ดูวิธีที่ Yahoo! Japan ได้สร้างระบบข้อมูลประจำตัวแบบไม่ใช้รหัสผ่าน
Yahoo! JAPAN เป็นหนึ่งในบริษัทสื่อที่ใหญ่ที่สุดในญี่ปุ่น โดยให้ เช่น การค้นหา ข่าว อีคอมเมิร์ซ และอีเมล ผู้ใช้มากกว่า 50 ล้านคน ลงชื่อเข้าสู่ระบบ Yahoo! JAPAN
ในช่วงหลายปีที่ผ่านมา มีการโจมตีบัญชีผู้ใช้จำนวนมากและปัญหาที่นำมาซึ่ง การเข้าถึงบัญชีไม่ได้ ปัญหาส่วนใหญ่เกี่ยวข้องกับการใช้รหัสผ่าน เพื่อตรวจสอบสิทธิ์
ด้วยความก้าวหน้าล่าสุดของเทคโนโลยีการตรวจสอบสิทธิ์ ทำให้ Yahoo! JAPAN เปลี่ยนจากการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านไปเป็นแบบไม่ใช้รหัสผ่าน
เหตุใดจึงไม่ใช้รหัสผ่าน
เนื่องจาก Yahoo! JAPAN นำเสนออีคอมเมิร์ซและบริการที่เกี่ยวข้องกับเงินอื่นๆ เกิดความเสียหายอย่างมากกับผู้ใช้ในกรณีที่มีการเข้าถึงโดยไม่ได้รับอนุญาต หรือ การสูญหายของบัญชี
การโจมตีที่พบบ่อยที่สุดที่เกี่ยวข้องกับรหัสผ่านคือการโจมตีรายการรหัสผ่านและ สแกมแบบฟิชชิง สาเหตุหนึ่งที่ทำให้การโจมตีรายการรหัสผ่านพบได้บ่อย ที่มีประสิทธิภาพคือนิสัยของคนจำนวนมากในการใช้รหัสผ่านเดียวกันสำหรับ แอปพลิเคชันและเว็บไซต์
ตัวเลขต่อไปนี้คือผลการสำรวจโดย Yahoo! JAPAN
50 คน %
ใช้ ID และรหัสผ่านเดียวกันในเว็บไซต์ 6 แห่งขึ้นไป
60 ปี %
ใช้รหัสผ่านเดียวกันในหลายเว็บไซต์
70 คน %
ใช้รหัสผ่านเป็นวิธีหลักในการเข้าสู่ระบบ
ผู้ใช้มักลืมรหัสผ่าน ซึ่งส่วนใหญ่แล้ว การสอบถามเกี่ยวกับรหัสผ่าน นอกจากนี้ยังมีการสอบถามจากผู้ใช้ที่เคย ลืมรหัสการเข้าสู่ระบบนอกเหนือจากรหัสผ่าน เมื่อถึงจุดสูงสุด คิดเป็นมากกว่าหนึ่งในสามของคำถามที่เกี่ยวข้องกับบัญชีทั้งหมด
การไม่ใช้รหัสผ่านจะทำให้ Yahoo! JAPAN ไม่เพียงมุ่งมั่นที่จะเพิ่มความปลอดภัย ยังใช้งานได้ง่าย โดยไม่สร้างภาระเพิ่มเติมให้กับผู้ใช้
ในแง่ของความปลอดภัย การกำจัดรหัสผ่านจากผู้ใช้ กระบวนการตรวจสอบสิทธิ์ช่วยลดความเสียหายจากการโจมตีแบบแสดงรายการ ความสามารถในการใช้งาน ซึ่งให้วิธีการตรวจสอบสิทธิ์ที่ไม่ต้องอาศัย เมื่อ การจำรหัสผ่าน ช่วยป้องกันไม่ให้ผู้ใช้เข้าสู่ระบบได้ เพราะลืมรหัสผ่าน
Yahoo! โครงการริเริ่มที่ไม่ต้องใช้รหัสผ่านของ JAPAN
Yahoo! JAPAN ดำเนินการหลายขั้นตอนเพื่อส่งเสริมการใช้รหัสผ่านแบบไม่ใช้รหัสผ่าน การตรวจสอบสิทธิ์ ซึ่งสามารถแบ่งได้เป็น 3 หมวดหมู่กว้างๆ ดังนี้
