Mercari, Inc. 是一家日本电子商务公司,提供购物平台服务以及在线和移动付款解决方案。借助 Mercari,用户可以在购物平台上销售商品,然后在实体店购物。2023 年,他们实现了通行密钥。本文将说明他们做出决定的动机以及取得的成果。
设计初衷
Mercari 以前会使用密码,面临实时钓鱼式攻击,为此,他们添加了短信动态密码作为身份验证方法,以保护用户。 虽然这提高了其安全性,但并未完全消除实时钓鱼式攻击攻击。发送大量短信动态密码不仅费用高昂,而且人性化程度也不高。
Mercari 还推出了一项新服务 Mercoin,这是一个使用用户在 Mercari 中的可用余额买卖比特币的平台,它具有严格的安全要求,通行密钥可以满足他们的需求。
由于通行密钥已与网站或应用的身份绑定,因此可安全防范钓鱼式攻击。浏览器和操作系统可确保通行密钥只能用于创建通行密钥的网站或应用。这样,用户就不必负责登录正版网站或应用。
如果用户实际上想要的是使用应用完成其他任务,那么要求用户使用额外的身份验证方法并执行额外的操作是一种障碍。
添加通行密钥身份验证机制无需额外执行短信动态密码,因此可以改善用户体验,同时还能更好地保护用户免受实时钓鱼式攻击,并降低与短信动态密码相关的费用。
成果
有 90 万个 Mercari 帐号注册了通行密钥,使用通行密钥登录的成功率为 82.5%,而使用短信动态密码登录的成功率为 67.7%。
事实证明,使用通行密钥登录的速度比使用短信动态密码登录快 3.9 倍 - Mercari 用户平均使用通行密钥登录需要 4.4 秒,而使用短信动态密码登录则平均需要 17 秒。
| 成功率 | 身份验证时间 | |
|---|---|---|
| 通过短信发送的动态密码 | 67.7% | 17 秒 |
| 通行密钥 | 82.5% | 4.4 秒 |
身份验证的成功率越高,身份验证时间越短,用户体验就越好,Mercari 也成功实施了通行密钥。
详细了解 Mercari 如何实现通行密钥
如需详细了解 Mercari 如何使用通行密钥解决在防钓鱼式攻击环境中所面临的挑战,请参阅其关于 Mercari 采用通行密钥的博客。