Yahoo! JAPAN' şifresiz kimlik doğrulaması sorguları %25 azalttı ve oturum açma süresini 2,6 kat hızlandırdı

Yahoo! Japonya, şifresiz bir kimlik sistemi oluşturdu.

Eiji Kitamura
Alexandra Klepper
Alexandra Klepper
X GitHub LinkedIn
Yuya Ito
Yuya Ito
X

Yahoo! JAPAN, arama, haber, e-ticaret ve e-posta gibi hizmetler sunan Japonya'daki en büyük medya şirketlerinden biridir. 50 milyondan fazla kullanıcı Yahoo! hizmet veriyor.

Yıllar içinde kullanıcı hesaplarına yönelik birçok saldırı ve hesap erişiminin kaybedilmesine yol açan sorunlar yaşandı. Bu sorunların çoğu, kimlik doğrulama için şifre kullanımıyla ilgiliydi.

Kimlik doğrulama teknolojisindeki son gelişmelerle birlikte, Yahoo! JAPAN, şifre tabanlı kimlik doğrulamadan şifresiz kimlik doğrulamaya geçmeye karar verdi.

Neden şifresiz?

Yahoo! JAPAN e-ticaret ve parayla ilgili diğer hizmetleri sunar. Yetkisiz erişim veya hesap kaybı durumunda kullanıcılara ciddi zarar verme riski vardır.

Şifrelerle ilgili en yaygın saldırılar şifre listesi saldırıları ve kimlik avı dolandırıcılıklarıydı. Şifre listesi saldırılarının yaygın ve etkili olmasının nedenlerinden biri, birçok kullanıcının birden fazla uygulama ve web sitesinde aynı şifreyi kullanmasıdır.

Aşağıdaki grafikler, Yahoo! tarafından yapılan bir anketin sonuçlarını göstermektedir. JAPAN.

    50 %

    altı veya daha fazla sitede aynı kimliği ve şifreyi kullanmalıdır

    %60

    Aynı şifreyi birden fazla sitede kullanma

    70 %

    Birincil giriş yöntemi olarak şifre kullanın

Kullanıcılar genellikle şifrelerini unutur. Şifreyle ilgili sorguların çoğu bu nedenle gönderilir. Ayrıca, şifrelerinin yanı sıra giriş kimliklerini de unutan kullanıcılardan gelen sorgular da vardı. En yoğun zamanında bu sorgular, hesapla ilgili tüm sorguların üçte birinden fazlasını oluşturuyordu.

Yahoo! JAPAN, kullanıcılara ek yük bindirmeden yalnızca güvenliği değil, kullanılabilirliği de iyileştirmeyi amaçladı.

Güvenlik açısından bakıldığında, kullanıcı kimlik doğrulama sürecinde şifreleri kaldırmak, liste tabanlı saldırılardan kaynaklanan zararı azaltır ve kullanılabilirlik açısından, şifrelerin hatırlanmasına dayalı olmayan bir kimlik doğrulama yöntemi sağlamak, kullanıcının şifresini unuttuğu için giriş yapamadığı durumları önler.

Yahoo! JAPAN'ın şifresiz girişimleri

Yahoo! JAPAN, şifresiz kimlik doğrulamayı yaygınlaştırmak için birkaç adım atıyor. Bu adımlar genel olarak üç kategoriye ayrılabilir:

  1. Şifreleriniz için kimlik doğrulaması yapmak üzere alternatif bir yöntem sağlayın.
  2. Şifreyi devre dışı bırakma.
  3. Şifresiz hesap kaydı.

İlk iki girişim mevcut kullanıcıları, şifresiz kayıt ise yeni kullanıcıları hedefliyor.

1. Şifreler için alternatif bir kimlik doğrulama yöntemi sunma

Yahoo! JAPAN, şifrelere alternatif olarak aşağıdaki seçenekleri sunar.

  1. SMS kimlik doğrulaması
  2. WebAuthn ile FIDO

Ayrıca e-posta kimlik doğrulaması, SMS OTP (tek kullanımlık şifre) ile şifre ve e-posta OTP ile şifre gibi kimlik doğrulama yöntemleri de sunuyoruz.

SMS kimlik doğrulaması

SMS kimlik doğrulaması, kayıtlı kullanıcının SMS aracılığıyla altı basamaklı bir kimlik doğrulama kodu almasına olanak tanıyan bir sistemdir. Kullanıcı SMS'yi aldıktan sonra kimlik doğrulama kodunu uygulamaya veya web sitesine girebilir.

Apple, iOS'in uzun süredir SMS mesajlarını okumasına ve metin gövdesinden kimlik doğrulama kodları önermesine izin vermektedir. Yakın zamanda, giriş öğesinin autocomplete özelliğinde "one-time-code" değerini belirterek önerileri kullanmak mümkün hale geldi. Android, Windows ve Mac'te Chrome, WebOTP API'yi kullanarak aynı deneyimi sunabilir.

