世界中の何百万人もの買い手と売り手をつなぐグローバルコマースのリーダーであるeBay Inc.は、あらゆる規模の個人、起業家、企業、組織に経済的機会を提供します。 eBayは、ユーザーが成功の中核にあるため、買い手と売り手の両方にポジティブで安全な体験を提供することに重点を置いています。
ほとんどのWebサイトと同様に、すべてのユーザーのeBayとのやり取りは、サイトにログインして自分自身を認証すること、つまり、自分が本人であることを確認することから始まります。 しかし、ユーザー名とパスワードを使用した典型的な認証シーケンスは、ユーザーエクスペリエンスに影響を与え、同時にeBayを悪意のある人物に対してより脆弱にしました。 ユーザーは常にパスワードを忘れてリセットしており、苛立たしいプロセスでした。 また、多くの買い手と売り手が複数のサイトの複数のアカウントに同じパスワードを使用しているため、これらのサイトのいずれかで侵害が発生すると、eBayも侵害される可能性があります。 eBayは、認証プロセスをより安全にする必要があることを認識していましたが、ユーザーエクスペリエンスを犠牲にしてはなりませんでした。
FIDO規格の内部
FIDO UAFやFIDO2仕様などのFIDOプロトコルは、共有シークレットの代わりに標準の公開鍵暗号技術を使用して、より強力な認証とフィッシング攻撃やチャネル攻撃からの保護を提供します。 また、プロトコルは、ユーザーのプライバシーを保護するためにゼロから設計されています。 これらのプロトコルは、さまざまなオンラインサービスがサービス間でユーザーを共同作業および追跡するために使用できる情報を提供せず、生体認証は、使用された場合、ユーザーのデバイスから離れることはありません。 これはすべて、指をスワイプする、PINを入力する、マイクに向かって話す、第2要素デバイスの挿入、ボタンを押すなど、ログイン時の簡単なアクションを通じて、ユーザーフレンドリーで安全なユーザーエクスペリエンスとバランスが取れています。
セキュリティとユーザージャーニーの優先順位付け
ログインプロセスにセキュリティをさらに強化するために、eBayはSMSワンタイムパスコード(OTP)を実装しました。 この方法は、より安全なオプションを提供するのに役立ちましたが、コストとユーザーの摩擦が増加し、特定のセキュリティ問題に対して脆弱でした。
eBayは、シンプル、簡単、安全なユーザー認証体験を提供するために、他のさまざまなオプションを検討した結果、ネイティブモバイルアプリとブラウザベースのモバイルおよびWebサイトの両方に強力な認証のためのFIDOを展開することを決定しました。
eBayは、独自のオープンソースのFIDOサーバーを構築することを決定し、ユーザーエクスペリエンスとエンドツーエンドのログインフローを最大限に制御できると感じました。 また、このアプローチにより、eBayはソーシャルログインなど、他のログインオプションをより適切に管理できるようになります。
規格の利点の実現
eBayがFIDOを選んだもう一つの大きな要因は、FIDOアライアンスとFIDO規格の強みであり、大手テクノロジー企業も幅広く関与しています。
「eBayのユーザー認証にFIDO標準を選択することは、単に安全なプロトコルを採用すること以上のことでした」と、eBayのアイデンティティ責任者であるAshish Jain氏は述べています。 「eBayは190の市場で事業を展開しており、多様なユーザーがいます。私たちは、選択したテクノロジーがさまざまなブラウザやプラットフォームで一貫して動作することを確認する必要がありました。」
eBayのFIDOへの道のり:プッシュからパスワードレスまで
最初のステップとして、eBayはプッシュ通知フローを備えたFIDO UAFプロトコルを使用して、2要素認証用のFIDOを実装しました。 つまり、ユーザーがユーザー名とパスワードでeBayにログインすると、モバイルeBayアプリからログインを確認する通知を受け取ることになります。 オプトイン機能として実装されたFIDOは、以前のSMS OTPソリューションよりも大幅に高いオプトイン率をすぐに獲得し、FIDO標準の使いやすさを検証しました。
6か月後、すでに急速に普及しているユーザーの割合が上昇し続けているのを見て、eBayはパスワードレス認証の次のステップに進むことを決定しました。 ログインフローをさらに簡素化するために、同社はプライマリ認証にFIDO2を導入し、ユーザーがログインするために2番目のステップを踏む必要がなくなりました。 その仕組みは次のとおりです。
- ユーザーが通常どおりログインすると、eBay はデバイスが FIDO2 をサポートしているかどうかを検出します。 その場合、ユーザーはパスワードレス認証に登録するかどうかを尋ねるポップアップボックスを受け取ります。
- オプトインすると、ユーザーは顔または指紋の生体認証を登録するように求められ、自動的に登録されます。
- ユーザーが次回ログインするときは、生体認証を提示するだけで済みます。 ユーザー名もパスワードも必要ありません。
eBayとユーザーの双方にメリットを実現
FIDOの導入から1年も経たないうちに、eBayはすでにそのメリットを実感しています:オプトイン率がSMS OTPよりも高いだけでなく、ログインの成功率と完了率も、特にモバイルデバイスで大幅に向上しています。 eBayはAndroid/ChromeでFIDO2/WebAuthnの展開を開始し、その後、Mac、Windows、iOSに拡大しました。 最近、eBayは、eBayにアクセスするための別の安全な方法を提供するセキュリティキーなど、ローミング認証システムのサポートも追加しました。
完全なパスワードレスの未来を楽しみにしています
完全なパスワードレス認証を実装するために、eBayは、FIDO認証器を紛失した場合、またはユーザーが新しいデバイスを追加した場合に、アカウントを回復するためのプロセスを用意する必要があります。 一般的なパスワード認証では、ユーザーは電子メール/パスワードのリセットプロセスを通じてアカウントを回復できますが、方程式からパスワードを削除することは新たな課題をもたらします。
Jain氏によると、この問題を解決することは、今後6か月間のチームの優先事項です。
「現在、当社のユーザーはFIDOにオプトインすることで、より速く、より便利なログイン体験を体験することができます」とJain氏は述べています。 しかし、FIDOのセキュリティ上のメリットを十分に実現するために、パスワードを完全に無効にすることを楽しみにしています。一歩ずつ踏み出し、業界としてアカウントの復旧などの問題の解決策を見つけることで、私たちはそこにたどり着けると信じています。」
eBayのケーススタディのPDFドキュメントはこちら からご覧いただけます。