Mercari, Inc. è una società giapponese di e-commerce che offre servizi per marketplace e soluzioni di pagamento online e mobile. Con Mercari gli utenti possono vendere articoli sul marketplace e fare acquisti nei negozi fisici. Nel 2023 ha implementato le passkey. Questo articolo spiegherà la motivazione alla base della decisione e i risultati ottenuti.
Motivazione
In precedenza, Mercari utilizzava le password e, di fronte ad attacchi di phishing in tempo reale, aggiungeva OTP via SMS come metodo di autenticazione per proteggere gli utenti. Sebbene questo abbia migliorato la sicurezza, non ha eliminato completamente gli attacchi di phishing in tempo reale. Anche l'invio di un numero elevato di OTP tramite SMS era costoso e non molto facile da usare.
Mercari aveva anche un nuovo servizio Mercoin, una piattaforma per l'acquisto e la vendita di Bitcoin con il saldo disponibile dell'utente in Mercari, che aveva requisiti di sicurezza rigorosi e le passkey soddisfacevano le sue esigenze.
Poiché le passkey sono associate all'identità di un sito web o di un'app, sono protette dagli attacchi di phishing. Il browser e il sistema operativo assicurano che una passkey possa essere utilizzata solo con il sito web o l'app che le ha create. In questo modo gli utenti non saranno più responsabile di accedere al sito web o all'app originali.
Richiedere agli utenti di utilizzare metodi di autenticazione aggiuntivi ed eseguire azioni aggiuntive è un ostacolo quando ciò che vogliono effettivamente gli utenti è svolgere un'operazione diversa utilizzando l'app.
L'aggiunta dell'autenticazione tramite passkey rimuove il passaggio aggiuntivo della OTP via SMS e migliora l'esperienza utente fornendo al contempo una migliore protezione dagli attacchi di phishing in tempo reale e riducendo i costi associati alle OTP via SMS.
Risultati
900.000 account Mercari hanno passkey registrate e la percentuale di accesso con questi è dell'82,5%, rispetto al 67,7% per l'accesso con OTP via SMS.
L'accesso con le passkey si è rivelato inoltre 3,9 volte più veloce rispetto all'accesso con l'OTP via SMS-Mercari, che in media impiegano 4,4 secondi per accedere con le passkey, mentre 17 secondi per fare lo stesso con l'OTP SMS.
| Percentuale di successo | Data/ora autenticazione | |
|---|---|---|
| OTP via SMS | 67.7% | 17 sec |
| Passkey | 82.5% | 4,4 sec |
Maggiore è la percentuale di successo dell'autenticazione e minore è il tempo di autenticazione, migliore sarà l'esperienza utente e Mercari ha ottenuto ottimi risultati con l'implementazione delle passkey.
Scopri di più sull'implementazione delle passkey in Mercari
Per saperne di più su come Mercari ha risolto le sfide legate alla creazione di un ambiente resistente al phishing con le passkey, leggi il suo blog sull'adozione delle passkey di Mercari.