יום ראשון, 10 בספטמבר 2023

467 Passkeys with Rooly from OwnID

פרק 467 של רברס עם פלטפורמה - הוקלט ב-5 בספטמבר 2023 (חג ספטמבר שמח!). אורי ורן מארחים באולפן בכרכור את רולי אליעזרוב מחברת OwnID לשיחה על Passkeys ותחום ה-Identity Management, שרולי נמצא בו כבר הרבה מאוד שנים.


01:20 קצת על רולי , Gigya ו-OwnID
(רן) אז לפני שנצלול פנימה - כמה מילים עליך ועל החברה, רולי?
  • (רולי) כן, אז כמו שאמרת - אני באמת Veteran של תחום ה-Identity: אני הקמתי חברה בשם Gigya ב-2007
  • ובעצם, מה שגם מיוחד בגישה שלנו - כשאתה מדבר על iIdentity, בדרך כלל זה חברות, החברות שנותנות פתרונות בתחום הן עם “DNA של IT”
    • זה בדרך כלל נתפס כאיזשהו פתרון Security לבעיה של אות’נטיקציה (Authentication) בדרך כלל של ה-Employees או B2B
  • ואנחנו - גם בחברה הקודמת וגם בחברה הזו, ואני חושב ש-Passkeys גם מתקשר לזה - מביאים את זה לרמת ה-Consumer
    • זאת אומרת - פתרון . . . . אנחנו בעצם היינו מהראשונים שנתנו פתרון-מוצרי, שמשרת את ה-Consumer
    • מכרנו לחברות - אבל זה לא היה לזיהוי של העובדים, אלא ל-Identity של הלקוחות.
(רן) לצורך העניין - לא זיהוי של עובדי הבנק, אלא זיהוי של לקוחות הבנק . . .
    • (רולי) כן, והרבה פחות מבנקים, אפילו . . .  אתה יודע,  B2C הכי “Mainstream”
(רן) כן, אז זה מה שהיה ב-Gigya - והיום ב-OwnID?
  • (רולי) כן, אז ב-Gigya בעצם “ארזנו” קונספטים (Concepts) קיימים שקשורים ל-Identity,
      • למי שלא הבינו עדיין על מה אנחנו מדברים - על Registration, Login וכל ה-Data שנשמר מאחור 
      • וה-Consent - מה אני יכול לעשות עם ה-Data, וכו'.
    • אז פשוט ארזנו את זה ועשינו פודקטיזציה (Productization) של כאילו Plug & Play לכל חברה שרצתה להשתמש במשהו “מן המוכן”.
    • אבל בעצם לא המצאנו שום דבר . . . 
  • מה שעשינו ב-OwnID זה שאנחנו מביאים בעצם איזושהי בשורה - שאפשר לעשות Identity באופן שהוא הרבה יותר “נעים למשתמש”
    • אף אחד הרי לא אוהב - לא להירשם, לא לעשות Log-in, אף אחד לא אוהב סיסמאות . . . 
    • וזה מה שאנחנו עושים עכשיו.
(רן) כן, אז אני מנסה להיזכר כמה . . .  כאילו, הייתה תקופה שבה הייתי נרשם לאיזה חמישה אתרים ביום - והיום זה כבר כמעט לא קורה. תמיד יש איזושהי אות’נטיקציה (Authentication) עם Google או GitHub, ואחרים  . . . 
  • (רולי) . . . . אבל זה אתה, כי אתה סבבה עם להירשם עם Google או GitHub
  • יש הרבה מאוד אנשים . . . . בואו נגיד, 50% משתמשים במה שנקרא Social Login או External Identity Provider בשביל להתחבר לאתר - ו- 50% עדיין ממציאים שם משתמש עם סיסמא
    • מסיבות של “האח הגדול” או Privacy או כל סיבה אחרת
(אורי)  . . . אולי גם קצת שמרנות ולא יודע, לא הולכים על “הקל” אלא רגילים ל . . . .
  • (רולי) נכון

03:58 הצעצוע החדש - Passkeys מביא את זה לרמת ה-Web
(רן) אוקיי, אז בואו נדבר על “הצעצוע החדש שהגיע לשכונה” - Passkeys: מה הם?
  • (רולי) כן, אז קודם כל זה שיתוף פעולה יוצא דופן בין שלושת הענקיות - Google, Apple ו-Microsoft - שהבינו את הבעייתיות שיש
  • בעיקר אנחנו מדברים עכשיו על הנושא של האות’נטיקציה (Authentication), שזה ההזדהות
    • אני חושב שזה, נכון להיום, בעיקר שם-משתמש וסיסמא - והבעיות שקשורות לסיסמא
  • מעבר לזה שזה לא נוח, הן אינסופיות, גם מבחינת כמובן Security,
    • שאגב - מייצר עוד Friction, בגלל הבעיות Security - הן מייצרות עוד Friction, יותר ממה שהיה קודם
    • כי עושים את הסיסמא יותר מורכבת, מבקשים עוד Factor כמו SMS Message או Authenticator - אז בעצם הבעיה נהיית יותר ויותר חמורה עם הזמן 
      • ככל שיש יותר כלים - כלי-פריצה - בשוק
    • והם הבינו שצריך לעשות פה איזשהו שינוי
  • כשאומרים “Password-less” - עד היום, אם אתה תראה פתרונות של, נאמר, שליחה של SMS, שזה קוד חד-פעמי, או Magic Link,
    • וזה דברים שהם שבורים - הם גם לא נוחים וגם לא Secured
    • אפשר לדבר, אם אנחנו רוצים, גם קצת לצלול לצד של ה-Security . . . 
  • אבל מה שהם הכריזו . . . הם אמרו ככה: קודם כל, בכל Device כמעט היום יש - לפחות ב-Device-ים המתקדמים - יש Unlock-mechanism
    • אם זה ב-iPhone אז יש את ה-Face ID, ב-Apple . . . . ברוב ה-Mac-ים יש את ה-Touch ID
    • גם בWindows היום יש . . . אם זה לא ביומטרי, אז יש איזשהו Unlock, שרוב האנשים כאילו קמים מה-Desktop אז הוא ננעל.
