Mercari, Inc. es una empresa japonesa de comercio electrónico que ofrece servicios de mercado, así como soluciones de pago en línea y para dispositivos móviles. Con Mercari, los usuarios pueden vender artículos en el mercado y hacer compras en tiendas físicas. En 2023, implementaron las llaves de acceso. En este artículo, se explicará la motivación que sustenta su decisión y los resultados que obtuvo.
Motivación
Antes, Mercari usaba contraseñas y se enfrentaba a ataques de suplantación de identidad (phishing) en tiempo real. Además, agregó OTP por SMS como método de autenticación para proteger a sus usuarios. Si bien esto mejoró su seguridad, no eliminó por completo los ataques de suplantación de identidad (phishing) en tiempo real. Enviar un gran volumen de OTP por SMS también era costoso y no muy fácil de usar.
Mercari también tenía un nuevo servicio Mercoin, una plataforma para comprar y vender Bitcoin con el saldo disponible de los usuarios en Mercari, que tenía requisitos de seguridad sólidos y llaves de acceso que satisfacían sus necesidades.
Como las llaves de acceso están vinculadas a la identidad de un sitio web o app, están a salvo de los ataques de suplantación de identidad (phishing). El navegador y el sistema operativo garantizan que una llave de acceso solo se pueda usar con el sitio web o la app que las creó. De esta manera, se evita que los usuarios se responsabilicen de acceder al sitio web o la app genuinos.
Exigir a los usuarios que usen métodos de autenticación adicionales y realicen acciones adicionales es un obstáculo cuando lo que realmente quieren es lograr algo más con la app.
Agregar la autenticación con llave de acceso quita ese paso adicional de OTP por SMS y mejora la experiencia del usuario, a la vez que brinda una mayor protección contra los ataques de suplantación de identidad (phishing) en tiempo real y reduce el costo asociado con estas OTP.
Resultados
900,000 cuentas de Mercari tienen llaves de acceso registradas, y la tasa de éxito de acceso con ellas es del 82.5% en comparación con el 67.7% de tasa de éxito cuando se accede con una OTP por SMS.
El acceso con llaves de acceso también demostró ser 3.9 veces más rápido que acceder con OTP por SMS: los usuarios de Mercari en promedio tardan 4.4 segundos en acceder con llaves de acceso, mientras que les lleva 17 segundos hacer lo mismo con la OTP por SMS.
| Índice de éxito | Fecha y hora de autenticación | |
|---|---|---|
| Mensaje SMS con OTP | 67.7% | 17 s |
| Llave de acceso | 82.5% | 4.4 s |
Cuanto mayor sea la tasa de éxito de la autenticación y menor sea el tiempo de autenticación, mejor será la experiencia del usuario, y Mercari tuvo un gran éxito con la implementación de llaves de acceso.
Obtén más información sobre la implementación de llaves de acceso de Mercari
Para obtener más información sobre cómo Mercari resolvió los desafíos de crear un entorno resistente a la suplantación de identidad (phishing) con llaves de acceso, lee su blog sobre la adopción de llaves de acceso de Mercari.