- ระบุวิธีการตรวจสอบสิทธิ์ทางเลือกให้กับรหัสผ่าน
- การปิดใช้งานรหัสผ่าน
- การลงทะเบียนบัญชีแบบไม่ใช้รหัสผ่าน
โครงการริเริ่ม 2 รายการแรกมุ่งเป้าไปที่ผู้ใช้ปัจจุบันโดยไม่ใช้รหัสผ่าน การลงทะเบียนนี้พุ่งเป้าไปที่ผู้ใช้ใหม่
1. การเสนอทางเลือกในการตรวจสอบสิทธิ์ให้กับรหัสผ่าน
Yahoo! JAPAN มีทางเลือกต่างๆ ต่อไปนี้ให้ใช้แทนรหัสผ่าน
นอกจากนี้ เรายังมีวิธีการตรวจสอบสิทธิ์ เช่น อีเมล การตรวจสอบสิทธิ์ รหัสผ่านที่รวมกับ SMS OTP (รหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว) และ รวมกับ OTP ของอีเมล
การตรวจสอบสิทธิ์ทาง SMS
การตรวจสอบสิทธิ์ทาง SMS เป็นระบบที่ช่วยให้ผู้ใช้ที่ลงทะเบียนสามารถรับ รหัสการตรวจสอบสิทธิ์ 6 หลักผ่าน SMS เมื่อผู้ใช้ได้รับ SMS แล้ว ผู้ใช้จะป้อนรหัสการตรวจสอบสิทธิ์ในแอปหรือเว็บไซต์ได้
Apple อนุญาตให้ iOS อ่านข้อความ SMS และแนะนำการตรวจสอบสิทธิ์มานานแล้ว
จากเนื้อความ เมื่อเร็วๆ นี้ คุณจะสามารถใช้คำแนะนำโดย
การระบุ "โค้ดแบบใช้ครั้งเดียว" ในแอตทริบิวต์ autocomplete ของอินพุต
Chrome ใน Android, Windows และ Mac สามารถให้ประสบการณ์แบบเดียวกัน
โดยใช้ WebOTP API
เช่น
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
ทั้ง 2 วิธีได้รับการออกแบบมาเพื่อป้องกันฟิชชิงโดยการรวมโดเมนไว้ใน ส่วนเนื้อหาของ SMS และให้คำแนะนำเฉพาะสำหรับโดเมนที่ระบุ
ดูข้อมูลเพิ่มเติมเกี่ยวกับ WebOTP API และautocomplete="one-time-code"
ดูแนวทางปฏิบัติแนะนำสำหรับแบบฟอร์ม OTP
FIDO ที่มี WebAuthn
FIDO กับ WebAuthn ใช้ Authenticator ฮาร์ดแวร์เพื่อสร้างคีย์สาธารณะ คู่การเข้ารหัสและพิสูจน์การครอบครอง เมื่อใช้สมาร์ทโฟนเป็น Authenticator สามารถใช้ร่วมกับการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริก (เช่น เซ็นเซอร์ลายนิ้วมือหรือการจดจำใบหน้า) เพื่อดำเนินการแบบ 2 ขั้นตอนแบบ 1 ขั้นตอน การตรวจสอบสิทธิ์ ในกรณีนี้ เฉพาะลายเซ็นและตัวบ่งชี้ความสำเร็จ จากการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกจะส่งไปยังเซิร์ฟเวอร์ ดังนั้นจึงไม่มีความเสี่ยง ของการขโมยข้อมูลไบโอเมตริก