    • ואנשים עושים Unlock ל-Device שלהם - גם אם זה Mobile וגם אם זה ה-Desktop, כל הזמן.
    • ולמה לא להשתמש באותו מנגנון, בשביל גם לאפשר, גם ברמת ה-Web, לעשות את האות’נטיקציה (Authentication)?
(רן) כלומר ”ה-Device כבר יודע מי אתה”. אתה משתמש בטלפון, פתחת אותו - הוא זיהה אותך . . . .
  • (רולי) כן, עכשיו זה לא שהוא מדווח “מי אתה" - הוא רק אומר “הבנאדם הצליח לעשות Unlock ל-Device שלי” . . .
(אורי) אבל משתמשים בביומטרי גם כדי לפתוח אפליקציות . . . .
  • (רולי) אוקיי . . . . עד היום, היה ממשק רק ל-Native Applications, ל-Unlock Mechanism.
    • ומה שהוא עשה - או מה שהוא עדיין עושה - הוא בעצם שומר . . .  הוא נותן גישה לשלוף את הסיסמה מה-OS - ולשלוח אותה
      • זאת אומרת - עדין קיימת סיסמה
    • ב' - זה רק ברמת ה-Native Apps - אני בטוח שלשניכם יש אפליקציות ולכל השומעים שלנו, הקהל, יש אפליקציה של הבנק שלהם
      • והם כל כך מאושרים מזה שהם יכולים עם ה-Face ID, או עם ה-Fingerprint, אם זה ב-Android, כל פעם לבצע פעולות
      • אבל כשהם הולכים למחשב, או כשהם רוצים לעשות משהו אחר או מכל סיבה אחרת - הם צריכים את הסיסמה עוד פעם . . . .
    • אז התשובה היא שיש את זה לרמת ה-Native Apps - והפרוטוקול הזה של Passkeys מביא את זה לרמת ה-Web.
  • עכשיו, רק נחזור לנושא של שלושת החברות - הן אמרו “בואו נקרא לזה Passkeys”: בואו נעשה, יחסית, ממשק מבחינת API אחיד,
    • של גם . . . למה בעצם זה “שלושת השחקנים”? כי Windows ו-Android ו-iOS של Apple - זה מכסה את רוב השוק
    • ואז, אם אתה עושה אימפלמנטציה (Implementation) אחת, בתור מתכנת - אתה מקבל את כל ה-Device-ים.
    • יש הרבה “אבל-ים”, אבל זה ה... שוב, כאילו, “Quick”.

07:30 מה פתאום הם משתפים פעולה?
(רן) אבל בוא נעצור פה רגע - אני זוכר שהייתה תקופה שבה בכל אחד מהחברות האלה, רצו לקבל כמה שיותר משתמשים אצלן בפלטפורמה, ובגלל זה מאוד מאוד עודדו את ה-Social Login, אוקיי. למה הפסיקו? כאילו, מה פתאום הם משתפים פעולה עכשיו?
  • (רולי) כן, אז בעצם זה חלקים אחרים באותן חברות . . . .
    • אבל באמת, אני חושב שאתה מעלה נקודה נכונה - בעצם, איפה זה עומד מול ה... נקרא לזה ''Social Login''?
  • אז ככה, ה-Social Login . . . 
    • (רן) . . . . Facebook היו שם, מן הסתם . . . .
  • (רולי) כן, Facebook המציאו את זה - והאחרים הבינו שזה דבר מאוד חזק.
  • הכוח העיקרי . . . . יש לזה שני יתרונות לספק - ל-Facebook או ל-Google או ל-Twitter או מי שזה לא יהיה . . .
    • 1 - זה ה-Affinity ל-Brand והקשר שלך
      • כי בעצם, אם עכשיו אני נוטש את Facebook או סוגר את ה-Account, אז אני לא אוכל להיכנס לכל האתרים שנכנסתי אליהם
      • אז יותר סביר שאני אשמור, שאני לא . . . שאני אשאר עם Facebook, יהיה לי יותר קשה לעזוב אותו.
    • והדבר השני זה Data - אם אתה עושה היום Log-in ב-Facebook, כ-End-User, עכשיו Facebook יודעים, . . . .
        • בוא נגיד באתר Travel כלשהו - טיסות
      • אז Facebook יודעים שעכשיו אתה מחפש טיסות - וכל החבר'ה של הטיסות עושים Re-Targeting עליך . . . .
      • שזה אחד החסרונות לאנשים, שאתרים שמוסיפים Social Log-in לא מודעים אליו.
    • אז זה בעצם . . . .  קודם דיברנו על Down-side שקשור . . . מהצד של המשתמש - שהם מפחדים, שמרנים וכו',
      • אז יש גם Down-side מהצד של האתר וזה שאפשר לעשות Re-Target
      • בעצם, שחקני ה-Data האלה יודעים  . . . 
(אורי) אבל אותו דבר זה Google, נכון? היא גם חברת פרסום - והאמת שגם Apple וגם . . .
  • (רולי) אתה צודק, נכון . . . . אז אתה מחזק את מה שאני אומר.
  •  ו-Passkeys, אם אתה שואל בעצם, לחזור לשאלה שלך - אני חושב שזה Initiative שבחברות כאלה ענקיות הוא בא במקום אחר
    • בטוח שהיה איזשהו דיבור - אבל מצורך אחר לגמרי, שהוא יותר “Device-י כזה”
    • הוא בא פחות מהצורך ה-Business-י
    • אז לדעתי זה פשוט Initiatives שעלו ו . . .
(אורי) אבל יכול להיות שיש פה אלמנט של . . . זה לא מדבר עם Backend? או שזה כן מדבר עם Backend, של אחת מהחברות האלה?
  • (רולי) זה לא מדבר . . . .
(אורי) זאת אומרת, זה ספציפית, API לתוך המכשיר, אין . . .

09:52 הטכנולוגיה
(רן) אז בואו רגע באמת נדבר על הטכנולוגיה - איך טכנית זה עובד? אז נגיד פתחתי את הטלפון, הוא זיהה את הפנים שלי - ועכשיו אני רוצה לעשות Log-in לאיזשהו עמוד אינטרנט.
