Mercari, Inc. est une entreprise d'e-commerce japonaise qui propose des services liés aux places de marché, ainsi que des solutions de paiement en ligne et mobiles. Avec Mercari, les utilisateurs peuvent vendre des articles sur une place de marché et effectuer des achats dans des magasins physiques. En 2023, elle a implémenté les clés d'accès. Cet article explique la motivation derrière cette décision et les résultats obtenus.
Motivation
Auparavant, Mercari utilisait des mots de passe et faisait face aux attaques d'hameçonnage en temps réel. Il a ajouté les OTP par SMS comme méthode d'authentification pour protéger ses utilisateurs. Bien que cette solution renforce leur sécurité, elle n'a pas complètement supprimé les attaques par hameçonnage en temps réel. L'envoi d'un grand nombre de SMS à usage unique était également coûteux et peu convivial.
Mercari disposait également d'un nouveau service, Mercoin, une plate-forme d'achat et de vente de Bitcoin avec l'équilibre disponible de l'utilisateur dans Mercari. Cette plate-forme possédait des exigences de sécurité strictes et des clés d'accès répondaient à ses besoins.
Les clés d'accès étant liées à l'identité d'un site Web ou d'une application, elles sont à l'abri des attaques par hameçonnage. Le navigateur et le système d'exploitation garantissent qu'une clé d'accès ne peut être utilisée qu'avec le site Web ou l'application qui les a créées. Cela évite aux utilisateurs d'être responsables de la connexion au site Web ou à l'application authentiques.
Demander aux utilisateurs d'utiliser des méthodes d'authentification supplémentaires et d'effectuer des actions supplémentaires est un obstacle lorsque l'objectif des utilisateurs est d'effectuer autre chose via l'application.
L'ajout de l'authentification par clé d'accès supprime cette étape supplémentaire de l'envoi par SMS d'un mot de passe à usage unique et améliore l'expérience utilisateur tout en offrant une meilleure protection aux utilisateurs contre les attaques d'hameçonnage en temps réel et en réduisant le coût associé aux OTP envoyés par SMS.
Résultats
900 000 comptes Mercari ont enregistré des clés d'accès, et le taux de réussite des connexions avec ces comptes est de 82,5 %, contre 67,7% pour les connexions avec mot de passe à usage unique par SMS.
Il s'est également avéré 3,9 fois plus rapide que de se connecter avec un mot de passe à usage unique par SMS. Les utilisateurs de Mercari mettent en moyenne 4,4 secondes à se connecter avec des clés d'accès, et 17 secondes pour faire de même avec un mot de passe à usage unique envoyé par SMS.
| Taux de réussite | Heure d'authentification | |
|---|---|---|
| OPT par SMS | 67.7% | 17 s |
| Clé d'accès | 82.5% | 4,4 s |
Plus le taux de réussite de l'authentification est élevé et plus la durée d'authentification est courte, meilleure est l'expérience utilisateur, et Mercari a obtenu d'excellents résultats en implémentant des clés d'accès.
En savoir plus sur l'implémentation des clés d'accès dans Mercari
Pour en savoir plus sur la façon dont Mercari a résolu le problème de la création d'un environnement anti-hameçonnage à l'aide de clés d'accès, consultez son blog sur l'adoption des clés d'accès par Mercari.