pixiv היא אחת מפלטפורמות המדיה החברתית הגדולות בעולם לאומנים, עם יותר מ-100 מיליון משתמשים ו-160 מיליון איורים, מנגה וסיפורים. בפלטפורמה שמבוססת על קניין רוחני יצירתי, איזון בין אבטחה חזקה לבין חוויית משתמש חלקה הוא בראש סדר העדיפויות.
כדי להתקדם לעבר עתיד ללא סיסמאות, pixiv שילבה מפתחות גישה. התוצאות היו מיידיות: שיעורי ההצלחה של אימות משתמשים באמצעות מפתחות גישה הגיעו ל-99%, שזה 29% יותר משיטות כניסה באמצעות סיסמאות מדור קודם. בנוסף, חוויית הכניסה של המשתמשים הפעילים ביותר השתפרה משמעותית.
האסטרטגיה: מעבר לאימות ללא סיסמה
ב-pixiv יש ארבע שיטות אימות:
- כניסה ללא סיסמה באמצעות אימייל: מערכת pixiv שולחת קוד אימות לכתובת האימייל הרשומה של המשתמש. השיטה הזו עלולה להיות מסובכת למשתמשים, והיא עדיין פגיעה בפני מתקפות פישינג מסוימות ופני השתלטות על חשבונות אם כתובת האימייל של המשתמש נפרצת. זו שיטת ברירת המחדל לרישום לחשבון pixiv חדש.
- אימייל וסיסמה: שיטת אימות מדור קודם שבה המשתמשים מספקים כתובת אימייל רשומה וסיסמה. השיטה הזו עלולה לגרום לעייפות מסיסמאות ולניסיונות לא מורשים להשתלט על חשבונות באמצעות פרטי כניסה גנובים, כי צריך לנהל הרבה פרטי כניסה מורכבים.
- כניסה באמצעות חשבון ברשתות חברתיות: שיטה שמאפשרת למשתמשים לעבור אימות בשירות באמצעות פרטי הכניסה הקיימים שלהם מספק זהויות של צד שלישי, כמו חשבון Google.
- מפתח גישה: אמצעי אימות מודרני ועמיד בפני פישינג שמבוסס על קריפטוגרפיה של מפתח ציבורי. המשתמשים נכנסים לחשבון באמצעות השיטה לביטול הנעילה במכשיר (נתונים ביומטריים או קוד אימות). מפתחות הגישה מאוחסנים באופן מאובטח במכשיר, ויכולים להסתנכרן בין פלטפורמות שונות.
למה מפתחות גישה מאפשרים כניסה לחשבון ללא סיסמה בצורה טובה יותר
הרבה אנשים מכירים סיסמאות וקודי אימות באימייל, אבל מפתחות גישה מציעים אבטחה משופרת:
- סיכונים בחשבונות אימייל: מערכות שמבוססות על אימייל חשופות לפריצה לחשבונות. אם האימייל שלכם נפרץ, תוקפים יכולים לעקוף את קודי האימות כדי לקבל גישה לא מורשית. כדי להשיג אבטחה חזקה, המערכות האלה דורשות לעיתים קרובות גורם אימות נוסף (2FA) נפרד.
- מהימנות מובנית: מפתחות הגישה קשורים באופן קריפטוגרפי לדומיין ספציפי, ולכן אי אפשר להשתמש בהם באתרים מזויפים של שרתי proxy. מפתח גישה דורש גם את המכשיר הפיזי וגם את התנועה שלכם (נתונים ביומטריים או קוד אימות), ולכן הוא משמש כגורם אימות שני מובנה. מפתחות גישה מספקים אמינות גבוהה וחוויית משתמש פשוטה יותר, בלי הצורך בשלבים נוספים של אימות דו-שלבי.
- חוויה חלקה: מפתחות גישה מציעים למשתמשים חוויה חלקה יותר בהשוואה לשיטות קודמות.
פרטים טכניים נוספים זמינים במאמר סקירה כללית על מפתחות גישה.
המטרה העיקרית של pixiv בהטמעת מפתחות גישה הייתה להעביר את המשתמשים ממערכות מבוססות סיסמאות מדור קודם
משתמשים רבים מכירים סיסמאות וקודי אימות באימייל, אבל מפתחות גישה מציעים אבטחה טובה יותר. נתוני הביצועים מצביעים על כך שזו השיטה הטובה ביותר לשימור משתמשים ולאבטחה. בנוסף, בניגוד לקודי אימות, אי אפשר ליירט או לגנוב מפתחות גישה באמצעות הנדסה חברתית.
