הגדלה של 100% בהרשמה למפתחות גישה באמצעות WebOTP בחברת Amedia

Henning Haaland Kulander
Henning Haaland Kulander
Yu Tsuno
Yu Tsuno

תאריך פרסום: 30 ביוני 2026

הלוגו של Amedia

‫Amedia היא חברת ההוצאה לאור הגדולה ביותר בנורווגיה של מדיה מקומית עם תוכן מערכתי. החברה מנהלת יותר מ-100 כותרים של עיתונים ומגיעה ליותר מ-2 מיליון קוראים מדי יום. כדי לספק חוויה אחידה וחלקה, Amedia משתמשת ב-aID, פתרון הזהות הדיגיטלית הפנימי שלה. מערכת החשבונות המאוחדת הזו, שמבוססת על תקנים, לא רק מעניקה למשתמשים גישה לכל הרשת של Amedia, אלא גם אומצה על ידי עיתונים אחרים בנורווגיה ובדנמרק.

האתגר: הטמעת מפתחות גישה בקרב בסיס משתמשים מגוון

תהליך הכניסה של Amedia הוא השער לתוכן שלהם. כל שנייה של חיכוך משפיעה ישירות על מספר הקוראים. סיסמאות רגילות ואימות דו-שלבי (2FA) שמבוסס על SMS ידועים כמסורבלים למשתמשים בתנועה, אבל המעבר ישירות למפתחות גישה יצר חסם בלתי צפוי: חוסר היכרות מוחלט.

מכיוון שמזהה Apple הוא לרוב המפגש הראשון של המשתמש עם מפתח גישה, שינוי פתאומי של הנחיה ביומטרית לא מוכרת גרם לחלק מהמשתמשים להסס. חברת Amedia הבינה שהיא לא יכולה רק לפרוס את הטכנולוגיה: היא צריכה לעזור למשתמשים להבין איך להשתמש במפתחות גישה.

הפתרון: שילוב של WebOTP ושל מפתח גישה

במקום להכריח את המשתמשים לבחור בין הרגל ישן (SMS) לבין קונספט חדש לגמרי (מפתחות גישה), חברת Amedia שילבה ביניהם לחוויית הצטרפות חלקה אחת. הם השתמשו ב-WebOTP API כדי לייעל את תהליך האימות המוכר באמצעות SMS, ובמקביל הקימו בשקט את התשתית לכניסה ללא סיסמה בקצה העורפי.

1. הרשמה פשוטה ונוחה בפלטפורמות שונות

כשמשתמש נרשם ל-aID, הוא מזין את השם, מספר הטלפון וכתובת האימייל שלו. לאחר מכן, חברת Amedia שולחת סיסמה חד-פעמית (OTP) באמצעות SMS. חברת Amedia מסתמכת באופן ספציפי על קוד אימות חד-פעמי ב-SMS ולא על אימייל, כי בסקנדינביה נדיר שיש יותר ממספר טלפון אחד, והמספרים מנוידים בצורה חלקה כשעוברים בין ספקי סלולר. היציבות הזו הופכת את מספרי הטלפון למזהה ראשי מהימן לכניסה לחשבון ולנקודת נתונים עקבית ליצירת פרופילים מורחבים של משתמשים. במקום לחייב את המשתמש לצאת מהדפדפן, לפתוח את אפליקציית ההודעות, לזכור את הקוד ולהקליד אותו, Amedia משתמשת ב-WebOTP API. בדפדפנים נתמכים בנייד, הפעולה הזו מציגה הנחיה בגיליון התחתון שמאפשרת למשתמש פשוט להקיש על אימות. הדפדפן מאחזר באופן אוטומטי את הסיסמה החד-פעמית מה-SMS ושולח את הטופס.