Örneğin:

<form>
  <input type="text" id="code" autocomplete="one-time-code"/>
  <button type="submit">sign in</button>
</form>

if ('OTPCredential' in window) {
  const input = document.getElementById('code');
  if (!input) return;
  const ac = new AbortController();
  const form = input.closest('form');
  if (form) {
    form.addEventListener('submit', e => {
      ac.abort();
    });
  }
  navigator.credentials.get({
    otp: { transport:['sms'] },
    signal: ac.signal
  }).then(otp => {
    input.value = otp.code;
  }).catch(err => {
    console.log(err);
  });
}

Her iki yaklaşım da alanı SMS gövdesine ekleyerek ve yalnızca belirtilen alan için öneriler sunarak kimlik avını önlemek üzere tasarlanmıştır.

WebOTP API ve autocomplete="one-time-code" hakkında daha fazla bilgi için SMS OTP formu en iyi uygulamalarına göz atın.

WebAuthn ile FIDO

WebAuthn özellikli FIDO, ortak anahtar şifre çifti oluşturmak ve sahip olduğunuzu kanıtlamak için bir donanım kimlik doğrulayıcı kullanır. Kimlik doğrulayıcı olarak akıllı telefon kullanıldığında, tek adımlı iki faktörlü kimlik doğrulama gerçekleştirmek için biyometrik kimlik doğrulama (ör. parmak izi sensörleri veya yüz tanıma) ile birlikte kullanılabilir. Bu durumda, sunucuya yalnızca biyometrik kimlik doğrulamadan gelen imza ve başarı göstergesi gönderilir. Bu nedenle, biyometrik verilerin çalınması riski yoktur.

Aşağıdaki şemada, FIDO için sunucu-istemci yapılandırması gösterilmektedir. İstemci kimlik doğrulayıcı, kullanıcının kimliğini biyometrik verilerle doğrular ve sonucu ortak anahtar kriptografisi kullanarak imzalar. İmzayı oluşturmak için kullanılan özel anahtar, TEE (Güvenilir Yürütme Ortamı) veya benzer bir konumda güvenli bir şekilde saklanır. FIDO kullanan bir hizmet sağlayıcıya RP (güvenilir taraf) denir.

Kullanıcı kimlik doğrulamasını gerçekleştirdikten sonra (genellikle biyometrik tarama veya PIN ile), kimlik doğrulayıcı, tarayıcıya imzalı bir doğrulama sinyali göndermek için özel anahtar kullanır. Daha sonra tarayıcı bu sinyali RP'nin web sitesiyle paylaşır.

Ardından RP web sitesi, imzalı doğrulama sinyalini RP'nin sunucusuna gönderir. Bu sunucu, kimlik doğrulamayı tamamlamak için imzayı herkese açık anahtarla doğrular.

Daha fazla bilgi için FIDO Alliance'ın kimlik doğrulama yönergelerini okuyun.

Yahoo! JAPAN; Android (mobil uygulama ve web), iOS (mobil uygulama ve web), Windows (Edge, Chrome, Firefox) ve macOS (Safari, Chrome) işletim sistemlerinde FIDO'yu destekler. Tüketicilere yönelik bir hizmet olan FIDO, neredeyse her cihazda kullanılabilir. Bu da şifresiz kimlik doğrulamayı tanıtmak için iyi bir seçenek olmasını sağlar.

İşletim sistemi FIDO desteği
Yapay Zeka Uygulamalar, Tarayıcı (Chrome)
iOS Uygulamalar (iOS 14 veya sonraki sürümler), Tarayıcı (Safari 14 veya sonraki sürümler)
Windows Tarayıcı (Edge, Chrome, Firefox)
Mac (Big Sur veya sonraki sürümler) Tarayıcı (Safari, Chrome)
Örnek Yahoo! JAPAN'da FIDO ile kimlik doğrulama istemi

Yahoo! JAPAN, kullanıcıların başka yöntemlerle kimlik doğrulamamışsa WebAuthn ile FIDO'ya kaydolmalarını önerir. Kullanıcıların aynı cihazla giriş yapması gerektiğinde biyometrik sensör kullanarak hızlıca kimlik doğrulaması yapabilirler.

Kullanıcıların Yahoo!'ya giriş yapmak için kullandıkları tüm cihazlarda FIDO kimlik doğrulamasını ayarlaması gerekir JAPONYA.

