Mercari, Inc. — японская компания электронной коммерции, предлагающая услуги рынка, а также решения для онлайн- и мобильных платежей. С помощью Mercari пользователи могут продавать товары на торговой площадке и совершать покупки в обычных магазинах. В 2023 году они внедрили ключи доступа. В этой статье будут объяснены мотивы их решения и результаты, которых они достигли.
Мотивация
Раньше Mercari использовала пароли и сталкивалась с фишинговыми атаками в реальном времени, поэтому добавила SMS OTP в качестве метода аутентификации для защиты своих пользователей. Хотя это улучшило их безопасность, оно не полностью исключило фишинговые атаки в реальном времени. Отправка большого количества одноразовых SMS-сообщений была дорогостоящей и не очень удобной для пользователя.
У Mercari также появился новый сервис Mercari, платформа для покупки и продажи биткойнов с доступным балансом пользователя в Mercari, к которому предъявлялись строгие требования к безопасности, а ключи доступа отвечали их потребностям.
Поскольку ключи доступа привязаны к личности веб-сайта или приложения, они защищены от фишинговых атак. Браузер и операционная система гарантируют, что ключ доступа можно будет использовать только с веб-сайтом или приложением, которое их создало. Это освобождает пользователей от ответственности за вход на подлинный веб-сайт или приложение.
Требование от пользователей использовать дополнительные методы аутентификации и выполнять дополнительные действия является препятствием, когда на самом деле пользователи хотят выполнить что-то еще с помощью приложения.
Добавление аутентификации с помощью пароля устраняет этот дополнительный этап SMS OTP и улучшает взаимодействие с пользователем, а также обеспечивает лучшую защиту пользователей от фишинговых атак в реальном времени и снижает затраты, связанные с SMS OTP.
Полученные результаты
В 900 000 учетных записях Mercari зарегистрированы ключи доступа, и вероятность успешного входа с их помощью составляет 82,5% по сравнению с 67,7% успеха при входе с помощью SMS OTP.
Вход в систему с использованием паролей также оказался в 3,9 раза быстрее, чем вход с помощью SMS OTP: пользователям Mercari в среднем требуется 4,4 секунды для входа в систему с помощью паролей, а для входа в систему с помощью SMS OTP — 17 секунд.
| Степень успеха | Время аутентификации | |
|---|---|---|
| СМС-ОТП | 67,7% | 17 с |
| Ключ доступа | 82,5% | 4,4 с |
Чем выше вероятность успешной аутентификации и чем короче время аутентификации, тем лучше взаимодействие с пользователем, и Mercari добилась больших успехов при внедрении ключей доступа.
Узнайте больше о реализации ключей доступа в Mercari.
Чтобы узнать больше о том, как Mercari решила проблемы создания защищенной от фишинга среды с помощью ключей доступа, прочтите их блог о внедрении ключей доступа Mercari.