แผนภาพต่อไปนี้แสดงการกำหนดค่าไคลเอ็นต์เซิร์ฟเวอร์สำหรับ FIDO เครื่องมือตรวจสอบสิทธิ์ไคลเอ็นต์จะตรวจสอบสิทธิ์ผู้ใช้ด้วยข้อมูลไบโอเมตริกและลงนาม ผลลัพธ์โดยใช้วิทยาการเข้ารหัสคีย์สาธารณะ คีย์ส่วนตัวที่ใช้สร้าง ลายเซ็นจะได้รับการจัดเก็บไว้อย่างปลอดภัยใน TEE (สภาพแวดล้อมการดำเนินการที่เชื่อถือได้) หรือสถานที่ที่คล้ายกัน ผู้ให้บริการที่ใช้ FIDO เรียกว่า RP (ฝ่ายที่พึ่งพาอาศัย)
เมื่อผู้ใช้ตรวจสอบสิทธิ์แล้ว (โดยทั่วไปจะใช้การสแกนข้อมูลไบโอเมตริกหรือ PIN) ตัวตรวจสอบสิทธิ์จะใช้คีย์ส่วนตัวเพื่อส่งสัญญาณการยืนยันที่ลงชื่อไปยังเบราว์เซอร์ จากนั้นเบราว์เซอร์จะแชร์สัญญาณดังกล่าวกับเว็บไซต์ของ RP
จากนั้นเว็บไซต์ RP จะส่งสัญญาณการยืนยันที่มีการลงนามไปยังเซิร์ฟเวอร์ของ RP ซึ่งจะยืนยันลายเซ็นกับคีย์สาธารณะเพื่อให้การตรวจสอบสิทธิ์เสร็จสมบูรณ์
สำหรับข้อมูลเพิ่มเติม โปรดอ่าน หลักเกณฑ์การตรวจสอบสิทธิ์จาก FIDO Alliance
Yahoo! JAPAN รองรับ FIDO บน Android (แอปบนอุปกรณ์เคลื่อนที่และเว็บ), iOS (แอปบนอุปกรณ์เคลื่อนที่ และเว็บ), Windows (Edge, Chrome, Firefox) และ macOS (Safari, Chrome) เพื่อ บริการผู้บริโภค FIDO สามารถใช้ได้กับอุปกรณ์เกือบทุกประเภท ตัวเลือกนี้สำหรับการส่งเสริมการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
Yahoo! JAPAN แนะนำให้ผู้ใช้ลงทะเบียนสำหรับ FIDO ด้วย WebAuthn หาก ไม่ผ่านการตรวจสอบสิทธิ์ด้วยวิธีอื่น เมื่อผู้ใช้จำเป็นต้องเข้าสู่ระบบ กับอุปกรณ์เดียวกัน จึงสามารถตรวจสอบสิทธิ์ได้อย่างรวดเร็วโดยใช้เซ็นเซอร์ไบโอเมตริก
ผู้ใช้ต้องตั้งค่าการตรวจสอบสิทธิ์ FIDO กับอุปกรณ์ทุกเครื่องที่ใช้เข้าสู่ระบบ แคมเปญ Yahoo! JAPAN
เพื่อส่งเสริมการตรวจสอบสิทธิ์โดยไม่ใช้รหัสผ่าน และคำนึงถึงผู้ใช้ที่ การเลิกใช้รหัสผ่าน เราให้บริการวิธีการต่างๆ การตรวจสอบสิทธิ์ ซึ่งหมายความว่าผู้ใช้แต่ละคนสามารถ การตั้งค่าวิธีการตรวจสอบสิทธิ์และวิธีการตรวจสอบสิทธิ์ที่ใช้ได้ อาจแตกต่างกันในแต่ละเบราว์เซอร์ เราเชื่อว่าคุณจะได้รับประสบการณ์ที่ดีกว่าหาก จะเข้าสู่ระบบด้วยวิธีการตรวจสอบสิทธิ์เดิมทุกครั้ง