  • (רולי) . . .  אתה כבר מגיע למוצר. אני יכול לתאר אחת את ה . . . 
    • כי במוצר יש דרכים שונות לעשות אימפלמנטציה (Implementation) של זה . . . . 
    • אני אענה שנייה על הטכנולוגיה.
  • הטכנולוגיה היא בעצם שה-OS, ברגע שהוא מקבל את הקריאה הזאת
    • יש קריאה של Set ויש קריאה של Get
      • כש-Set זה אומר כמו פתיחת Account, זה פעם ראשונה
      • הוא מייצר Secret Key ו-Public Key שומר את שניהם ברמת ה-OS ונותן . . . 
        • (רן)  שזה פר... פר-אתר?
      • (רולי) פר-אתר, כן - ונותן לך את ה-Public key.
    • עכשיו אני יכול לשמור אותו ב-Database שלי - תסתכל על זה כמו ה-Username.
    • בפעם הבאה שה-User חוזר . . .
      • (אורי) “ה-User” זה המתכנת של האתר?
        • (רולי) כן.
    • בפעם הבאה שה-User מגיע, אני אומר לו Get - ואני אומר לו מה ה-Public Key
      • אני אגב לא הטכנולוג - אני איש Product, אבל אני מספיק מכיר . . . .
    • והוא הולך, בודק ורואה שיש לו באמת ה-Public Key הזה -
      • והולך ל-Secret Key ומייצר Signature שהוא Based על ה-Secret Key הזה - ומחזיר אותו אליי.
    • אני לוקח את ה-Signature הזה, שהוא Time-Based כך שהוא Expired, מה שהופך אותו לעוד יותר Secured
      • ומשווה אותו עם ה-Public Key שיש לי
      • ואם אני רואה שיש Match, אני אומר אוקיי - זה ה-User שבמקור עשה את ה-Set
        • ולכן אני יודע שזה הוא - זה כמו ה-Username ו-Password.
(אורי) וזה - אתה אומר שזה Time-Based, אז זה, כאילו, יישאר לאורך ה-Session?
  • (רולי) לא . . . . ה-Session - עכשיו, אתה מחליט, בתור אתר, ברגע שאני אומר לך “זה ה-User”
    • אתה מחליט מתי הוא To Expire את ה-Session
    • אתה יכול, עד שה-Cookie ימות, אתה יכול עד שהוא סוגר את ה . . . . אתה מחליט.
  • אבל כאילו . . . . זה יעבוד - ההשוואה הזו, שאני בודק שזה באמת כמו ה-User - זה בעצם “Password זמני”,  שטוב . . . 
    • אם אני איהיה עוד 10 דקות . . . אם למשל אני אקח את הדבר הזה והקשבתי ואני אנסה, אחרי שהבנאדם הלך, לעשות עוד פעם אות’נטיקציה (Authentication) - זה כבר לא יעבוד.
  • ורק עוד משהו קטן, כי זה גם מתקשר למשהו שאולי נגיע אליו, בהקשר של דיסנטרליזציה (Decentralization) של Identity ו-Self-Sovereign Identity, שזה קונספט מדהים, שלדעתי העולם הולך אליו והוא מרתק.
  • תחשוב על זה שבעצם הסיסמא הזו, שאמרתי שאנחנו מקבלים - ה-Signature - הוא גם Per-  . . . 
    • לא רק שהוא Time-Based - הוא פר-אתר.
    • אז תחשוב שזה כמו ש . . . טוב, האמת שנגיע לזה כשנגיע ל-Self-Sovereign Identity . . . 
(אורי) אבל זה בעצם Owned ב-Device - במערכת-הפעלה של ה-Device. . .  עכשיו אני ב-Facebook . . . .
  • (רולי) מה קורה כשעוברים Device?
(אורי) לא, יש לך Facebook וכמה Device-ים, או לא יודע . . . . עכשיו, בוא . . .
  • (רולי) נכון, כן . . .  נגיד, פתחתי Account, אתה אומר בטלפון, פתחתי חשבון באתר בטלפון - ועכשיו אני הולך למחשב. איך אני יכול לעשות Log-in?
  • אוקיי, אז עכשיו אנחנו מגיעים ל . . . . בוא נגיד, אני אתן קודם את התשובה הפשוטה:
    • אם זה באותו Ecosystem - לכאורה גם שם זה לא בדיוק . . . .
      • לפחות ב-Apple, אם אתה מחובר עם שניהם ל-iCloud - זה יעבוד.
      • כי ה-Keys נמצאים ב-iCloud,  ואז הוא בודק ש . . .
        • (רן) ה-Private Keys . . .
        • (רולי) כן, וגם ה-Public Keys . . .  
      • אבל קודם כל - אתה גם צריך לעבוד עם Safari - ומה קורה אם אתה עם Chrome? . . .  אני למשל עם Chrome עם ה-Mac, 
        • שלא לדבר על PC . . . 
        • או שלא נדבר על המחשב של . . .  לא יודע מה - של בת-הזוג שלי, או של חבר שלי, או Public Device, או ה-iPad-של-המשפחה-שמסתובב-בבית . . . .
        • (אורי) “אינטרנט קפה”! זוכרים את הדבר הזה? . . . .
        • (רולי) נכון! לא יודע, יש כזה עוד? בניו יורק, הענקיים כאלה . . . .
    • אז נכון - אז זה צריך לעבוד בכל הסיטואציות האלה . . . . ומה עם Device שאין לו ביומטרי?
  • אז עוד רגע נדבר על כל הסיטואציות האלה ומה . . . . למה בעצם אולי כדאי לעבוד עם איזשהו Vendor שנותן פתרון מלא.

13:53 הפתרון ה-Product-י
  • אבל אולי עכשיו אני יכול, אם אתה רוצה, להגיד את הפתרון ה-Product-י, שזה אומר, מה ה-Flow? איך זה נראה?
