Mercari, Inc. to japońska firma z branży e-commerce, która oferuje usługi platformy handlowej oraz płatności online i mobilne. Dzięki Mercari użytkownicy mogą sprzedawać produkty na rynku i robić zakupy w sklepach stacjonarnych. W 2023 roku wdrożyła klucze dostępu. W tym artykule wyjaśnimy, dlaczego podjęli oni decyzję i jakie efekty udało się jej osiągnąć.
Motywacja
Wcześniej firma Mercari wykorzystywała hasła i stała się narażona na phishing w czasie rzeczywistym. Dodawała w tym celu SMS-y jednorazowe hasła jako metodę uwierzytelniania, aby chronić użytkowników. To poprawiło bezpieczeństwo, ale nie wyeliminowało całkowicie ataków phishingowych w czasie rzeczywistym. Wysyłanie wielu SMS-ów jednorazowych haseł jednorazowych było kosztowne i niezbyt łatwe w użyciu.
Firma Mercari wprowadziła również nową usługę Mercoin, czyli platformę do kupowania i sprzedawania bitcoinów z równowagą dostępną w systemie Mercari. Miała ona wysokie wymagania dotyczące bezpieczeństwa, a klucze dostępu spełniały jej potrzeby.
Ponieważ klucze są powiązane z tożsamością witryny lub aplikacji, są chronione przed atakami phishingowymi. Przeglądarka i system operacyjny powodują, że klucza dostępu można używać tylko w witrynie lub aplikacji, która je utworzyła. Dzięki temu użytkownicy nie muszą być odpowiedzialni za logowanie się na oryginalnej stronie lub w aplikacji.
Wymuszenie od użytkowników korzystania z dodatkowych metod uwierzytelniania i wykonanie dodatkowych działań stanowi przeszkodę, gdy użytkownik faktycznie chce osiągnąć za pomocą aplikacji coś innego.
Dodanie uwierzytelniania za pomocą klucza dostępu eliminuje konieczność wysyłania haseł jednorazowych z SMS-em i poprawia wrażenia użytkowników. Zapewnia też lepszą ochronę przed atakami phishingowymi w czasie rzeczywistym i obniża koszty związane z SMS-ami jednorazowymi.
Wyniki
900 tys. kont Mercari zarejestrowało klucze dostępu, a logowanie się za ich pomocą wynosi 82,5%, podczas gdy w przypadku logowania przy użyciu hasła jednorazowego przesłanego SMS-em wynosi 67,7%.
Poza tym logowanie się przy użyciu kluczy dostępu jest 3,9 raza szybsze niż w przypadku SMS-ów jednorazowych. Użytkownicy Mercari potrzebują średnio 4,4 sekundy na logowanie się przy użyciu kluczy dostępu, a w przypadku hasła jednorazowego przesyłanego SMS-em – 17 sekund.
| Wskaźnik sukcesu | Czas uwierzytelniania | |
|---|---|---|
| Hasło jednorazowe z SMS-a | 67.7% | 17 s |
| Klucz | 82.5% | 4,4 s |
Im wyższy wskaźnik sukcesu i krótszy czas uwierzytelniania, tym lepsze wrażenia użytkowników i firma Mercari odniosła sukces dzięki wdrożeniu kluczy dostępu.
Więcej informacji o implementacji kluczy dostępu w firmie Mercari
Aby dowiedzieć się więcej o tym, jak firma Mercari poradziła sobie z wyzwaniami związanymi z tworzeniem odpornego na phishing środowiska za pomocą kluczy dostępu, przeczytaj jej bloga o wdrażaniu kluczy dostępu w firmie Mercari.