メルカリ苅野氏「メルカリは、パスキーを登録するとパスキーアカウントにマイグレーション。マジックリンクやSMS・OTPは使えなくなる。メルコインでは、パスキー登録が必須で、利用者はすべてフィッシング耐性のあるアカウントを持っている前提。
すごく大きな問題がある。メルカリでパスキーが使えない状況になるとログインできなくなる。リカバリーするにはCSオペレーションしかなくて手間と時間がかかる。ソーシャルログインはできるが、大部分はパスキーがなくなるとログインできなくなる。身元確認した上でパスキーリカバリーになる。非常にUXが悪い状態になる。海外ではメルカリは嫌われるパスキーの一角を担っていると言われたりする。これによってフィッシングの攻撃を防ぐことが難しくなっている。パスキーアカウントのUXが良くないので登録したくない、登録させたくないプロダクトオーナーも出てくる。フィッシングをなくしていくために解決しなければいけない問題。
解決方法としてはなくしてもログインで困らないまたは自分で解決できる手法。リオ凜的にフィッシング耐性がある認証要素はパスキーだけだが、ログイン時にアカウント乗っ取りのリスクを図って、それに応じて代替認証要素、パスワード・OTPはやりたくないが、リスクが低いなら許してもいい。リカバリーでは、身元確認でのリカバリーを実施。CSオペレーションの自動化で、セルフサービスでできるようにする。マイナンバーカードを使う。パスキーが使えなくてもマイナカード読み取ってリカバリできる。カードを持っていて電子証明書のパスワードを覚えていれば。現状の問題が解決できているとは考えていなくて、他の方法(iPhoneマイナンバーカード)とかを使う必要がある。
UXに大きな問題。解決に大きなリソースを払っている。これを脱して、嫌われるパスキーでなくなればより積極的なパスキー移行を推進できる。