(רן) בוא רגע נבין מה יש לנו פה . . . . אז אם מקודם נגיד, דיברנו על Scenario של Social Login - שנגיד הייתי Logged-in דרך Facebook או Twitter או Google, שגם, לצורך העניין, גם היה יכול להיחשב ל-Social Login - הם היו יודעים עליי המון דברים, אוקיי? . . . היו, בגדול . . .  כל מה ש-Google יודעים עליי, כל מה ש-Facebook יודעים עליי - גם הם יודעים.
פה, ב-Scenario הזה, כל מה שהם יודעים עליי, זה איזשהו Public-Key, נכון? איזשהו רצף-בינרי של מספרים . . . .
  • (רולי) “השחקן הגדול” - “ה-Google”? אפילו את זה הוא לא יודע . . . 
(רן) אוקיי, אז האתר . . . .
  • (רולי) האתר מקבל רק Public-Key, כן.
(רן) אז האתר מקבל איזשהו Public-Key, והוא לא יודע עליי שום דבר חוץ מזה, אוקיי? . . . .
  • (רולי) נכון.
(רן)  . . . . הדבר היחיד, שאולי תיכף נגיע אליו, זה שאם עשיתי Log-in מ-Device אחר, אז הוא יראה את אותו Public-Key והוא יבין שזה אותו המשתמש - אבל עדיין, הוא לא ידע עליי כלום: הוא לא יודע מה ה-email שלי, מה שמי - אלא אם כן בחרתי לתת להם אותו . . . .
  • (רולי) נכון.
  • עכשיו באמת - זה מוביל אותי לאימפלמנטציה (Implementation) של הטכנולוגיה
  • כי בסופו של דבר, רוב האימפלמנטציות (Implementations) הן בדרך שהוא כן יודע את כל הדברים האלה, אחרת . . . .
    •  כי מה שהם עשו - Google כבר עשו אימפלמנטציה של זה, אתה היום יכול לגשת ל-Google Account שלך ולהוסיף Passkeys
      • גם TikTok עשו את זה ואחרים . . .
    • ומה שה . . . האימפלמנטציה היא שאתה קודם כל פותח חשבון בדרך הכי רגילה שיש
      • נותן את כל האינפורמציה על עצמך, ממציא Password . . . 
    • ואז אתה יכול או ללכת ל-My Account ולהוסיף את Passkeys כ-”Another Authentication Option”
      • ואתה צריך בשביל זה להיות Logged-In.
    • או שיש כאלה שעושים שאחרי שאתה עושה Log-In, הם שואלים אותך “האם אתה רוצה להוסיף Passkeys, כעוד דרך לאות’נטיקציה (Another Authentication Option).
  • בעצם, הם די מחקים את ה-Experience שקיים ב-Native
    • מה שאמרנו - שהוא פשוט לוקח את הסיסמא, מצפין אותה, ועם ה-Face ID מוציא אותה החוצה.
  • אני יכול להגיד למה הם עושים את זה - כי זה פותר את כל השאלות שהרגע אתה אמרת . . . .
    • זאת אומרת - כשהוא עובר Device, אז מקסימום מכניס סיסמה, וזה פותר . . . .
    • ברגע שיש סיסמה, זה פותר את כל ה-Edge Cases . . . 
(רן) . . . אבל זה גם יצר בעיה של סיסמא - הנה, עכשיו צריך לזכור סיסמא, ולאבטח אותה . . . .
  • (רולי) אבל (א) - אין סיסמה, עדיין . . . . וגם מבחינת Security . . . .
  • הבעיה העיקרית של סיסמא זה שאנשים משתמשים באותן סיסמאות על פני הרבה אתרים
    • ואם פרצו לאתר וגנבו את ה-Username וה-Password - הפורץ עכשיו עובר אתר-אתר ומנסה את זה עד שהוא מצליח . . . 
  • אז כל עוד אפשר לעשות אות’נטיקציה (Authentication) עם סיסמא, עדיין לא פתרת את הבעיה.
  • והדבר השני . . . .
(רן) לגנוב אצבע זה יותר קשה . . . . לא שזה בלתי אפשרי, אבל זה . . . 
  • (רולי) גם לא עושים את זה  . . . . כי 90% מהפריצות זה כזה “Cross” - כשהם רצים עם רשימות של . . .  או שהם עוד משתמשים באותן סיסמאות, או כרטיסי אשראי וכאלה . . . .
  • אבל הבעיה השנייה, זה שאחוז מזערי . . . . בעצם ברגע שה-Flow הוא כמו שאני תיארתי, שאתה עוד צריך ללכת ל-”My Account” בשביל זה . . . 
    • ומה זה Passkeys? אף אחד לא משתמש בזה . . . .
  • אז אנחנו פשוט נצטרך . . . . אם תרצה, אנחנו נוכל לדבר על למה אנחנו עושים פתרון, שהוא לוקח את הטכנולוגיה הזאת - עד הסוף.
    • ועושה שינוי, כאילו, באמת . . . 

17:02 הלקוחות העיקריים
(רן) כן, אז למעשה אתם - ב-OwnID - על מי אתם מקילים - על ה-Vendor-ים?, על בעלי אתרים? על המשתמשים? זאת אומרת, מי הלקוח העיקרי שלכם שם?
  • (רולי) הלקוחות שלנו  . . . אגב, אנחנו עובדים רק עם חברות גדולות, זה ה-Business Model שלנו.
  • והם משלמים לנו בשביל להוסיף - זה לא רק Passkeys - להוסיף ולהפוך גם את תהליך ה-Registration וגם ה-Log-in שלהם ל-Frictionless.
  • וברגע שהם . . .  אני סתם אתן לך דוגמא - אנחנו בכלל לא מזכירים ב-User Experience . . .  הם מוסיפים אותנו לטפסים הקיימים שלהם, כעוד אופציה.
    • אנחנו פשוט מראים כפתור שתלוי ב-Device - הוא מראה לך “Log-In with Face ID” או Log-In with” Touch  ID, או מה שה-Device הזה מסוגל.