คุณต้องติดตามการตรวจสอบสิทธิ์ก่อนหน้านี้เพื่อให้เป็นไปตามข้อกำหนดเหล่านี้ ใหม่และลิงก์ข้อมูลนี้กับไคลเอ็นต์ โดยจัดเก็บไว้ในรูปแบบ คุกกี้ เป็นต้น เราจึงสามารถวิเคราะห์ว่าเบราว์เซอร์และแอปพลิเคชันต่างๆ ซึ่งใช้ในการตรวจสอบสิทธิ์ ระบบจะขอให้ผู้ใช้ระบุ ตามการตั้งค่าของผู้ใช้ การตรวจสอบสิทธิ์ก่อนหน้านี้ เมธอดที่ใช้ และระดับการตรวจสอบสิทธิ์ขั้นต่ำที่กำหนด
2. การปิดใช้งานรหัสผ่าน
Yahoo! JAPAN ขอให้ผู้ใช้ตั้งค่าวิธีการตรวจสอบสิทธิ์ทางเลือกและ จากนั้นให้ปิดใช้รหัสผ่านนั้นเพื่อให้ใช้งานไม่ได้ นอกเหนือจากการตั้งค่า การตรวจสอบสิทธิ์ทางเลือก การปิดใช้งานการตรวจสอบสิทธิ์รหัสผ่าน (ดังนั้น ทำให้ไม่สามารถลงชื่อเข้าใช้ด้วยรหัสผ่านเพียงอย่างเดียว) ช่วยปกป้องผู้ใช้จาก และการโจมตีที่อิงตามรายการ
เราได้ดำเนินการตามขั้นตอนต่อไปนี้เพื่อส่งเสริมให้ผู้ใช้ปิดใช้งาน รหัสผ่าน
- โปรโมตวิธีการตรวจสอบสิทธิ์ทางเลือกเมื่อผู้ใช้รีเซ็ตรหัสผ่าน
- การสนับสนุนให้ผู้ใช้ตั้งค่าวิธีการตรวจสอบสิทธิ์ที่ใช้งานง่าย (เช่น FIDO) และปิดใช้งานรหัสผ่านในกรณีที่ต้องบ่อยครั้ง การตรวจสอบสิทธิ์
- การขอให้ผู้ใช้ปิดรหัสผ่านก่อนใช้บริการที่มีความเสี่ยงสูง เช่น การชำระเงินอีคอมเมิร์ซ
หากผู้ใช้ลืมรหัสผ่าน ผู้ใช้จะสามารถเรียกใช้การกู้คืนบัญชีได้ ก่อนหน้านี้ เกี่ยวข้องกับการรีเซ็ตรหัสผ่าน ตอนนี้ผู้ใช้สามารถเลือกที่จะตั้งค่า วิธีการตรวจสอบสิทธิ์ และเราขอแนะนำให้ดำเนินการดังกล่าว
3. การลงทะเบียนบัญชีที่ไม่มีรหัสผ่าน
ผู้ใช้ใหม่สามารถสร้าง Yahoo! โดยไม่ต้องใช้รหัสผ่าน JAPAN ผู้ใช้ต้องมาก่อน ที่ใช้ในการลงทะเบียนด้วยการตรวจสอบสิทธิ์ทาง SMS เมื่อผู้ใช้เข้าสู่ระบบแล้ว เราจะ สนับสนุนให้ผู้ใช้ตั้งค่าการตรวจสอบสิทธิ์ FIDO
เนื่องจาก FIDO เป็นการตั้งค่าสำหรับแต่ละอุปกรณ์ การกู้คืนบัญชีอาจเป็นเรื่องยาก หากอุปกรณ์ใช้งานไม่ได้ ดังนั้นเราจึงกำหนดให้ผู้ใช้ต้อง ลงทะเบียนหมายเลขโทรศัพท์ไว้ แม้ว่าจะตั้งค่าการตรวจสอบสิทธิ์เพิ่มเติมแล้วก็ตาม
ความท้าทายที่สำคัญสำหรับการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
รหัสผ่านต้องอาศัยหน่วยความจำของมนุษย์และไม่ขึ้นอยู่กับอุปกรณ์ ในทางกลับกัน วิธีการตรวจสอบสิทธิ์ที่นำมาใช้ในโครงการริเริ่มแบบไม่ใช้รหัสผ่านของเรา ขึ้นอยู่กับอุปกรณ์ ซึ่งมีความท้าทายหลายประการ
เมื่อมีการใช้อุปกรณ์หลายเครื่อง จะเกิดปัญหาบางอย่างเกี่ยวกับความสามารถในการใช้งาน ดังนี้
