Mercari, Inc. 是日本電子商務公司,提供 Marketplace 服務以及線上和行動付款解決方案。Mercari 使用者可以在市集上銷售商品,並在實體商店中購物。並於 2023 年實作密碼金鑰。本文將說明做成決策的動機,以及達成的結果。
動機
Mercari 先前使用密碼,面臨即時網路釣魚攻擊,並加入簡訊動態密碼做為驗證方法,保護使用者。雖然這樣提升了安全性,但還是無法完全消除即時網路釣魚攻擊。傳送大量簡訊動態密碼不僅費用昂貴,而且容易使用。
Mercari 也推出全新的 Mercoin 服務,可讓使用者透過 Mercari 提供的餘額進行採購及銷售比特幣。這不僅有嚴格的安全性需求,也擁有足夠的密碼金鑰。
密碼金鑰是繫結至網站或應用程式的身分,因此可以防範網路釣魚攻擊。瀏覽器和作業系統確保密碼金鑰只能用於建立金鑰的網站或應用程式。如此一來,使用者就不必在登入正版網站或應用程式時負責。
要求使用者採用額外的驗證方法並執行額外操作,以及使用者實際上想要透過應用程式完成其他作業時會出現阻礙。
新增密碼金鑰驗證功能後,就能移除簡訊動態密碼這個額外步驟、改善使用者體驗,同時為使用者提供更完善的保護,避免使用者受到即時網路釣魚攻擊,以及降低簡訊動態密碼的相關費用。
成果
90 萬
使用密碼金鑰登入帳戶,也比使用簡訊動態密碼登入的速度快上 3.9 倍:Mercari 使用者使用密碼金鑰登入帳戶的平均時間是 4.4 秒,而使用簡訊動態密碼進行驗證則需要 17 秒鐘。
| 成功率 | 驗證時間 | |
|---|---|---|
| 簡訊動態密碼 | 67.7% | 17 秒 |
| 密碼金鑰 | 82.5% | 4.4 秒 |
驗證成功率和驗證時間越短,使用者體驗就越好,Mercari 發現密碼金鑰的實作方式相當良好。
進一步瞭解 Mercari 的密碼金鑰實作方式
如要進一步瞭解 Mercari 如何使用密碼金鑰來解決防範網路釣魚環境的難題,請參閱該公司的 Mercari 採用密碼金鑰網誌。