A Mercari, Inc. é uma empresa japonesa de comércio eletrônico que oferece serviços de mercado e soluções de pagamento on-line e móvel. Com o Mercari, os usuários podem vender itens no mercado e fazer compras em lojas físicas. Em 2023, eles implementaram chaves de acesso. Neste artigo, explicaremos a motivação por trás dela e os resultados alcançados.
Motivação
Anteriormente, o Mercari usava senhas e enfrentava ataques de phishing em tempo real. Ele adicionou OTPs por SMS como método de autenticação para proteger os usuários. Embora isso aumentasse a segurança, ele não eliminou completamente os ataques de phishing em tempo real. Enviar um grande volume de OTPs por SMS também era caro e não era muito fácil de usar.
O Mercari também tinha um novo serviço, Mercoin, uma plataforma para comprar e vender Bitcoin com o saldo disponível do usuário no Mercari, que tinha requisitos de segurança e chaves de acesso fortes para atender às necessidades.
Como as chaves de acesso estão vinculadas à identidade de um site ou app, elas estão protegidas contra ataques de phishing. O navegador e o sistema operacional garantem que uma chave de acesso só possa ser usada com o site ou app que a criou. Assim, os usuários não precisam ser responsáveis por fazer login no site ou app original.
Exigir que os usuários usem outros métodos de autenticação e realizem outras ações é um obstáculo quando o que os usuários querem realmente é realizar outra ação no app.
A adição da autenticação por chave de acesso remove essa etapa extra da OTP por SMS e melhora a experiência do usuário, além de oferecer mais proteção contra ataques de phishing em tempo real, além de reduzir o custo associado a OTPs por SMS.
Resultados
900 mil contas do Mercari registraram chaves de acesso, e a taxa de sucesso do login com elas é de 82,5%, em comparação com 67,7% do uso com OTP por SMS.
O login com chaves de acesso também é 3,9 vezes mais rápido do que o cantar com OTP por SMS. Em média, os usuários do Mercari levam 4,4 segundos para fazer login com chaves de acesso, mas levam 17 segundos para fazer o mesmo com a OTP por SMS.
| Taxa de sucesso | Tempo de autenticação | |
|---|---|---|
| OTP por SMS | 67.7% | 17 s |
| Chave de acesso | 82.5% | 4,4 s |
Quanto maior a taxa de sucesso da autenticação e quanto menor o tempo de autenticação, melhor a experiência do usuário, e o Mercari teve grande sucesso com a implementação de chaves de acesso.
Saiba mais sobre a implementação de chaves de acesso pelo Mercari
Para saber mais sobre como o Mercari resolveu os desafios de criar um ambiente resistente a phishing usando chaves de acesso, leia o blog da empresa sobre a adoção de chaves de acesso do Mercari (link em inglês).