תהליך האימות של WebOTP

בנוסף, חברת Amedia עדכנה את משלוח ה-SMS שלה כדי להשתמש בפורמט הודעות סטנדרטי שמוגבל למקור (לדוגמה, @www.aid.no #123456) , וכך אפשרה כניסה חלקה למגוון רחב יותר של שירותים. התקן הזה לא רק מפעיל את WebOTP API בדפדפנים כמו Chrome,‏ Opera ו-Vivaldi ב-Android ובמחשב, אלא גם מפעיל בצורה חלקה את התכונה autocomplete="one-time-code" של Safari. כתוצאה מכך, משתמשים בפלטפורמות לנייד ולמחשב נהנים מתהליך מאובטח ואוטומטי של קבלת סיסמה חד-פעמית, בלי שנדרשת לוגיקת קצה עורפי ספציפית לפלטפורמה. מידע נוסף זמין במאמר בנושא שיטות מומלצות לשימוש בטופס OTP ב-SMS.

// Detect feature support using OTPCredential availability
if ('OTPCredential' in window) {
  window.addEventListener('DOMContentLoaded', e => {
    const input = document.querySelector('input[autocomplete="one-time-code"]');
    if (!input) return;

    const ac = new AbortController();
    const form = input.closest('form');
    if (form) {
      form.addEventListener('submit', (e) => {
         ac.abort();
      });
    }

    navigator.credentials.get({
      otp: { transport: ['sms'] },
      signal: ac.signal
    }).then(otp => {
      // Automatically fill the input and submit the form
      input.value = otp.code;
      if (form) form.submit();
    }).catch(err => {
      console.error('WebOTP error:', err);
    });
  });
}

2. רישום מיידי של מפתח גישה

בעבר, אחרי שמשתמש השלים את האימות באמצעות WebOTP, המערכת של Amedia הציגה לו אפשרות: ליצור סיסמה רגילה או להגדיר מפתח גישה. כצפוי, כשרוב המשתמשים נתקלו במונח טכני לא מוכר, הם בחרו בדרך הקלה ביותר: דילוג על השלב או שימוש בסיסמה רגילה.

באמצע פברואר, צוות Amedia שינה את הגישה שלו. הם שילבו את ההנחיה להירשם באמצעות מפתח גישה באופן מיידי בתהליך שאחרי האימות, עוד לפני שהציגו למשתמשים אפשרויות. כדי לעמוד בדרישות המחמירות של תנועה של המשתמש בדפדפנים כמו Chrome ו-Safari, חברת Amedia שרשרה את האינטראקציה בצורה חלקה. מכיוון שהמשתמש מאשר קוד אימות חד-פעמי קודם, ההקשה הראשונית הזו משמשת כתנועה של המשתמש הנדרשת להצגת ההנחיה של navigator.credentials.create() באופן ישיר. הפיכת מפתחות הגישה לחוויית ברירת המחדל במקום להגדרה אופציונלית, אפשרה ל-Amedia להכפיל באופן מיידי את שיעור ההרשמות המוצלחות.

ההנחיה המיידית הזו הייתה יעילה מאוד, אבל הצוות ניסה לייעל עוד יותר את החוויה באמצעות יצירה מותנית, מנגנון שיוצר מפתח גישה ברקע בלי לדרוש פעולה ישירה מהמשתמש. אבל הם נתקלו בבעיה טכנית: כדי ליצור חשבון באופן מותנה, צריך להיכנס קודם באמצעות סיסמה תקפה שנשמרה במנהל סיסמאות. תהליך WebOTP של Amedia לא כולל סיסמה בכלל, ולכן הוא לא עומד בקריטריון האבטחה הזה. כדי לעקוף את המגבלה הזו, Amedia שומרת עכשיו את האפשרות ליצור חשבון רק בתהליכי כניסה רגילים עם אימות דו-שלבי (סיסמה וקוד OTP), ומשתמשת בתנועה של המשתמש משורשרת להצטרפות ללא סיסמה.

הנחיה לרישום מפתח גישה

כדי להבטיח חוויה אמינה, המערכת משתמשת בתהליך רישום רגיל. הפעולה הזו מפעילה תיבת דו-שיח בממשק המשתמש של הדפדפן, שבה המערכת מציגה בצורה מאובטחת את ממשק המשתמש של הדפדפן לרישום מפתח הגישה. המשתמש יוצר מפתח גישה באמצעות השיטה לביטול הנעילה של המכשיר (נתונים ביומטריים או קוד אימות). אם משלבים את הזכות הזו אחרי WebOTP, המשתמש משלים את ההגדרה בלי להצטרך להבין מהי סיסמה.

