كيفية تقليل تكاليف الرسائل النصية القصيرة (SMS) باستخدام مفاتيح المرور (Passkeys)

بعد إعلان منصة X عن إيقاف المصادقة الثنائية (2FA) القائمة على الرسائل النصية القصيرة لمستخدمي Twitter غير المشتركين في خدمة Blue بدءًا من 20 مارس 2023، كرد فعل على إساءة استخدام المحتالين لـ 2FA القائمة على الرسائل النصية، تثار تساؤلات حول العيوب المحتملة الأخرى لـ المصادقة القائمة على الرسائل النصية.

على الرغم من تبنيها على نطاق واسع من قبل الشركات بشكل عام (بعامل واحد أو عاملين) لتوفير حماية أفضل لحسابات مستخدميها، إلا أن طريقة المصادقة هذه غالبًا ما تأتي مع عيوب تتجاوز المشكلات الأمنية.

في هذا المقال، سنستكشف هذه العيوب، بما في ذلك الاحتيال والتحديات المتعلقة بالتكاليف والموثوقية وتجربة المستخدم. لمعالجة هذه المشكلات، يمكن استخدام مفاتيح المرور (Passkeys) كمعيار جديد للمصادقة بدون كلمة مرور، وهي تتفوق في العديد من الجوانب مقارنة بطرق المصادقة القائمة على الرسائل النصية.

في ضوء التطبيق المحتمل لمفاتيح المرور كبديل، نقدم في Corbado حلاً جاهزًا لمفاتيح المرور لجعل الإنترنت مكانًا آمنًا وتوفير نفقات ضخمة متعلقة بالرسائل النصية على عملك فورًا.

قبل أن نستكشف عيوب المصادقة القائمة على الرسائل النصية، من الضروري فهم مفهومها الأساسي. تشمل المصادقة القائمة على الرسائل النصية نوعين رئيسيين:

• المصادقة بعامل واحد
• المصادقة الثنائية

النوع الأول يتضمن طرقًا مثل رموز المرور لمرة واحدة (OTP) المرسلة عبر الرسائل النصية، مما يوفر بديلاً لتسجيل الدخول بدون كلمة مرور للطرق التقليدية. أما النوع الثاني فيستخدم عملية من خطوتين لضمان حماية 2FA. يقوم المستخدمون أولاً بالتسجيل/تسجيل الدخول باستخدام اسم المستخدم/البريد الإلكتروني وكلمة المرور، ثم يؤكدون تسجيلهم/تسجيل دخولهم من خلال رمز مرور لمرة واحدة يتم إرساله إلى هواتفهم المحمولة عبر رسالة نصية.

لنتعمق أكثر في عيوب المصادقة القائمة على الرسائل النصية من خلال تسليط الضوء على أشكال الاحتيال المختلفة المرتبطة بطريقة تسجيل الدخول هذه، والكشف عن التحديات المتعلقة بالموثوقية وتجربة المستخدم والتكاليف المالية المتكبدة في تطبيق وتشغيل وصيانة تقنية المصادقة هذه.

تم اختراع الرسائل النصية القصيرة منذ أكثر من 20 عامًا ولم تشهد أي تحديث أمني كبير منذ ذلك الحين. لهذا السبب، يمثل الاحتيال عبر الرسائل النصية مشكلة كبيرة.

في المصادقة القائمة على الرسائل النصية، عندما يطلب المستخدم رمز مصادقة أو رابطًا عبر رسالة نصية، يرسل مزود الخدمة الرمز أو الرابط إلى رقم هاتف المستخدم المحمول عبر رسالة نصية. يستغل ضخ حركة مرور الرسائل النصية هذه العملية عن طريق إرسال حجم هائل من الرسائل النصية غير المرغوب فيها والتي غالبًا ما تكون احتيالية إلى رقم هاتف معين.