- เมื่อใช้การตรวจสอบสิทธิ์ทาง SMS เพื่อเข้าสู่ระบบจาก PC ผู้ใช้ต้องตรวจสอบ โทรศัพท์มือถือเมื่อมีข้อความ SMS เข้ามา วิธีนี้อาจสร้างความไม่สะดวก เนื่องจาก กำหนดให้โทรศัพท์ของผู้ใช้พร้อมใช้งานและเข้าถึงได้ตลอดเวลา
- สำหรับ FIDO นั้น โดยเฉพาะผู้ใช้ที่มีการตรวจสอบสิทธิ์แพลตฟอร์ม อุปกรณ์จะไม่สามารถตรวจสอบสิทธิ์ในอุปกรณ์ที่ไม่ได้ลงทะเบียน โดยต้องดำเนินการลงทะเบียนสำหรับอุปกรณ์แต่ละเครื่องที่ต้องการใช้
การตรวจสอบสิทธิ์ FIDO จะผูกกับอุปกรณ์บางอย่างซึ่งกำหนดให้ยังคงอยู่ในอุปกรณ์เดิม การครอบครองและใช้งานอยู่
- หากสัญญาให้บริการถูกยกเลิก คุณจะไม่สามารถส่ง ข้อความ SMS ไปยังหมายเลขโทรศัพท์ที่ลงทะเบียนไว้
- FIDO จะจัดเก็บคีย์ส่วนตัวไว้ในอุปกรณ์ที่เฉพาะเจาะจง หากอุปกรณ์สูญหาย คีย์ไม่สามารถใช้ได้
Yahoo! JAPAN จึงดำเนินการหลายขั้นตอนเพื่อจัดการกับปัญหาเหล่านี้
โซลูชันที่สำคัญที่สุดคือการกระตุ้นให้ผู้ใช้ตั้งค่า วิธีการตรวจสอบสิทธิ์ วิธีนี้จะทำให้สามารถเข้าถึงบัญชีทางเลือกได้เมื่ออุปกรณ์ สูญหายไป เนื่องจากคีย์ FIDO ขึ้นอยู่กับอุปกรณ์ จึงเป็นแนวทางปฏิบัติที่ดีที่ควรทำ ลงทะเบียนคีย์ส่วนตัว FIDO ในอุปกรณ์หลายเครื่อง
อีกวิธีหนึ่งคือ ผู้ใช้สามารถใช้ WebOTP API เพื่อผ่านการยืนยันทาง SMS จากโทรศัพท์ Android ไปยัง Chrome ในพีซี
เราเชื่อว่าการจัดการกับปัญหาเหล่านี้จะมีความสำคัญมากยิ่งขึ้น การตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านจะกระจายออกไป
การโปรโมตการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
Yahoo! JAPAN ดําเนินการกับโครงการริเริ่มที่ไม่ต้องใช้รหัสผ่านเหล่านี้มาตั้งแต่ปี 2015 สิ่งนี้เริ่มต้นด้วยการได้รับใบรับรองเซิร์ฟเวอร์ FIDO ในเดือนพฤษภาคม 2015 ตามด้วยการแนะนำการตรวจสอบสิทธิ์ทาง SMS ซึ่งเป็นการปิดใช้งานรหัสผ่าน และ FIDO สำหรับอุปกรณ์แต่ละเครื่อง
ปัจจุบัน มีผู้ใช้ที่ใช้งานอยู่รายเดือนมากกว่า 30 ล้านคนได้ปิดการใช้งาน รหัสผ่านและกำลังใช้วิธีการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน Yahoo! ของ JAPAN FIDO เริ่มต้นจาก Chrome บน Android และตอนนี้มีมากกว่า 10 ล้าน ผู้ใช้ ได้ตั้งค่าการตรวจสอบสิทธิ์ FIDO แล้ว