    • ואנחנו . . . עוד פעם, אני לא יודע עד כמה אנחנו רוצים להיכנס לפרטים, אבל ה-User יכול לפתוח Account בלי להמציא סיסמא
      • ואחרי זה, אם הוא הולך ל-Device אחר, אנחנו נעשה אות’נטיקציה (Authentication) רק של ה-Device.
      • או למשל נשלח לו רק One-Time Code, רק לאותו Device, ואז נחבר את ה-Device לאותו Account.
  • ובאמת, מעל ל-50% מהמשתמשים של האתרים שהוסיפו אותנו - ככה עושים היום אות’נטיקציה (Authentication)
    • במקום 2% או 3% ב-Passkeys “הרגיל”.
(רן) הבנתי, כלומר אתם בעצם עוזרים “לכסות את החורים”, שעדיין קיימים בשיטה הזו . . . 
  • (רולי) . . . . כי יש הרבה חורים . . . 
(רן) . . . עם מינימום חשיפה. זאת אומרת, אתה יודע - לשלוח איזשהו One-Time Password זה איזושהי חשיפה, אבל היא מינימלית, לא צריך לעשות את זה כל פעם, צריך לעשות את זה רק פעם אחת, כשאתה עובר Device.
  • (רולי) בדיוק.
(רן) אוקיי, ואז למעשה, בכל Device קיים Private/Public Keys שונים, או שהם אחודים?
  • (רולי) הם שונים . . . . 
(אורי) הם שונים - אבל ל-Account יכולים להיות כמה Passkeys.
  • (רולי) נכון, לגמרי.
  • ויש, אגב, עוד Scenario-אים - אנחנו דיברנו על ה-One-Time Code בשביל . . . . אני אתן לך סתם דוגמא - אם אתה הולך למחשב, שאתה לא רוצה עכשיו לקשר אותו ל-Account - של חבר שלך . . .
    • אז איך תעשה עכשיו . . . איך תתחבר - אם אין Password? 
      • אתה לא רוצה עכשיו לעשות את ה-Passkeys שלו . . . 
    • אז אנחנו מציגים QR Code - ועם הטלפון שלך, בהנחה שיש לך טלפון, אתה סורק אותו
      • הוא עושה Face ID - ואז אתר במחשב, או במה שאתה רוצה, שם הוא מתחבר.

19:24 רגע . . . Lock-In?
(רן) האם המודל הזה לא מייצר איזשהו Lock-In ל-Vendor-ים הגדולים? זאת אומרת, עכשיו כשיש לי iPhone, אני לא רוצה לעבור ל-Android, כי כל ה-Passkeys שלי נמצאים עכשיו ב-iPhone  . . . .
וזה לא רק להתקין מערכת הפעלה חדשה ולהתרגל לממשק שונה - זה גם להתחיל לייצר Log-In-ים חדשים לכל האפליקציות . . . .
(אורי) רן, ה-Lock-In הזה קיים . . . [הוא איתנו בחדר, עכשיו?]. ה-Lock-In הזה קיים בכל מקרה, אז . . . .
(רן) אני עשיתי לעצמי מסורת - בכל פעם כשאני קונה טלפון, אני עובר Vendor . . . 
  • (רולי) באמת?  
(רן) כן, פעמיים כבר . . . .
(רולי) אז אני עוד לא עברתי . . . . כל הכבוד.
(אורי) אז הנה, יש Feature בשביל רן - הוא הבנאדם היחיד שעושה את זה . . . 
(רן) הנה - מצאת לקוח!
אז עכשיו באופן כללי, האם זה מייצר איזשהו Lock-in? גם שלי, בתור משתמש, ואולי גם של בעלי האתרים עצמם - של אסותא שהזכרת וכו'? זאת אומרת, אולי הם “שמים יותר מדי ביצים באותו מקום” . . . זאת אומרת, זה לא חשש?
  • (רולי) אז אני חושב שזה חוזר למה שאמרתי לפני רגע - שאם אתה עושה את האימפלמנטציה (Implementation) הבסיסית, אז זה באמת Device-Specific
    • או שיש Password - ואז זה You're Locked
    • ואם תיקח פתרון כמו שאנחנו נותנים, שהוא הוליסטי - אז אתה לא . . . 
      • אנחנו עושים וריפיקציה (Verification) ל-Device החדש - והוא יעבוד לך.
(רן) הבנתי, אז זאת אומרת שאתם עובדים גם בין Vendor-ים שונים?
  • (רולי) כן, בדיוק.
(רן) אוקיי . . . . הרשתות החברתיות נכנסות לזה? או שזאת ממש רק חומרה, רק Device-ים?
  • (רולי) לא, רק ברמת החומרה, כן . . . .
  • ואם אתה רוצה, אני יכול לגשת ללאן שזה הולך, ללמה זה הולך להיות עוד יותר מדליק . . . .

20:55 אז לאן זה הולך?
(רן) כן, אז אני חושב בערך הבנו את הפתרון ברמה הטכנית, הבנו גם קצת מוטיבציה ללמה לעשות את זה, דיברנו גם על Security, גם על “עייפות” של המשתמשים מהצורך לבוא ולהירשם בכל פעם. גם על הסכנות של לתת את האינפורמציה שלך לרשתות החברתיות, ומה שהן עושות עם זה אחר כך - וגם על ה-Down-side של זה לאתרים עצמם: חיפשת טיסה ועכשיו תהיה מופגז בכל המתחרים . . . .
אז לאן זה הולך?
  • (רולי) אוקיי, אז מה שאנחנו רואים כאן זה הסרה של . . .  נקרא לזה Friction, בעניין של אות’נטיקציה (Authentication), וכל הקונספט של Registration ו-Log-In הם, איך שאני או אנחנו תופסים אותם, הם מאוד מיושנים. הם . . . .
    • אנשים לא אוהבים לעבור אותם, אנשים רק מוכנים להזדהות - אבל הם לא מוכנים עכשיו להוציא את כל הזמן על למלא טפסים ולזכור סיסמאות ולמלא אותן . . . 
  • ואני מאמין שבתוך בוא נגיד “שנתיים”, כשזה יהפוך להיות סטנדרט,  לא יהיה יותר כזה דבר Registration ו-Log-In.