Şifresiz kimlik doğrulamayı teşvik etmek ve şifrelerden geçiş yapan kullanıcılara karşı saygılı olmak için birden fazla kimlik doğrulama yöntemi sunarız. Bu, farklı kullanıcıların farklı kimlik doğrulama yöntemi ayarlarına sahip olabileceği ve kullanabilecekleri kimlik doğrulama yöntemlerinin tarayıcıdan tarayıcıya farklılık gösterebileceği anlamına gelir. Kullanıcıların her seferinde aynı kimlik doğrulama yöntemini kullanarak giriş yapmasının daha iyi bir deneyim olduğuna inanıyoruz.

Bu şartları karşılamak için önceki kimlik doğrulama yöntemlerini izlemek ve bu bilgileri çerez vb. biçiminde saklayarak istemciye bağlamak gerekir. Ardından, kimlik doğrulama için farklı tarayıcıların ve uygulamaların nasıl kullanıldığını analiz edebiliriz. Kullanıcıdan, ayarlarına, daha önce kullanılan kimlik doğrulama yöntemlerine ve gereken minimum kimlik doğrulama düzeyine göre uygun kimlik doğrulaması sağlaması istenir.

2. Şifrenin devre dışı bırakılması

Yahoo! JAPAN, kullanıcılardan alternatif bir kimlik doğrulama yöntemi oluşturmalarını ve ardından şifrelerini kullanılamayacak şekilde devre dışı bırakmalarını ister. Alternatif kimlik doğrulamayı ayarlamaya ek olarak, şifre kimlik doğrulamasını devre dışı bırakmak (bu nedenle yalnızca şifreyle oturum açmayı imkansız kılmak) kullanıcıları liste tabanlı saldırılara karşı korumaya yardımcı olur.

Kullanıcıları şifrelerini devre dışı bırakmaya teşvik etmek için aşağıdaki adımları uyguladık.

  • Kullanıcılar şifrelerini sıfırladığında alternatif kimlik doğrulama yöntemlerini tanıtın.
  • Kullanıcıları, kullanımı kolay kimlik doğrulama yöntemleri (FIDO gibi) oluşturmaya ve sık sık kimlik doğrulama gerektiren durumlarda şifreleri devre dışı bırakmaya teşvik edin.
  • Kullanıcılardan, e-ticaret ödemeleri gibi yüksek riskli hizmetleri kullanmadan önce şifrelerini devre dışı bırakmalarını isteme.

Şifrelerini unutan kullanıcılar hesap kurtarma işlemi yapabilir. Daha önce bu işlem şifre sıfırlama içeriyordu. Artık kullanıcılar farklı bir kimlik doğrulama yöntemi ayarlayabilir. Bunu yapmalarını öneririz.

3. Şifresiz hesap kaydı

Yeni kullanıcılar şifre gerektirmeyen Yahoo! JAPAN hesapları. Kullanıcıların önce SMS kimlik doğrulamasıyla kaydolması gerekir. Kullanıcılar giriş yaptıktan sonra FIDO kimlik doğrulamasını ayarlamaları önerilir.

FIDO, cihaza özel bir ayar olduğundan cihaz kullanılamaz hale gelirse hesabı kurtarmak zor olabilir. Bu nedenle, kullanıcıların ek kimlik doğrulama ayarlarını yaptıktan sonra bile telefon numaralarını kayıtlı tutmaları gerekir.

Şifresiz kimlik doğrulama için temel görevler

Şifreler, kullanıcının hafızasına dayanır ve cihazdan bağımsızdır. Öte yandan, şifresiz girişimimizde bugüne kadar kullanıma sunulan kimlik doğrulama yöntemleri cihaza bağlıdır. Bu durum, çeşitli zorluklar ortaya çıkarır.

Birden fazla cihaz kullanıldığında kullanılabilirlikle ilgili bazı sorunlar yaşanır:

  • PC'den giriş yapmak için SMS kimlik doğrulamasını kullanan kullanıcıların, gelen SMS mesajlarını kontrol etmek için cep telefonlarını kontrol etmeleri gerekir. Kullanıcının telefonuna her zaman erişilebilmesi ve telefonun açık olması gerektiği için bu yöntem uygun olmayabilir.
  • FIDO ile özellikle platform kimlik doğrulayıcılar kullanıldığında, birden fazla cihaza sahip bir kullanıcı, kayıtlı olmayan cihazlarda kimlik doğrulaması yapamaz. Kullanmayı amaçladıkları her cihaz için kayıt işlemi tamamlanmalıdır.

FIDO kimlik doğrulaması belirli cihazlara bağlıdır. Bu nedenle, cihazların kullanıcının elinde kalması ve etkin olması gerekir.

  • Hizmet sözleşmesi iptal edilirse kayıtlı telefon numarasına SMS mesajları gönderilemez.
  • FIDO, özel anahtarları belirli bir cihazda saklar. Cihaz kaybolursa bu anahtarlar kullanılamaz.