// Triggered immediately after successful WebOTP verification
async function registerPasskey(creationOptionsFromServer) {
  try {
    const credential = await navigator.credentials.create({
      publicKey: {
        ...creationOptionsFromServer,
        authenticatorSelection: {
          residentKey: "required",
          userVerification: "required"
        }
      }
    });

    // Send the new credential to the server for registration
    await sendCredentialToServer(credential);
  } catch (error) {
    console.error("Passkey registration failed", error);
  }
}

3. כניסות מהירות חוזרות לחשבון

בביקור הבא של המשתמש בפרסום של Amedia באותו מכשיר, מפתח הגישה מפעיל באופן אוטומטי כניסה. אם המשתמש מקיים אינטראקציה עם הדף לפני שההנחיה האוטומטית מופיעה, או אם ההנחיה האוטומטית נסגרת, המערכת משתמשת בצורה חלקה במילוי אוטומטי של טופס עם מפתח גישה.

כך תהליך הכניסה מהיר, כי המשתמש צריך רק להגיב להודעה בדפדפן או במערכת ההפעלה או לבחור את מפתח הגישה מתוך ההצעות למילוי אוטומטי במקלדת, בלי למלא את הטופס באופן ידני.

// Triggering conditional UI for autofill suggestions
async function authenticateWithPasskey(requestOptionsFromServer) {
  try {
    const credential = await navigator.credentials.get({
      publicKey: requestOptionsFromServer,
      mediation: "conditional" // Enables autofill integration
    });

    // Authenticate the user on the server
    await verifyAssertionWithServer(credential);
  } catch (error) {
    console.error("Passkey authentication failed", error);
  }
}

ההשפעה: שרשור להטמעה חלקה

בעקבות שיפור תהליך ההצטרפות, חברת Amedia הצליחה לצמצם משמעותית את החיכוך עם קוראים חדשים ועם קוראים חוזרים. השילוב של WebOTP ומפתחות גישה הוביל לשיפורים ברורים בתפעול ובחוויית המשתמש:

  • הרשמה מהירה משמעותית: הזמן הכולל שנדרש ליצירת חשבון aID חדש התקצר משמעותית בזכות הזנה אוטומטית של WebOTP והסרה מלאה של יצירת סיסמה ידנית.
  • 48% מהמשתמשים החדשים יוצרים מפתחות גישה: חברת Amedia הציגה למשתמשים בקשה ליצור מפתח גישה מיד אחרי אימות WebOTP, וכך השיגה שיעור המרה גבוה במיוחד של הרשמות למפתחות גישה. מדובר בעלייה של 100% לעומת תהליך ההצטרפות הקודם שלהם, שהתבסס על בחירה.
  • כניסה מהירה יותר ב-82%: משתמשים חוזרים מאומתים יותר מפי חמישה מהר יותר באמצעות מפתחות גישה בהשוואה לשיטות חלופיות כמו סיסמאות או הזנה ידנית של קוד אימות חד-פעמי.
מדד ערך
שיעור יצירת מפתחות גישה למשתמשים חדשים 48%
כניסה מהירה יותר למשתמשים חוזרים 82%
עלייה בשימוש במפתחות גישה 100%

לסיכום, בזמן שהסביבה הדיגיטלית הרחבה ממשיכה להתמודד עם אתגרים שקשורים למינוח של מפתחות גישה ולהדרכת משתמשים, הגישה הפרואקטיבית של Amedia מספקת תוכנית פעולה מוצלחת. שילוב של מפתחות גישה בשירות בתדירות גבוהה שמשמש מיליוני משתמשים מדי יום יוצר תקן חדש לגישה חלקה בתעשיית המדיה, ומספק שדרוג אבטחה קבוע בלי לפגוע בשימור המשתמשים.