    • הבנאדם, קודם כל, במקום שרק 5%-10% מהמשתמשים יהיו מזוהים, לדעתי זה יגיע לרמה של 90% עד 100%
      • כי זה יהיה ב-One Click - פשוט, אתה תגיע לאתר ב-One Click
      • וזה גם יחליף את ה-Cookies - כי היום יש גם בעיה של Cookies, בגלל שה-Cookie מת וה-Browser-ים הורגים אותו, אז האתרים לא יכולים אפילו להמשיך לתת לך Consistent Experience
        • כי אחרי שבוע, למשל ב-Safari, ה-Cookie נמחק . . . 
    • אז אתה תיכנס לאתר, תעשה Face ID -בעשירית שנייה - ואז אתה מקבל  . . .  אתה מזוהה, אתה עובר חוויה . . . 
    • עוד רגע, אני אדבר על ה-Data שקשור ל-Registration, אבל תקבל חוויה קונסיסטנטית (Consistent), לא תצטרך לעבור איזשהו תהליך אפילו, של זיהוי מעבר לזה.
  • ובנושא של ה-Data, כי בעצם יש פה אות’נטיקציה (Authentication) ב-Registration ואיסוף של אינפורמציה.
    • האיסוף של האינפורמציה יתבצע לא כחלק מהקונספט הזה שנקרא “Registration” - אלא On Demand, מתי שצריך אותו.
    • ואז גם אנשים יתנו את זה - אתה עכשיו הזמנת את המשלוח בשופרסל, אז כשאתה מגיע לשלב של ה-Shipping, אז אתה מזין את הכתובת - ומאותו רגע הוא משויך אליך כבר.
    • ואין כזה דבר “Guest Checkout”   . . . . וכל ה-Concept-ים האלה, אני חושב, יעברו מהעולם.
(רן) אז זאת אומרת שה-Benefit  המשמעותי לבעלי האתרים זה שאם עד עכשיו אחוזי הרישום היו באזור ה-10%, הזכרת מספר כזה של איזשהו Benchmark עולמי, אז ההערכה שלך שזה יהיה באזור ה-90%.
דרך אגב - על מה זה נשען? זאת אומרת, יש כבר נתוני זמן-אמת לסיפור הזה? זאת אומרת, יש. . .
  • (רולי) אז תראה, אני, מה שנכון להיום, זה שהלקוחות שלנו מוסיפים אותנו לטפסים הקיימים
    • הם עוד לא עשו את ה . . . עכשיו אנחנו מתחילים לדבר עם חברה, אחת מאלה שהזכרתי, ממש מהגדולות.
      • לעשות את ה-Transition לדרך שאני תיארתי.
    • אבל עדיין זה עוד לא קורה, אז אין לי עוד מספרים להגיד - אבל אני מאוד מאמין בזה.
(רן) אוקיי, אז אתה רואה בזה הזדמנות לבעלי אתרים בעצם, להגדיל את ה-Engagement - זאת אומרת, גם להקל על ה-Onboarding, אבל גם לייצר לקוחות שהם “כבר בפנים”, שהם “רשומים”. לא יודע אם “רשומים” זאת המילה הנכונה בהקשר הזה - אבל לקוחות שהם מזוהים.
  • (רולי) כן, יש את האנלוגיה של בנאדם שהולך למכולת השכונתית, והמוכר כבר מכיר אותו, ואומר “אה, הגיע הדבר הזה, שתמיד אתה מחפש ולא היה לי כבר חודשיים . . . .”.
  • (רולי) זאת אומרת, ה-Relationship - וזה הבסיס, אני חושב, גם לחברה הקודמת וגם לחברה הזו שלי, שבין Consumers לבין Business, הוא הופך להיות דבר שהוא מאוד חשוב.
  • אני חושב, שאם פעם המסר היה, שמבחינת הראייה העסקית הכל היה צריך להיות Easy, Simple - אז היום זה הופך ל-Trust, עם השינוי התרבותי שהעולם עובר.
    • יש אובדן של אמון - ואני חושב שלקוחות יעבדו עם החברות שהם סומכים עליהן ושיש להם יחסים איתן
    • ולא בגלל שה-Experience טיפה יותר נחמד.

25:06 כשזה קל, אז אתה לא שם לב
(אורי) אני מכניס פה חשש לשיחה, בסדר? בעיקר כי אני מגיע מעולם הפרסום, ולא, זאת אומרת . . . . דווקא מהעולם שהוא Open Web - האימפלמנטיה (Implementation), שהיא מאוד קלה ופשוטה לעשות אות’נטיקציה (Authentication), יכולה פתאום לפתוח מקומות שלא היינו רגילים לעשות בהם אות’נטיקציה . . . .
פתאום זה נהיה קל - אז עושים! . . . . אז פתאום, לא יודע מה - ל-Ynet יש את המזהה שלך, מה שהיום לא היה להם מזהה, עד היום . . . .
  • (רולי) נכון . . . .
(אורי) ופתאום זה נהיה “קל” - אולי הם צריכים פעם אחת לבקש ממך את המזהה הזה, וזהו - מעכשיו זה קל.
  • (רולי) אתה מדבר גם על מה שנקרא PII בהקשר הזה, או בלי PII?
(אורי) לא - לצורך העניין, לשחקני הOpen Web, ואני לא מדבר על Facebook, או כל האתרים, או האפליקציות שאתה נרשם אליהן, כולל Amazon. 
אני מדבר על אתרי-תוכן לצורך העניין, או אפילו eCommerce - שאתה נכנס בלי כוונה לקנות, אתה לא צריך לעשות Log-In . . . . החוויה הייתה אנונימית - וככה גם הפרטים האלה לא היו עוברים לרשתות הפרסום, שעומדות מאחורי האתרים האלה.
  • (רולי) חוץ מתקופה שהיו Cookies . . . . זאת אומרת, לא הפרטים עוברים, אבל . . .  אז זה ש”המשתמש הזה, עכשיו, קרא את כתבה הזאת”, היא החברה השלישית . . . 
