Mercari, Inc. היא חברה יפנית למסחר אלקטרוני שמציעה שירותים בזירת מסחר וגם פתרונות תשלום באינטרנט ובנייד. עם Mercari, המשתמשים יכולים למכור פריטים בזירת המסחר ולבצע רכישות בחנויות פיזיות. ב-2023 הם הטמיעו מפתחות גישה. במאמר הזה נסביר את המניע להחלטה שלהם ואת התוצאות שהם השיגו.
למה בחרנו לעשות זאת?
בעבר השתמשה במרקרית באמצעות סיסמאות והתמודדה עם התקפות פישינג בזמן אמת, והיא הוסיפה שימוש בסיסמאות OTP כשיטת אימות להגנה על המשתמשים. למרות שהפעולה הזו שיפרה את האבטחה, היא לא מנעה לחלוטין מתקפות פישינג בזמן אמת. שליחת כמות גדולה של סיסמאות חד-פעמיות ב-SMS הייתה גם יקרה וגם לא הייתה ידידותית למשתמש.
ל-Mercari יש גם שירות חדש – Mercoin – פלטפורמה לקנייה ולמכירה של ביטקוין – עם היתרה הזמינה של המשתמש ב-Mercari. השירות כלל דרישות אבטחה חזקות ומפתחות גישה שנותנים לו מענה.
מפתחות הגישה קשורים לזהות של האתר או של האפליקציה, ולכן הם מוגנים מפני מתקפות פישינג. הדפדפן ומערכת ההפעלה מבטיחים שאפשר להשתמש במפתח הגישה רק באתר או באפליקציה שיצרו אותם. כך המשתמשים לא יכולים להיות אחראים להיכנס לאתר או לאפליקציה המקוריים.
דרישה מהמשתמשים להשתמש בשיטות אימות נוספות ולבצע פעולות נוספות היא מכשול כאשר הם רוצים לעשות משהו אחר באפליקציה.
הוספה של אימות באמצעות מפתח גישה מסירה את השלב הנוסף של סיסמה חד-פעמית ב-SMS, ומשפרת את חוויית המשתמש. בנוסף, היא מספקת למשתמשים הגנה טובה יותר מפני התקפות פישינג בזמן אמת והפחתת העלות של סיסמאות חד-פעמיות ב-SMS.
תוצאות
ל-900,000 חשבונות Mercari נרשמו מפתחות גישה, ושיעור ההצלחה בכניסה באמצעותם הוא 82.5% בהשוואה ל-67.7% שיעור ההצלחה של כניסה באמצעות SMS OTP.
כמו כן, הוכח כי כניסה עם מפתחות גישה מהירה פי 3.9 יותר משירה באמצעות SMS OTP – למשתמשים מ-Mercari נדרשים בממוצע 4.4 שניות להיכנס עם מפתחות גישה, ו-17 שניות לעשות את אותו הדבר גם ב-SMS OTP.
| שיעור הצלחה | זמן אימות | |
|---|---|---|
| סיסמה חד-פעמית ב-SMS | 67.7% | 17 שניות |
| מפתח גישה | 82.5% | 4.4 שנ' |
ככל ששיעור ההצלחה גבוה יותר ומשך האימות קצר יותר, כך חוויית המשתמש ו-Mercari נהנים מהצלחה רבה יותר בהטמעת מפתחות הגישה.
מידע נוסף על ההטמעה של מפתחות גישה ב-Mercari
כדי לקבל מידע נוסף על האופן שבו חברת Mercari פתרה את האתגרים של יצירת סביבה עמידה בפני פישינג באמצעות מפתחות גישה, כדאי לקרוא את הבלוג: אימוץ מפתח הגישה של Mercari.