Yahoo! JAPAN bu sorunları gidermek için çeşitli adımlar atmaktadır.

En önemli çözüm, kullanıcıları birden fazla kimlik doğrulama yöntemi ayarlamaya teşvik etmektir. Bu, cihazlar kaybolduğunda alternatif hesap erişimi sağlar. FIDO anahtarları cihaza bağlı olduğundan FIDO özel anahtarlarını birden fazla cihaza kaydetmek de iyi bir uygulamadır.

Alternatif olarak kullanıcılar, Android telefondan PC'deki Chrome'a SMS doğrulama kodlarını iletmek için WebOTP API'yi kullanabilir.

Şifresiz kimlik doğrulama yaygınlaştıkça bu sorunların ele alınmasının daha da önemli hale geleceğini düşünüyoruz.

Şifresiz kimlik doğrulamayı tanıtma

Yahoo! JAPAN, 2015'ten beri şifresiz girişimler üzerinde çalışıyor. Bu süreç, Mayıs 2015'te FIDO sunucu sertifikasının alınmasıyla başladı. Ardından SMS kimlik doğrulaması, şifre devre dışı bırakma özelliği ve her cihaz için FIDO desteği kullanıma sunuldu.

Bugün 30 milyondan fazla aylık etkin kullanıcı şifrelerini devre dışı bırakmış ve şifre dışı kimlik doğrulama yöntemleri kullanıyor. Yahoo! JAPAN'ın FIDO desteği, Android'de Chrome ile başladı ve şu anda 10 milyondan fazla kullanıcı FIDO kimlik doğrulamasını ayarladı.

Yahoo! JAPAN'nın girişimlerinde, unutulan giriş kimliği veya şifrelerin kullanıldığı sorguların yüzdesi, bu tür sorguların en yüksek olduğu döneme kıyasla% 25 oranında azaldı. Ayrıca, şifresiz hesapların sayısındaki artışın sonucunda yetkisiz erişimin azaldığını da doğrulayabildik.

FIDO'nun kurulumu çok kolay olduğundan özellikle yüksek bir dönüşüm oranına sahiptir. Aslında Yahoo! JAPAN, FIDO'nun DO'nun SMS kimlik doğrulamasından daha yüksek olduğunu tespit etmiştir.

    25 %

    Unutulmuş kimlik bilgileri isteklerinin azalması

    74 %

    Kullanıcılar FIDO kimlik doğrulamasıyla başarılı olur

    65 %

    SMS doğrulamasını başarıyla tamamlama

FIDO, SMS kimlik doğrulamasından daha yüksek bir başarı oranına ve daha hızlı ortalama ve medyan kimlik doğrulama sürelerine sahiptir. Şifrelere gelince, bazı grupların kimlik doğrulama süreleri kısa. Bunun nedeninin tarayıcı autocomplete="current-password" olmasından şüpheleniyoruz.

Şifre, SMS ve FIDO için kimlik doğrulama süresinin karşılaştırmasını gösteren grafik.
FIDO'nun kimlik doğrulaması yapması ortalama 8 saniye sürerken şifrelerin kimlik doğrulaması 21 saniye, SMS doğrulaması ise 27 saniye sürer.

Şifresiz hesap sunmanın en büyük zorluğu, kimlik doğrulama yöntemlerinin eklenmesi değil, kimlik doğrulayıcıların kullanımını yaygınlaştırmaktır. Şifresiz bir hizmeti kullanma deneyimi kullanıcı dostu değilse geçiş kolay olmaz.

Daha iyi bir güvenlik elde etmek için öncelikle kullanılabilirliği iyileştirmemiz gerektiğine inanıyoruz. Bu da her hizmet için benzersiz yenilikler gerektirecektir.

Sonuç

Şifre kimlik doğrulaması güvenlik açısından risklidir ve kullanılabilirlik açısından da zorluklar oluşturur. WebOTP API ve FIDO gibi şifresiz kimlik doğrulamayı destekleyen teknolojiler artık daha yaygın olarak kullanılabildiğinden, şifresiz kimlik doğrulama üzerinde çalışmaya başlamanın zamanı geldi.

Yahoo! JAPAN, bu yaklaşımın hem kullanılabilirlik hem de güvenlik üzerinde kesin bir etkisi oldu. Ancak birçok kullanıcı hâlâ şifre kullanıyor. Bu nedenle, daha fazla kullanıcıyı şifresiz kimlik doğrulama yöntemlerine geçmeye teşvik etmeye devam edeceğiz. Ayrıca, şifresiz kimlik doğrulama yöntemleri için kullanıcı deneyimini optimize etmek amacıyla ürünlerimizi iyileştirmeye devam edeceğiz.

Fotoğraf: olieman.eth (Unsplash)