(אורי) נכון, ולכן . . . .
  • (רולי) . . . . הרגו את ה-Cookies . . . .
(אורי)  . . . ולכן הולכים ליותר ויותר 3rd-Party Cookies  שהולכים, וכל זה כאלה  . . . 
(רן) בעצם אורי, אתה אומר שאם לפני זה מעט אתרים ידעו עליי הרבה - אז בעתיד הרבה אתרים ידעו עליי מעט . . . אבל זו רמת הסיכון, אולי, מבחינת המשתמש, רמת הסיכון של Privacy.
(אורי) זה לא כזה משנה אם זה מעט הרבה או הרבה מעט, אבל האם עכשיו . . . .  לא יודע מה, New York Times רוצים ממך שתעשה Log-In, כי אתה משלם גם עבור ה-Log-In הזה, וזה אחלה . . . . אפילו “הארץ”, אותו הדבר.
אבל Ynet, לצורך העניין, לא מבקש ממך Log-In - ואם הוא יתחיל לבקש ממך Log-In, זה יהיה מסובך . . . . אוקיי, זה להכניס את ה-email שלי ואת ה . . . 
  • (רולי) אז הם לא יבקשו . . . . אם זה יהיה מסובך, אז הם כנראה לא יבקשו . . . .
(אורי) עכשיו, כשמתחילים להכניס מנגנון, שהוא קל . . . .
  • (רולי) . . . . אז אולי הם כן יעשו את זה - אני מסכים איתך, אבל אני אומר . . . .
(אורי) . . . . אז אולי כן יעשו את זה - ותיפגע הפרטיות, כי כשזה קל, אז אתה לא שם לב . . . 
  • (רולי) אז קודם כל - חלקית אני מסכים איתך   . . . 
  • אני משווה את זה פשוט ל-Cookie - זה בעצם כמו להחזיר את ה-Cookie, 
    • או 1st-Party-Cookie אגב - לא 3rd-Party, 
    • בגלל שהם לא יכולים להגיד עכשיו, בניגוד ל-3rd-Party-Cookie, שעכשיו כמה אתרים יכולים לדעת על אותו משתמש דברים
    • פה, כיוון שה-Key הוא פר-אתר, אז Ynet לא יכולים להגיד לאתרים אחרים “הוא היה בכתבה הזאת” - כי האתרים האחרים, אין להם גישה ל-Public Key שלו . . . .
  • אבל זה כן כמו 1st-Party-Cookie - זאת אומרת ש-Ynet יוכלו לדעת שזה אתה
    • ם חזרת אחרי חצי שנה לאתר - הם יידעו שזה אותו בנאדם
      • הם לא יידעו את השם אם הם לא ביקשו את השם
    • וזה כמו Cookie שהוא נשאר לנצח . . . 
(אורי)  זה שווה שווה (==) ל-Email Address . . . .
  • (רולי) לא, רק שזה לא Identifiable Information - זאת אומרת, הם לא יכולים . . . .
(אורי) זה כן - זה המכשיר בסוף . . . .
  • (רולי) נכון, אבל אפשר . . . .
(אורי) סליחה - זה אתה, על המכשיר . . . 
  • (רולי) נכון, אבל הם לא יכולים . . . . הם רק יכולים לתת לך חוויה קונסיסטנטית (Consistent), הם לא יכולים לעשות מעבר לזה שום דבר . . . .
    • ורק להוסיף עוד דבר אחד, שזה . . . . 
  • אבל אני חצי-מסכים איתך - אמרתי בהתחלה, שזה עם Consent
    • זאת אומרת, אם Cookie, איך שאני רואה את זה, זה בעצם, ב-Scenario שאתה מתאר, זה מחליף את ה-1st-Party-Cookie -  עם Consent.
    • זאת אומרת, זה לא יעבוד . . . . הרי ה-Face ID לא יעבוד אם אני לא יעשה Face ID  . . . .
    • הוא גם שואל אותך - הוא עושה Prompt, אתה יכול לעשות Face ID - כן?
    • זאת אומרת שיש פה איזשהו Consent.
  • אני מסכים איתך שהרבה מהאנשים פשוט עושים מה שאומרים להם - אז זה לא רלוונטי אם יש Consent או אין . . . 
    • אבל ב-Cookie לא היה Consent - וזה עשה בדיוק אותו דבר
    • הם היו שמים עליך Cookie - ועכשיו כל החיים יודעים שאתה זה אתה.
  • וזה האלטרנטיבה, זה “החדש”.
(אורי) עד כדי ''חיים של Cookie'', שזה . . . להבדיל מזה, זה חיים . . . 
  • (רולי) נכון, זה חיים . . . כן, זה על ה-Device ו-”Forever''.
(רן) דרך אגב, מה קורה אתה מאבד את  ה-Device? כאילו, עשית Log-In לאיזה חמישה אתרים ואיבדת אותו?
  • (רולי) אז אתה עושה Log-In עוד פעם . . . . תצטרך, ב-Device החדש.
    • אז אנחנו חוזרים לפתרון, לדעתי השבור, שקיים בשוק, וזה . . .  שהוא לא שלנו . . . 
      • כי שם באמת אתה צריך עכשיו עם סיסמה או . . .  אתה צריך איכשהו לפתור את זה.
    • ועם שלנו אנחנו פשוט ישר בודקים - אנחנו אפילו לא כותבים לך “Error'', אנחנו אומרים לך “אני מזהה שזה מכשיר חדש, אני שולח לך קוד, תכניס אותו” . . . . מהמכשיר.
(רן) אה, יש לך את ה-email, אז ככה אתה שולח . . . .
  • (רולי) כן.
(רן) אוקיי, אז ה-Hook שלך זה ה-email, זאת אומרת . . . .
  • (רולי) כן, כן, עדיין.

30:55 טביעות-אצבעות רגליים?
(רן)  אוקיי . . . מבחינה טכנולוגית, האם יש איזושהי אי-בשלות? זאת אומרת, אם נגיד, אני עכשיו רוצה להכניס את זה עכשיו לאתר, האם יש דברים שעדיין צריך להיזהר מהם, שלא הזכרת לפני זה?
