动机

Mercari 以前使用的是密码,面对实时网络钓鱼攻击,他们增加了短信 OTP 作为身份验证方法来保护用户。 虽然这提高了他们的安全性,但并没有完全消除实时网络钓鱼攻击。 此外,发送大量短信 OTP 既昂贵又不方便用户使用。

Mercari 还推出了一项新服务 Mercoin,这是一个利用用户在 Mercari 的可用余额买卖比特币平台。

由于密码与网站或应用程序的身份绑定,因此不会受到网络钓鱼攻击。 浏览器和操作系统确保密钥只能用于创建密钥的网站或应用程序。 这样,用户就不必负责登录真正的网站或应用程序。

要求用户使用额外的身份验证方法和执行额外的操作是一种障碍,而用户真正想要的是使用应用程序完成其他事情。

增加密钥验证功能可省去短信 OTP 这一额外步骤,在改善用户体验的同时,还能更好地保护用户免受实时网络钓鱼攻击,并降低短信 OTP 的相关成本。

结果

90 万 Mercari 账户注册了密码,使用密码登录的成功率为 82.5%,而使用短信 OTP 登录的成功率为 67.7%。

事实证明,使用密码登录比使用 OTP 短信登录快 3.9 倍–Mercari 用户使用密码登录平均需要 4.4 秒,而使用 OTP 短信登录则需要 17 秒。

认证成功率越高,认证时间越短,用户体验就越好。

了解更多有关 Mercari 实施通行密钥的信息

要进一步了解 Mercari 如何利用密码匙解决创建防网络钓鱼环境的难题,请阅读Mercari 采用密码匙的博客。