importante é incentivar os usuários a configurar vários métodos de autenticação. Isso permite um acesso alternativo à conta quando os dispositivos são perdidos. Como as chaves FIDO dependem do dispositivo, também é uma prática recomendada registrar chaves privadas FIDO em vários dispositivos.

Como alternativa, os usuários podem usar a API WebOTP para fazer a verificação por SMS de um smartphone Android para o Chrome em um PC.

Acreditamos que abordar esses problemas se tornará ainda mais importante à medida que a autenticação sem senha se espalha.

Como promover a autenticação sem senha

Campanhas do Yahoo! JAPAN trabalha nessas iniciativas sem senha desde 2015. Isso começou com a aquisição da certificação de servidor FIDO em maio de 2015, seguido pela introdução da autenticação por SMS, uma desativação de senha e suporte a FIDO para cada um deles.

Hoje, mais de 30 milhões de usuários ativos por mês já desativaram senhas e estão usando métodos de autenticação sem senha. Campanhas do Yahoo! JAPAN o suporte à FIDO começou com o Chrome no Android, e agora mais de 10 milhões usuários configuraram a autenticação FIDO.

Como resultado da mudança do Yahoo! JAPAN, a porcentagem de consultas que envolvem o esquecimento de senhas ou IDs de login diminuiu 25% em relação período em que o número de consultas era o mais alto. Além disso, também conseguiu confirmar que o acesso não autorizado foi recusado em decorrência da de aumento no número de contas sem senha.

Como o FIDO é muito fácil de configurar, ele tem uma taxa de conversão particularmente alta. Na verdade, o Yahoo! Japan descobriu que a FIDO tem uma CVR maior do que a de SMS autenticação.

    25,00 %

    Redução no número de solicitações de credenciais esquecidas

    74,00 %

    Usuários bem-sucedidos com a autenticação FIDO

    65,00 %

    A verificação por SMS foi concluída

A FIDO tem uma taxa de sucesso maior do que a autenticação por SMS, além de uma média e menor tempos médios de autenticação. Quanto às senhas, alguns grupos têm o tempo de autenticação, e suspeitamos que isso seja devido ao erro autocomplete="current-password"

Comparação em gráfico do tempo de autenticação para senhas, SMS e FIDO.
Em média, o FIDO leva 8 segundos para autenticar, as senhas levam 21 segundos e a verificação por SMS leva 27.

A maior dificuldade para oferecer contas sem senha não é a adição de métodos de autenticação, mas popularizando o uso de autenticadores. Se a experiência de usar um serviço sem senha não for fácil de usar, o não será fácil.

Para ter mais segurança, é preciso melhorar a usabilidade. o que vai exigir inovações únicas para cada serviço.

Conclusão

A autenticação por senha é arriscada em termos de segurança desafios em termos de usabilidade. Agora que as tecnologias que dão suporte autenticação sem senha, como WebOTP API e FIDO, são mais disponível, é hora de começar a trabalhar na autenticação sem senha.

No Yahoo! JAPAN, essa abordagem teve um efeito claro tanto na usabilidade e segurança. No entanto, muitos usuários ainda usam senhas, por isso nós vamos continuar incentivando mais usuários a migrar para a autenticação sem senha. métodos. Também vamos continuar melhorando nossos produtos para otimizar o usuário para métodos de autenticação sem senha.

Foto de olieman.eth no Unsplash (links em inglês)