eBay Inc. 是连接全球数百万买家和卖家的全球商业领导者,为各种规模的个人、企业家、企业和组织提供经济机会。 由于用户是其成功的核心,因此eBay强调为买家和卖家提供积极和安全的体验。
与大多数网站一样,每个用户与eBay的互动都始于登录网站并验证自己的身份,即验证他们是否是他们所说的人。 然而,使用用户名和密码的典型身份验证序列影响了用户体验,同时使eBay更容易受到不良行为者的攻击。 用户不断忘记和重置密码——这是一个令人沮丧的过程。 由于许多买家和卖家在多个网站上对多个帐户使用相同的密码,因此这些网站上的任何一个漏洞都可能使eBay面临漏洞。 eBay知道它需要使身份验证过程更加安全,但不能以牺牲用户体验为代价。
FIDO标准内部
FIDO 协议(包括 FIDO UAF 和 FIDO2 规范)使用标准公钥加密技术而不是共享机密,以提供更强大的身份验证和保护,防止网络钓鱼和通道攻击。 这些协议也是从头开始设计的,以保护用户隐私。 这些协议不提供可供不同在线服务用于跨服务协作和跟踪用户的信息,并且生物识别技术在使用时永远不会离开用户的设备。 通过登录时的简单操作,例如滑动手指、输入 PIN 码、对着麦克风讲话、插入第二因素设备或按下按钮,这一切都与用户友好和安全的用户体验相平衡。
优先考虑安全性和用户旅程
为了给登录过程增加一层额外的安全保护,eBay实施了SMS一次性密码(OTP)。 尽管它有助于提供更安全的选择,但该方法增加了成本、用户摩擦,并且仍然容易受到某些安全问题的影响。
在审查了各种其他选项以提供简单、轻松和安全的用户身份验证体验后,eBay 决定在其原生移动应用程序和基于浏览器的移动和网站上推出 FIDO,以实现强身份验证。
eBay 决定构建自己的开源 FIDO 服务器,他们认为这让他们能够最大限度地控制用户体验和端到端登录流程。 这种方法还使 eBay 能够更好地管理其其他登录选项,例如社交登录。
实现标准的好处
FIDO联盟和FIDO标准的实力,包括众多大型科技公司的参与,是eBay选择FIDO的另一个重要因素。
“为eBay用户身份验证选择FIDO标准不仅仅是采用安全协议,”eBay身份主管Ashish Jain说。 “eBay在190个市场开展业务,拥有多样化的用户群。我们需要确保我们选择的任何技术都能在各种浏览器和平台上一致地工作。
eBay 与 FIDO 的旅程:从推送到无密码
作为第一步,eBay 使用 FIDO UAF 协议和推送通知流程实施了 FIDO 进行第二因素身份验证。 这意味着,当用户使用用户名和密码登录eBay时,他们将收到来自移动eBay应用程序的通知,以确认登录。 作为选择加入功能实施后,FIDO 立即获得了比以前的 SMS OTP 解决方案更高的选择加入率,验证了 FIDO 标准的易用性。
六个月后,在看到已经很快的用户采用率继续上升后,eBay决定在无密码身份验证方面迈出下一步。 为了进一步简化登录流程,该公司推出了用于主要身份验证的 FIDO2,不再要求用户进行第二步登录。 其工作原理如下:
- 当用户正常登录时,eBay 会检测设备是否支持 FIDO2。 如果是这样,用户会收到一个弹出框,询问他们是否要注册无密码身份验证;
- 如果他们选择加入,系统会要求用户注册其面部或指纹生物识别技术,并自动注册;
- 用户下次登录时,他们需要做的就是出示他们的生物识别信息。 无需用户名和密码。
为eBay及其用户实现利益
在实施FIDO不到一年的时间里,eBay已经意识到了它的好处:不仅选择加入率高于SMS OTP,而且登录成功率和完成率也显着提高,尤其是在移动设备上。 eBay 开始在 Android/Chrome 上推出 FIDO2/WebAuthn,此后已扩展到 Mac、Windows 和 iOS。 最近,eBay还增加了对漫游身份验证器的支持,例如安全密钥,提供了另一种访问eBay的安全方式。
期待一个完全无密码的未来
为了实现完全无密码的身份验证,eBay 必须有一个流程,以便在 FIDO 身份验证器丢失或用户添加新设备时恢复帐户。 在典型的密码身份验证中,用户可以通过电子邮件/密码重置过程恢复其帐户,但从等式中删除密码会带来新的挑战。
根据Jain的说法,解决这个问题是他的团队在未来六个月内的首要任务。
“今天,我们的用户可以通过选择加入 FIDO 来体验更快、更方便的登录体验,”Jain 说。 “但为了充分实现FIDO的安全优势,我们期待完全禁用密码。通过一步一个脚印,并作为一个行业努力寻找账户恢复等问题的解决方案,我们相信我们将实现这一目标。
在此处查看 eBay 案例研究 PDF 文档。