ההשפעה: שיעורי הצלחה וחוויית משתמש
הטמעת מפתחות הגישה הובילה לעלייה משמעותית בשיעור ההצלחה של הכניסה לחשבון. שיטות אימות מדור קודם כמו סיסמאות וקודי אימות נכשלות לעיתים קרובות בגלל פרטי כניסה שנשכחו או בעיות בשליחת אימיילים של קודי אימות.
אצל משתמשים עם מפתחות גישה, שיעור ההצלחה של האימות היה 99%. זהו שיפור של 29 נקודות אחוז בהשוואה לשימוש בשם משתמש ובסיסמה.
| מדד | שם משתמש וסיסמה | מפתחות גישה |
|---|---|---|
| שיעור ההצלחה של האימות | ~70% | 99%ומעלה |
תובנות לגבי התנהגות המשתמשים: עקומת האימוץ בצורת U
ב-pixiv גילו גם מתאם בין גיל החשבון לבין אימוץ מפתחות הגישה. ב-pixiv הבחינו במגמה בצורת U, שבה אנשים עם חשבונות ישנים וחדשים יותר נוטים להפעיל מפתחות גישה.
משתמשים מתקדמים (10 שנים או יותר)
שיעור האימוץ של משתמשים שנרשמו לפני יותר מעשור גבוה יותר מ-6%. למשתמשים האלה יש בדרך כלל תיקי עבודות נרחבים וסימניות שנבחרו בקפידה. ב-pixiv משערים שהמשתמשים האלה, שהחשבונות שלהם מייצגים שנים של עבודה יצירתית, יכולים להיות בעלי מודעות גבוהה יותר לאבטחה ומוכנות רבה יותר לאמץ סטנדרטים מודרניים של אבטחה כמו מפתחות גישה, כדי להגן על הנכסים הדיגיטליים שלהם.
נרשמים חדשים
ב-pixiv הטמיעו מסך חדש לאישור אבטחה, שבו המשתמשים מתבקשים לאשר את הגדרות האבטחה שלהם. בנוסף, מוצע להם להשתמש במפתחות גישה כשיטה מהירה ומאובטחת להתחברות שלא דורשת סיסמה או קוד אימות.
גם משתמשים שהצטרפו אחרי שהצגנו את מסך אישור האבטחה הראו שיעור אימוץ גבוה יותר של מפתחות גישה (כ-6%).
ב-pixiv העלו את ההשערה שאם יציעו למשתמשים להגדיר מפתחות גישה מיד אחרי שהם יצליחו להתחבר, הם יבחרו במפתחות גישה כדי להקל על תהליך הכניסה.
הפער 'האמצעי'
האימוץ היה הכי נמוך (פחות מ-4%) בקרב משתמשים שנרשמו בשנים שקדמו להשקת המסך 'אישור אבטחה'. הקבוצה הזו בדרך כלל מוגדרת כברירת מחדל להרגלי סיסמאות מוכרים. מכיוון שהקבוצה הזו כבר רגילה להתחבר באמצעות סיסמאות מדור קודם, ב-pixiv העלו את ההשערה שהמשתמשים האלה פחות מונעים לעבור למפתחות גישה בהשוואה למשתמשים חדשים שרואים את ההמלצה כשהם מתחברים בפעם הראשונה.
ב-pixiv מקדמים את השימוש במפתחות גישה בדף הגדרות האבטחה, ומקווים שהשימוש במפתחות גישה יגדל ככל שהמשתמשים יכירו אותם יותר.
תחזית לעתיד
ב-pixiv, מפתחות גישה הם שדרוג אבטחה, אבל גם גורם חשוב בחוויית המשתמש. באמצעות התמקדות אסטרטגית ברגע שאחרי ההתחברות, חברת pixiv זיהתה נתיב יעיל לאימוץ.
ככל שהמוּדעוּת העולמית לטכנולוגיית מפתחות הגישה מתפתחת, pixiv מתכוונת לשפר את תהליכי האימות שלה. מטרת האופטימיזציות האלה היא להעביר את 60% הנותרים מהמשתמשים שמסתמכים על סיסמאות לעתיד מאובטח וחלק יותר, בדומה לשיעור ההצלחה של 99% באימות שכבר נצפה בקרב משתמשים מוקדמים.