pixiv 是全球最大的藝術家社群媒體平台之一,擁有超過 1 億名使用者,以及 1.6 億張插畫、漫畫和小說。對於以創意智慧財產權為基礎建構的平台而言,在提供完善安全防護的同時,兼顧流暢的使用者體驗,是首要之務。
為邁向無密碼的未來,pixiv 整合了密碼金鑰。結果立竿見影:密碼金鑰使用者的驗證成功率達到 99%,比舊版密碼登入方式高出 29%,且最活躍使用者的登入阻力大幅降低。
策略:改用無密碼驗證
pixiv 提供四種驗證方式:
- 以電子郵件為基礎的「免密碼」登入:pixiv 會將驗證碼傳送至使用者的註冊電子郵件地址。這對使用者來說可能很複雜,而且如果使用者的電子郵件遭盜用,仍可能受到特定網路釣魚攻擊和帳戶盜用。這是新註冊 pixiv 帳戶的預設方法。
- 電子郵件地址和密碼:這是舊版驗證方法,使用者必須提供註冊的電子郵件地址和密碼。這種方法容易發生憑證填塞攻擊,而且管理多個複雜憑證會導致密碼疲乏。
- 社群登入:使用者可透過第三方身分識別資訊提供者 (例如 Google 帳戶) 的現有憑證,向服務驗證身分。
- 密碼金鑰:以公開金鑰密碼編譯為基礎的現代憑證,可有效防範網路釣魚。使用者可透過裝置的螢幕鎖定功能 (生物辨識或 PIN 碼) 登入,密碼金鑰會安全地儲存在裝置上,並同步到各個平台。
為什麼密碼金鑰能提供更優質的無密碼登入體驗
許多人對密碼和電子郵件驗證碼都很熟悉,但密碼金鑰可提供更強大的安全性:
- 電子郵件帳戶風險:以電子郵件為基礎的系統容易遭到帳戶盜用。如果電子郵件遭入侵,攻擊者就能略過驗證碼,未經授權存取帳戶。這些系統通常需要額外的第二重驗證 (2FA) 才能達到嚴密的安全防護。
- 內建可靠性:密碼金鑰會以加密方式連結至特定網域,因此無法在詐欺代理網站上使用。由於密碼金鑰需要實體裝置和手勢 (生物特徵辨識或 PIN 碼),因此可做為內建的第二個驗證因子。密碼金鑰提供高可靠性,且使用者體驗更簡單,不必執行額外的兩步驟驗證。
- 流暢體驗:與舊版方法相比,密碼金鑰可為使用者提供更穩固流暢的體驗。
如需更多技術詳細資料,請參閱密碼金鑰總覽。
pixiv 採用密碼金鑰的主要目標,是讓使用者改用密碼金鑰,不再使用舊版密碼系統
雖然許多使用者都熟悉密碼和電子郵件驗證碼,但密碼金鑰的安全性更高。效能資料顯示,這是留住使用者和確保安全性的最佳方法。與驗證碼不同,密碼金鑰無法透過社交工程手法攔截或竊取。
影響:成功率和使用者體驗
導入密碼金鑰後,登入成功率大幅提升。如果使用密碼和驗證碼等舊版驗證方法,往往會因為忘記憑證或驗證碼電子郵件傳送問題而驗證失敗。
使用密碼金鑰的使用者驗證成功率高達 99%。比使用者名稱和密碼高出 29 個百分點。
| 指標 | 使用者名稱和密碼 | 密碼金鑰 |
|---|---|---|
| 驗證成功率 | 約 70% | 99% 以上 |
使用者行為洞察:採用率「U 形」曲線
pixiv 也發現帳戶年齡與密碼金鑰採用率之間存在關聯。pixiv 觀察到「U 形」趨勢,也就是說,最舊和最新的使用者更有可能啟用密碼金鑰。
進階使用者 (10 年以上)
註冊超過十年的使用者採用率更高,超過 6%。這些使用者通常擁有豐富的投資組合和精選書籤。pixiv 認為,這些帳戶代表使用者多年的創作成果,因此他們可能具有較高的安全意識,也更願意採用密碼金鑰等現代安全標準,保護自己的數位資產。
新註冊者
pixiv 推出了新的「安全確認」畫面,提示使用者確認安全設定,並建議使用密碼金鑰做為快速安全的登入方法,不需輸入密碼或驗證碼。
在「安全確認」畫面推出後加入的使用者,密碼金鑰採用率也較高 (約 6%)。
pixiv 假設在使用者成功登入後,建議他們設定密碼金鑰,可以促使他們選擇密碼金鑰,簡化登入程序。
「中間」差距
在「安全確認」畫面推出前幾年註冊的使用者,採用率最低 (不到 4%)。這個群組通常會沿用習慣的密碼。由於這個群組已習慣使用舊版密碼登入,pixiv 假設與首次登入時看到建議的新使用者相比,他們較不願意改用密碼金鑰。
pixiv 會在安全性設定頁面宣傳密碼金鑰,並希望隨著時間推移,密碼金鑰的普及率會越來越高。
未來展望
對 pixiv 而言,密碼金鑰不僅是安全升級,也是使用者體驗的關鍵因素。pixiv 策略性地著重於登入後的時刻,找出有效的採用途徑。
隨著全球對密碼金鑰技術的認識日趨成熟,pixiv 打算改善安全確認流程。這些最佳化措施的目標,是讓其餘 60% 依賴密碼的使用者,轉向更安全、更流暢的未來,就像早期採用者已達到的 99% 驗證成功率一樣。