Mercari, Inc. 是一家日本电子商务公司,提供市场服务以及在线和移动支付解决方案。 通过 Mercari,用户可以在市场上出售商品,也可以在实体店购买。 2023 年,他们实施了通行钥匙。 本文将解释他们做出这一决定的动机和取得的成果。
动机
Mercari 以前使用的是密码,面对实时网络钓鱼攻击,他们增加了短信 OTP 作为身份验证方法来保护用户。 虽然这提高了他们的安全性,但并没有完全消除实时网络钓鱼攻击。 此外,发送大量短信 OTP 既昂贵又不方便用户使用。
Mercari 还推出了一项新服务 Mercoin,这是一个利用用户在 Mercari 的可用余额买卖比特币的平台。
由于密码与网站或应用程序的身份绑定,因此不会受到网络钓鱼攻击。 浏览器和操作系统确保密钥只能用于创建密钥的网站或应用程序。 这样,用户就不必负责登录真正的网站或应用程序。
要求用户使用额外的身份验证方法和执行额外的操作是一种障碍,而用户真正想要的是使用应用程序完成其他事情。
增加密钥验证功能可省去短信 OTP 这一额外步骤,在改善用户体验的同时,还能更好地保护用户免受实时网络钓鱼攻击,并降低短信 OTP 的相关成本。
结果
90 万 Mercari 账户注册了密码,使用密码登录的成功率为 82.5%,而使用短信 OTP 登录的成功率为 67.7%。
事实证明,使用密码登录比使用 OTP 短信登录快 3.9 倍–Mercari 用户使用密码登录平均需要 4.4 秒,而使用 OTP 短信登录则需要 17 秒。
认证成功率越高,认证时间越短,用户体验就越好。
了解更多有关 Mercari 实施通行密钥的信息
要进一步了解 Mercari 如何利用密码匙解决创建防网络钓鱼环境的难题,请阅读Mercari 采用密码匙的博客。