זאת אומרת, כן - אמרת שיש כל מיני “קצוות לא תפורים” שאתם, או אולי גם חברות אחרות, יכולים לפתור, אבל האם יש, קטגורית, עדיין אזורים שבהם לא יהיה נכון להשתמש ב-Passkeys?
  • (רולי) לא הייתי אומר “איזורים שהם לא נכונים” . . . . אני כן הייתי אומר שאתה צריך לחשוב על Use Cases, מי . . .
  • אז ככה - מסתבר שיש אנשים שמפחדים לעשות, שהם לא עושים Enabling ל-Biometrics על ה-Device שלהם
    • כי הם חוששים שה-Data יעבור לאתרים, או לאפליקציות, או ל-Apple או למי שזה לא יהיה.
  • והם פשוט לא מוכנים לעשות שום סריקה ביומטרית - אז אתה צריך אלטרנטיבה לזה.
(רן) זה חייב להיות Biometrics? זאת אומרת . . . 
  • (רולי) לא, אבל בדרך כלל זה פשוט הופך להיות הסטנדרט, כי זה כל כך קל וכל כך Secured.
    • אבל יש אנשים שעדיין מפחדים מזה.
(רן) אז בכל פעם כשאני פותח את ה-Laptop שלי, אני מקליד סיסמה . . . .
  • (רולי) נכון.
  • (רן) אני יכול לשים את האצבע, אבל . . . .
  • (רולי) בקרוב זה  . . . .  אנחנו רואים - הDevice-ים היותר מודרניים עוברים ל-Biometrics
    • כי Biometrics זה באמת זה יותר קל ויותר Secured
    • ואין לו בעיית Privacy, כי ה-Data - אנחנו כולנו יודעים, אנשים טכניים יודעים שה-Data הביומטרי לא עוזב את המכשירים, אצל החברות הגדולות, שאנחנו מכירים.
(אורי) לאחרונה שמעתי על סקטור של אנשים שלא יכול להשתמש ב-Biometrics, בטביעות אצבעות - וזה מטפסים . . .
  • (רולי) וואלה . . . 
(אורי) . . .   הם - נשחקות להם הטביעות-אצבע . . .
(רן) מה לגבי הרגליים?
  • (רולי) . . . מעניין לנסות פעם לעשות סריקה עם הרגל . . . 
(רן) אבל דרך אגב - אמרת מקודם שאם אני משתמש על Apple, אז כן יש אינפורמציה שנמצאת ב-iCloud . . .
  • (רולי) נכון - אבל היא מוצפנת, ו-Apple לא יגשו אליה . . . .
    • זה כמו מה שיש לך ב-Google Drive - אז Google לא ניגשת לזה.
(רן) אוקיי, אז יש פה איזשהו Leap-of-Faith . . .  אבל בסדר.
  • (רולי) אני חושב שהחברות האלה - יש להן כל כך הרבה מה להפסיד, שאין להן סיבה להונות את הלקוחות שלהן
    • כי הן יכולות להתרסק, חברות של Trillions of Dollars . . . 
(רן) כן, אבל טעויות יכולות לקרות . . . . אני לא חושב שיש להן סיבה, אבל טעויות יכולות לקרות, נכון?
  • (רולי) נכון.
(רן) כמו . . . עיין-ערך “המאגר הביומטרי” בישראל [הי ברזיק . . . ] - אני לא אומר שזה לא משנה שאין סיבה לבוא ולהדליף אותו, אבל טעויות יכולות לקרות.
  • (רולי) לא רק זה - זה גם גורם-סיכון, זו נקודת-תורפה.
(אורי) במיוחד כשיש ממשלות שעושות טעויות . . . .
(רן) לא, לא אצלנו, לא בבית ספרנו . . . . בסדר, בסדר, אז אנחנו כבר עברנו . . . .
(אורי) אמרה שרת החוץ הלובית, לא . . . 
  • (רולי) לשעבר . . . .
(רן) הרבה זמן לא הייתה פוליטיקה פה, איזה כיף . . . .

33:55 קצת על Mobile, קרדיטים - ופסוקו של יום
(רן) אז כן, אז אנחנו ממש ככה לקראת סיום. אז הבנו בגדול איך זה נראה - למעשה, אם אני היום מפתח אפליקצית-Web, אז להבנתי, אין סיבה שלא לאפשר את זה - לפחות כאופציה, אולי אפילו אופציה-יחידה, אם אני, ככה, ממש “הרפתקן”.
דרך אגב, איפה זה פוגש אותנו ב-Mobile? זאת אומרת, יש . . . ב-Mobile אני יכול לקבל חוויה זהה?
  • (רולי) לגמרי . . . 
(רן) גם עם Passkeys?
  • (רולי) כן, לגמרי.
(רן) בסדר, אז כמה מילות סיכום - אולי קצת עוד כמה מילים, ככה, על החברה שלך - איפה אתם בארץ, פיזית?
  • (רולי) אנחנו ליד רוטשילד, ליד בית הכנסת הגדול . . . 
  • בעצם, כולנו Veterans של ה . . . . אספתי איתי את השותף שלי ו”הכוכבים של Gigya
  • וכן - אנחנו בעצם שמחים, עובדים בכמה . . . מתחילים לדבר גם בארץ עם חברות גדולות, ונשמח  . . . . 
    • בעיקר חברות-הטכנולוגיה שרוצות להיכנס לזה, ורוצות פתרון הוליסטי, מודרני, לאות’נטיקציה (Authentication)
    • שידברו איתי, רולי - rooly-at-ownid.com.
(אורי) אהבתי את הרפרנס לבית הכנסת הגדול . . . . אתם עושים עושים ביומטרי עם האצבע הזאת, שקוראת ב . . . 
  • (רולי) גדול . . . 
(רן) עכשיו צריך את המוזיקה של פסוקו של יום [רן אשכרה הוסיף . . . .]
יאללה - יש לנו סגיר . . . 
תודה רבה, רולי!
 האזנה נעימה ותודה רבה לעופר פורר על התמלול!