ผลลัพธ์จาก Yahoo! โครงการริเริ่มของ JAPAN, เปอร์เซ็นต์การสอบถาม ที่เกี่ยวข้องกับรหัสการเข้าสู่ระบบหรือรหัสผ่านที่คุณลืมลดลง 25% เมื่อเทียบกับ ในช่วงเวลาที่มีจำนวนการสอบถามดังกล่าวสูงสุด และเราได้ สามารถยืนยันได้ว่าการเข้าถึงที่ไม่ได้รับอนุญาตถูกปฏิเสธเนื่องจาก คือจำนวนบัญชีที่ไม่ต้องใช้รหัสผ่านเพิ่มขึ้น
เนื่องจาก FIDO นั้นตั้งค่าได้ง่ายมาก จึงมีอัตรา Conversion สูงเป็นพิเศษ ที่จริงแล้ว Yahoo! JAPAN พบว่า FIDO มี CVR สูงกว่า SMS การตรวจสอบสิทธิ์
25 คน %
คำขอข้อมูลเข้าสู่ระบบที่ลืมลดลง
74 คน %
ผู้ใช้ดำเนินการตรวจสอบสิทธิ์ FIDO สำเร็จ
65 ปี %
ยืนยันทาง SMS เรียบร้อยแล้ว
FIDO มีอัตราความสำเร็จสูงกว่าการตรวจสอบสิทธิ์ทาง SMS และค่าเฉลี่ยที่เร็วกว่า
ค่ามัธยฐานของเวลาในการตรวจสอบสิทธิ์ สำหรับรหัสผ่าน บางกลุ่มจะมี
ในการตรวจสอบสิทธิ์ และเราสงสัยว่ากรณีนี้เกิดจากการ
autocomplete="current-password"
ความยากที่สุดของการเสนอบัญชีที่ไม่ใช้รหัสผ่านนั้นไม่ใช่การเพิ่ม วิธีการตรวจสอบสิทธิ์ แต่เป็นการทำให้การใช้ Authenticator เป็นที่นิยม หากประสบการณ์การใช้บริการที่ไม่ต้องใช้รหัสผ่านนั้นใช้ยาก การเปลี่ยนแปลงนี้ไม่ใช่เรื่องง่าย
เราเชื่อว่าหากต้องการปรับปรุงความปลอดภัย เราต้องปรับปรุงความสามารถในการใช้งานก่อน ซึ่งต้องอาศัยนวัตกรรมเฉพาะสำหรับแต่ละบริการ
บทสรุป
การตรวจสอบสิทธิ์ด้วยรหัสผ่านนั้นมีความเสี่ยงในด้านความปลอดภัย และยังทำให้เกิด ในแง่ของความสามารถในการใช้งาน ปัจจุบันเทคโนโลยีที่รองรับ การตรวจสอบสิทธิ์โดยไม่ใช้รหัสผ่าน เช่น WebOTP API และ FIDO นั้นใช้กันอย่างแพร่หลายกว่า ได้เวลาเริ่มดำเนินการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านแล้ว
ที่ Yahoo! JAPAN ซึ่งการใช้แนวทางนี้มีผลอย่างชัดเจนกับทั้ง การใช้งานและความปลอดภัย อย่างไรก็ตาม มีผู้ใช้จำนวนมากที่ยังคงใช้รหัสผ่านอยู่ เราจึง จะยังคงสนับสนุนให้ผู้ใช้จำนวนมากขึ้นเปลี่ยนไปใช้การตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านต่อไป เราจะปรับปรุงผลิตภัณฑ์อย่างต่อเนื่องเพื่อเพิ่มประสิทธิภาพผู้ใช้ สำหรับวิธีการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
รูปภาพโดย olieman.eth ใน Unsplash