雅虎日本公司是一家互联网公司,为其平台上的 5100 多万活跃用户提供 100 多项服务,包括搜索引擎、拍卖、新闻、天气、体育、电子邮件和购物。
对于雅虎日本来说,登录行为是其所有服务的入口点。 因此,该入口点的体验对所有用户来说都是积极的,这一点至关重要。 同时,每个用户的个人信息都得到很好的保护同样重要。
为了在便利性和安全性之间找到适当的平衡,Yahoo! JAPAN 转向了 FIDO 身份验证。
从早期成员到早期采用者
Yahoo!JAPAN 是 FIDO Alliance的最早成员之一,于 2014 年 4 月加入。 作为成员,Yahoo! JAPAN 的高管参与了用户身份验证规范的制定,特别是 FIDO2 标准,并通过联盟的 Consumer 部署工作组为消费者采用 FIDO 的最佳实践。 Yahoo! JAPAN 于 2019 年被任命为 FIDO Alliance 董事会成员。
在积极为 FIDO Alliance做出贡献的这段时间里,Yahoo! JAPAN 正在评估 FIDO 用于其自身服务。 雅虎日本一直在提供用于双因素身份验证的短信一次性密码,但它们对用户来说不够快速、安全或简单。 通过对 FIDO 采用基于标准的方法,特别是 FIDO2 标准,雅虎了解到它可以通过数十亿台支持的移动、台式机和笔记本电脑设备上的设备生物识别技术,以非常简单的方式提供强大的身份验证。
Yahoo! JAPAN 的 FIDO 部署之旅始于 2018 年,当时该公司成为日本第一家认证 FIDO2 服务器的公司,FIDO2 服务器是向其用户提供 FIDO 身份验证的必要组件。 经过广泛的内部测试和试点,雅虎日本于 2018 年 10 月推出了其在 Android Chrome 上的首次部署,这是依赖方的首次部署。 如今,该公司现在在浏览器和本机应用程序中提供 Android 和 iOS 上的 FIDO 身份验证(有关部署过程,请参见图 1)。 接下来,Yahoo! JAPAN 计划在台式机和笔记本电脑上提供 FIDO 身份验证。
在部署FIDO的同时,Yahoo!JAPAN开始为其用户提供完全禁用密码的机会,并在无需建立密码的情况下注册新帐户。
对于已选择加入 FIDO 的 Yahoo! JAPAN 用户,登录非常简单
(见图 2):
- 用户输入其用户 ID 并点击下一步
- 他们的设备会提示他们进行生物识别,例如指纹
- 用户出示其生物识别信息并成功登录
概述
FIDO 协议(包括 FIDO UAF 和 FIDO2 规范)使用标准公钥加密技术而不是共享机密,以提供更强大的身份验证和保护,防止网络钓鱼和通道攻击。 这些协议也是从头开始设计的,以保护用户隐私。
这些协议不提供可供不同在线服务用于跨服务协作和跟踪用户的信息,并且生物识别技术在使用时永远不会离开用户的设备。 这一切都与用户友好和安全的用户体验相平衡,通过登录时的简单操作,例如滑动手指、输入 PIN、对着麦克风讲话、插入第二因素设备或按下按钮。
在部署过程中,Yahoo! JAPAN 利用了带有生物识别身份验证器的 FIDO2 标准。
“禁用密码是我们平台整体安全性和可用性的最终目标,我们认为 FIDO 是帮助我们更快地实现目标的关键因素,”— Yumi Ashida,雅虎日本产品经理
Yahoo! JAPAN 还重视其在 FIDO Alliance 中的成员身份,因为它在帮助简化部署和提高采用率方面发挥了作用。会员资格为公司提供了一个平台,可以向其他利益相关者(包括操作系统平台提供商)提供直接反馈,并直接与他们合作克服他们面临的挑战。此外,它还允许他们与其他从事部署工作的服务提供商合作,以分享经验和最佳实践。
“对于在消费者环境中部署 FIDO 身份验证的其他用户来说,了解它所需的时间和资源非常重要。 但考虑到FIDO带来的有意义的影响,这是非常值得的,“雅虎日本产品经理Yumi Ashida说
实现 FIDO 的好处
对于FIDO用户来说,访问Yahoo!JAPAN的服务时,他们的登录时间大大缩短了,与其他登录方式相比,减少了37%。 “因为登录是我们所有服务的入口点,所以更快、更成功的登录意味着我们的用户可以更快地访问我们的服务——这对我们用户在我们平台上的整体体验产生了巨大的积极影响,”雅虎日本产品经理Yumi Ashida说。
为了提高采用率并让更多用户体验这些好处,Yahoo! JAPAN 利用了许多策略,包括电子邮件促销和登录时弹出通知,以邀请用户注册 FIDO。 此策略的关键是传达 FIDO 身份验证的好处,包括更快的登录速度、更高的安全性以及从登录流程中删除密码的能力。 与此同时,Yahoo! JAPAN也在不断努力,确保其FIDO的用户体验得到优化。