Mercari, Inc. ist ein japanisches E-Commerce-Unternehmen, das Marktplatzdienstleistungen sowie Lösungen für Onlinezahlungen und Zahlungen anbietet. Mit Mercari können Nutzer Artikel auf dem Marktplatz verkaufen und in Geschäften einkaufen. 2023 wurden Passkeys implementiert. In diesem Artikel werden die Motivation hinter ihrer Entscheidung und die erzielten Ergebnisse erläutert.
Ziel
Bisher nutzte Mercari Passwörter und war mit Phishingangriffen in Echtzeit konfrontiert. Zum Schutz der Nutzer wurden außerdem SMS-OTPs als Authentifizierungsmethode hinzugefügt. Dadurch wurde zwar die Sicherheit verbessert, Phishing-Angriffe in Echtzeit wurden dadurch jedoch nicht vollständig ausgeschlossen. Das Senden einer großen Anzahl von SMS-OTPs war sowohl teuer als auch nicht sehr nutzerfreundlich.
Mercari hatte auch den neuen Dienst Mercoin, eine Plattform zum Kauf und Verkauf von Bitcoin mit dem verfügbaren Guthaben des Nutzers in Mercari, die hohe Sicherheitsanforderungen stellte und Passkeys ihre Anforderungen erfüllte.
Da Passkeys an die Identität einer Website oder App gebunden sind, sind sie vor Phishing-Angriffen geschützt. Der Browser und das Betriebssystem sorgen dafür, dass ein Passkey nur mit der Website oder App verwendet werden kann, von der er erstellt wurde. Nutzer müssen dann nicht mehr für die Anmeldung bei der echten Website oder App verantwortlich sein.
Nutzer müssen zusätzliche Authentifizierungsmethoden und zusätzliche Aktionen ausführen müssen, wenn sie eigentlich etwas anderes mit der App erreichen möchten.
Durch die Passkey-Authentifizierung entfällt dieser zusätzliche Schritt des SMS-OTP und verbessert die Nutzererfahrung. Gleichzeitig werden die Nutzer besser vor Echtzeit-Phishing-Angriffen geschützt und die mit SMS-OTPs verbundenen Kosten werden gesenkt.
Ergebnisse
900.000 Merari-Konten haben registrierte Passkeys und die Erfolgsquote bei der Anmeldung liegt bei 82,5 %. Die Erfolgsquote bei der Anmeldung per SMS-OTP beträgt 67,7 %.
Außerdem ist die Anmeldung mit Passkeys 3,9-mal schneller als die Anmeldung über SMS-OTP-Mercari-Nutzer, die durchschnittlich 4,4 Sekunden für die Anmeldung mit Passkeys benötigen. Mit dem SMS-OTP benötigen sie dagegen 17 Sekunden.
| Erfolgsquote | Authentifizierungszeit | |
|---|---|---|
| SMS-OTP | 67.7% | 17 s |
| Passkey | 82.5% | 4,4 s |
Je höher die Erfolgsquote der Authentifizierung und je kürzer die Authentifizierungszeit ist, desto besser ist die Nutzererfahrung und Mercari hat mit der Implementierung von Passkeys großen Erfolg erzielt.
Weitere Informationen zur Implementierung von Passkeys durch Mercari
Weitere Informationen dazu, wie Mercari die Herausforderungen einer Phishing-resistenten Umgebung mit Passkeys gemeistert hat, finden Sie in ihrem Blog zur Einführung von Passkeys durch Mercari.