【C2C電商平臺業Passkey應用實例：露天市集】電商會員帳號登入安全新作法，以無密碼對抗網釣

引領臺灣C2C電商市場發展的露天市集，主要提供讓買家與賣家自由交易的平臺，與普遍B2C購物網站一樣，都屬於常見的電商模式，但最大不同點在於，每個會員既是買家，也能搖身一變成為賣家，這樣的開放性，使其更容易成為詐騙集團的目標。

為了兼顧交易的自由度與資訊安全，露天市集自栩對帳號安全的重視程度，已經超越一般B2C購物網站。例如，2015年他們就推出「露天代碼產生器」的兩步驟驗證機制，幫助用戶避免遭受網釣攻擊，今年有新作法，那就是提供Passkey無密碼登入的安全驗證方式，使客戶登入他們的服務能有更好體驗。

強化買賣家會員帳號安全，從技術與條件管控著手

這些年來，線上購物網站安全的問題，一直受到社會大眾的關注，從2006年成立之今的露天市集，在強化網站安全之餘，對於會員帳號的安全管控，也持續強化。

露天市集共同營運長周書華表示，在帳號安全管控上，露天市集從開站以來就使用簡訊OTP做帳號認證，而且強調會員分級的管控概念。

例如，一旦買家會員想要在平臺上賣東西，必須多經過一道Email驗證程序，賣家要處理金流狀況時，也都要再次進行OTP驗證。去年他們也配合政府打詐與防制洗錢的政策，要求所有的賣家須通過實名驗證，才能進行收款與商品上架，未來也將設定更多會員分級的機制，像是新註冊賣家用戶的上架商品數量將受限制等。

不只從條件進行管控，他們還有技術層面的防範。在會員登入機制上，露天市集截至目前為止，歷經3個重要變化：

● 2015年提供App形式的兩步驟驗證，也就是打造出「露天代碼產生器」App，讓用戶登入會員帳號時，還需輸入App上的OTP碼來驗證身分。

● 2023年擴大簡訊OTP的使用範圍，針對超過半年未登入，以及換電腦、異地登入等高風險情形，都需要再次進行簡訊OTP認證。

● 2024年推出Passkey的無密碼登入，周書華指出，露天市集早年雖有兩步驟驗證的露天代碼產生器，但不夠便利，導致使用率未能提升，如今希望Passkey導入，讓用戶體驗更簡單、容易上手。

憂心用戶不懂Passkey導致操作門檻過高，場域實證成契機

關於露天市集這次導入Passkey的時間點，周書華表示，Passkey無密碼登入是在今年1月正式上線，一開始只提供於露天市集App與手機網頁版，3月開放電腦網頁版也能應用。換言之，在國內，露天市集算是最早採取行動的業者之一。

露天市集網站今年已經支援Passkey無密碼登入，讓用戶在申請這項新的安全驗證方式後，就能以更安全與便利的掃臉、指紋辨識，取代傳統密碼的系統登入方式。攝影／羅正漢

他們之所以能在年初推出，周書華透露，與去年參與的相關驗證計畫有關。

她解釋，露天市集很早就關注FIDO技術，但在早期，他們對這方面技術秉持觀望的態度。例如，公司內部在2022年底曾討論這項議題，但並未排定在2023年度計畫當中。

最主要的原因在於，考慮到國內使用者對於Passkey完全沒有概念，加上其他電商並沒有導入，因此憂心教育使用者的成本可能會很高。

2023下半出現一個機會，讓他們願意嘗試，因為政府此時為了鼓勵業者，積極發展零信任的技術與產品服務，進而設立「零信任資安場域實證獎勵計畫」，雖然這是針對資安業者而來的活動，但也需要結合場域來實證。

於是，在這項計畫的電子商務場域的項目，今年成立滿20年的數聯資安找上露天市集合作，嘗試零信任之身分鑑別機制的場域驗證，雙方合作包含Passkey導入認證，也結合該公司資安監控中心SOC監控，確保各項認證作業安全。

周書華指出，這個場域實證期間是在去年6月15日到11月15日，當時露天市集在尚未投入資源的狀態下，但已經先體驗到Passkey應用在自家場景的效果。這也讓他們確定要繼續發展，並在今年以企業身分申請相關獎勵計畫，參與FIDO安全身分識別項目。

因為，這不僅提供更安全簡便的登入方式，相較於常見的第三方服務登入（Google、Line、FB），現在露天也能提供平臺自身的免記密碼方案，加上去年簡訊OTP認證的使用範圍擴大，每月數十萬通簡訊成本負擔不小，因此也希望Passkey能成為降低成本的手段之一。

持續克服導入Passkey的3大挑戰

露天市集成功導入Passkey，對於臺灣電商產業而言，別具意義。原因在於，最近兩年全球電商業者中，已有Amazon與eBay支援Passkey，如今他們成為臺灣C2C電商平臺的第一個Passkey應用實例，有望帶動更多電商業者跟進。

雖然Passkey在全球商業應用領域發展正夯，但對臺灣企業而言，導入Passkey可能面臨哪些挑戰？從露天市集的先期發展經驗來看，他們指出3大挑戰層面，需要繼續克服。

首先，需要教導用戶申請與使用Passkey。就像前幾年露天市集憂心的，若使用者普遍不了解Passkey的好處與必要性，此時推動用戶接納這項新功能，就需要投入更多成本來教育使用者。

即便一些消費者可能已經知道國內銀行有FIDO這類安全機制，但他們可能沒想過在購物與拍賣的網站，也能使用FIDO技術的Passkey無密碼登入。

因此，最早他們只有在露天會員的幫助中心，於問與答頁面說明Passkey無密碼登入的申請方式；今年7月，他們才真正開始大力向用戶宣傳，鼓勵大家可以透過不用記憶密碼的Passkey登入。

第二，即便消費者已接受這樣的機制，但在實際申請與多種裝置的使用上，還是有些阻礙。

以申請狀況而言，雖然露天市集最近發動兩波宣傳，針對Passkey申請與使用，提供詳細的教學步驟與文件，並透過舉辦多次活動，企圖吸引用戶採行，包括贈送食物、露幣等獎勵，但公司的客服團隊還是接獲很多用戶意見反映，他們表示，想拿獎勵卻不知如何啟用。

以多裝置使用而言，根據他們目前的觀察，透過手機操作的流程算簡易，用電腦操作的狀況比較多。從最常見的用戶反映情形來看，一是用戶不清楚自己的Windows電腦環境是否支援Passkey，一是很多人用iPhone手機、Windows電腦，目前仍需要在不同裝置各自申請Passkey，但對有些用戶而言，會覺得再做一次很麻煩。畢竟，FIDO憑證可攜方案目前正在發展，現在還無法應用。

因此，是否影響整體購物的體驗，他們仍會持續追蹤，畢竟涉及電商轉換率等議題，仍是最關注的重點。

最後一點較為特別，與C2C環境的賣家產業生態有關，由於有些賣家是比較大的公司，容易有多個工作人員共用帳號，以及負責人員經常更換的狀況。

換言之，企業賣家需要教育每個人如何使用Passkey，也要多留意人員異動後的Passkey登入取消與重設。不然這些賣家，可能還是會選擇以往習慣的傳統帳號密碼登入方式。

 相關報導