自今年1月开始,露天市集App与手机版网站已支援Passkey无密码登入,3月电脑版网站也能使用,成为台湾C2C电商平台导入Passkey首例。(摄影/罗正汉)
引领台湾C2C电商市场发展的露天市集,主要提供让买家与卖家自由交易的平台,与普遍B2C购物网站一样,都属于常见的电商模式,但最大不同点在于,每个会员既是买家,也能摇身一变成为卖家,这样的开放性,使其更容易成为诈骗集团的目标。
为了兼顾交易的自由度与资讯安全,露天市集自栩对帐号安全的重视程度,已经超越一般B2C购物网站。例如,2015年他们就推出「露天代码产生器」的两步骤验证机制,帮助用户避免遭受网钓攻击,今年有新作法,那就是提供Passkey无密码登入的安全验证方式,使客户登入他们的服务能有更好体验。
强化买卖家会员帐号安全,从技术与条件管控著手
这些年来,线上购物网站安全的问题,一直受到社会大众的关注,从2006年成立之今的露天市集,在强化网站安全之余,对于会员帐号的安全管控,也持续强化。
露天市集共同营运长周书华表示,在帐号安全管控上,露天市集从开站以来就使用简讯OTP做帐号认证,而且强调会员分级的管控概念。
例如,一旦买家会员想要在平台上卖东西,必须多经过一道Email验证程序,卖家要处理金流状况时,也都要再次进行OTP验证。去年他们也配合政府打诈与防制洗钱的政策,要求所有的卖家须通过实名验证,才能进行收款与商品上架,未来也将设定更多会员分级的机制,像是新注册卖家用户的上架商品数量将受限制等。
不只从条件进行管控,他们还有技术层面的防范。在会员登入机制上,露天市集截至目前为止,历经3个重要变化:
● 2015年提供App形式的两步骤验证,也就是打造出「露天代码产生器」App,让用户登入会员帐号时,还需输入App上的OTP码来验证身分。
● 2023年扩大简讯OTP的使用范围,针对超过半年未登入,以及换电脑、异地登入等高风险情形,都需要再次进行简讯OTP认证。
● 2024年推出Passkey的无密码登入,周书华指出,露天市集早年虽有两步骤验证的露天代码产生器,但不够便利,导致使用率未能提升,如今希望Passkey导入,让用户体验更简单、容易上手。
忧心用户不懂Passkey导致操作门槛过高,场域实证成契机
关于露天市集这次导入Passkey的时间点,周书华表示,Passkey无密码登入是在今年1月正式上线,一开始只提供于露天市集App与手机网页版,3月开放电脑网页版也能应用。换言之,在国内,露天市集算是最早采取行动的业者之一。
露天市集网站今年已经支援Passkey无密码登入,让用户在申请这项新的安全验证方式后,就能以更安全与便利的扫脸、指纹辨识,取代传统密码的系统登入方式。摄影/罗正汉
他们之所以能在年初推出,周书华透露,与去年参与的相关验证计划有关。
她解释,露天市集很早就关注FIDO技术,但在早期,他们对这方面技术秉持观望的态度。例如,公司内部在2022年底曾讨论这项议题,但并未排定在2023年度计划当中。
最主要的原因在于,考虑到国内使用者对于Passkey完全没有概念,加上其他电商并没有导入,因此忧心教育使用者的成本可能会很高。
2023下半出现一个机会,让他们愿意尝试,因为政府此时为了鼓励业者,积极发展零信任的技术与产品服务,进而设立「零信任资安场域实证奖励计划」,虽然这是针对资安业者而来的活动,但也需要结合场域来实证。
于是,在这项计划的电子商务场域的项目,今年成立满20年的数联资安找上露天市集合作,尝试零信任之身分鉴别机制的场域验证,双方合作包含Passkey导入认证,也结合该公司资安监控中心SOC监控,确保各项认证作业安全。
周书华指出,这个场域实证期间是在去年6月15日到11月15日,当时露天市集在尚未投入资源的状态下,但已经先体验到Passkey应用在自家场景的效果。这也让他们确定要继续发展,并在今年以企业身分申请相关奖励计划,参与FIDO安全身分识别项目。
因为,这不仅提供更安全简便的登入方式,相较于常见的第三方服务登入(Google、Line、FB),现在露天也能提供平台自身的免记密码方案,加上去年简讯OTP认证的使用范围扩大,每月数十万通简讯成本负担不小,因此也希望Passkey能成为降低成本的手段之一。
持续克服导入Passkey的3大挑战
露天市集成功导入Passkey,对于台湾电商产业而言,别具意义。原因在于,最近两年全球电商业者中,已有Amazon与eBay支援Passkey,如今他们成为台湾C2C电商平台的第一个Passkey应用实例,有望带动更多电商业者跟进。
虽然Passkey在全球商业应用领域发展正夯,但对台湾企业而言,导入Passkey可能面临哪些挑战?从露天市集的先期发展经验来看,他们指出3大挑战层面,需要继续克服。
首先,需要教导用户申请与使用Passkey。就像前几年露天市集忧心的,若使用者普遍不了解Passkey的好处与必要性,此时推动用户接纳这项新功能,就需要投入更多成本来教育使用者。
即便一些消费者可能已经知道国内银行有FIDO这类安全机制,但他们可能没想过在购物与拍卖的网站,也能使用FIDO技术的Passkey无密码登入。
因此,最早他们只有在露天会员的帮助中心,于问与答页面说明Passkey无密码登入的申请方式;今年7月,他们才真正开始大力向用户宣传,鼓励大家可以透过不用记忆密码的Passkey登入。
第二,即便消费者已接受这样的机制,但在实际申请与多种装置的使用上,还是有些阻碍。
以申请状况而言,虽然露天市集最近发动两波宣传,针对Passkey申请与使用,提供详细的教学步骤与文件,并透过举办多次活动,企图吸引用户采行,包括赠送食物、露币等奖励,但公司的客服团队还是接获很多用户意见反映,他们表示,想拿奖励却不知如何启用。
以多装置使用而言,根据他们目前的观察,透过手机操作的流程算简易,用电脑操作的状况比较多。从最常见的用户反映情形来看,一是用户不清楚自己的Windows电脑环境是否支援Passkey,一是很多人用iPhone手机、Windows电脑,目前仍需要在不同装置各自申请Passkey,但对有些用户而言,会觉得再做一次很麻烦。毕竟,FIDO凭证可携方案目前正在发展,现在还无法应用。
因此,是否影响整体购物的体验,他们仍会持续追踪,毕竟涉及电商转换率等议题,仍是最关注的重点。
最后一点较为特别,与C2C环境的卖家产业生态有关,由于有些卖家是比较大的公司,容易有多个工作人员共用帐号,以及负责人员经常更换的状况。
换言之,企业卖家需要教育每个人如何使用Passkey,也要多留意人员异动后的Passkey登入取消与重设。不然这些卖家,可能还是会选择以往习惯的传统帐号密码登入方式。