يقوم محتالو مخططات ضخ حركة مرور الرسائل النصية بـ استغلال اتفاقيات تقاسم الإيرادات بين مشغلي شبكات الهاتف المحمول (MNO) ومزودي خدمات الرسائل. يهدفون إلى تضخيم حركة مرور الرسائل النصية وتحقيق إيرادات أعلى لأنفسهم، حيث يدفع مزودو خدمات الرسائل لمشغلي شبكات الهاتف المحمول رسومًا مقابل تسليم كل رسالة. كما أشار موظف حالي في Stytch على Hacker News، يتعاون مشغلو شبكات الهاتف المحمول مع المخترق من خلال تقاسم الإيرادات هنا. في حين أن بعض الإجراءات الوقائية المحددة مثل تعطيل أرقام الهواتف من تلقي الرسائل النصية (أذونات جغرافية)، وتنفيذ حدود للمعدل، واكتشاف الروبوتات يمكن أن تساعد في التخفيف من ضخ حركة مرور الرسائل النصية، إلا أن القضاء التام على سوء الاستخدام يكاد يكون مستحيلاً بسبب تصميم عملية الإرسال.

نتيجة لذلك، غالبًا ما تواجه الشركات ومزودو الخدمات نفقات كبيرة بسبب الزيادة في الرسائل الواردة. يقول Commsrisk إن Twitter وحدها خسرت مبلغًا لا يصدق قدره 60 مليون دولار أمريكي سنويًا بسبب ضخ حركة مرور الرسائل النصية. كما قد يواجه المستخدمون الشرعيون تأخيرات في تلقي رموز المصادقة أو الروابط الخاصة بهم.

في هذا النوع من الاحتيال، يستغل المحتالون الثغرات في البنية التحتية لمشغلي شبكات الهاتف المحمول (MNO) لنقل رقم هاتف الضحية المحمول إلى بطاقة SIM جديدة. من خلال القيام بذلك، يكتسب المهاجمون السيطرة على رقم هاتف الضحية، مما يسمح لهم باعتراض الرسائل النصية الواردة، بما في ذلك رموز المصادقة أو الروابط. بمجرد سيطرتهم على رقم هاتف المستخدم، يمكنهم تجاوز عملية المصادقة والحصول على وصول غير مصرح به إلى حساباتهم على منصات مختلفة. من الصعب اكتشاف مبادلة بطاقة SIM. غالبًا ما يستخدم المهاجمون الهندسة الاجتماعية لخداع دعم عملاء مشغلي شبكات الهاتف المحمول، مما يمكنهم من نقل رقم الضحية إلى بطاقة SIM جديدة. نظرًا لأن الشركات التي لديها مستخدمون معنيون غالبًا ما تظل غير مدركة، فإن هجمات مبادلة بطاقة SIM عادةً ما تؤدي إلى خروقات للبيانات وخسائر مالية وإلحاق الضرر بسمعة الشركة.

الرسائل النصية مكلفة ولا يوجد اتجاه حقيقي واضح يشير إلى انخفاض أسعارها.

لتطبيق المصادقة القائمة على الرسائل النصية، هناك خياران. يمكنك إما بناء وصيانة نظام داخلي أو استخدام حل مصادقة خارجي. في حين أن النهج المختلط ممكن، إلا أن الخيار الأخير يوصى به للبساطة. وفقًا لـ استطلاع Messente، يمكن أن يكلف بناء حل 2FA قائم على الرسائل النصية فقط داخليًا مبلغًا من خمسة أرقام بسهولة. لهذا السبب، غالبًا ما يكون اختيار حل خارجي، وهو عادة أرخص، فكرة أفضل.

نظرًا لأن إرسال رسائل المصادقة القائمة على الرسائل النصية إلى المستخدمين معقد للغاية، فإن كل شركة تقريبًا تختار مزودًا ذا خبرة. تترتب على خدمتهم تكاليف معاملات تختلف بناءً على المزود المختار. تعتمد هذه التكاليف على عوامل مثل:

• عدد الرسائل النصية المرسلة
• البلدان المستهدفة التي يتم إرسال الرسائل النصية إليها
• ميزات إضافية.

قد يفرض بعض المزودين رسومًا إضافية على المصادقة الناجحة عبر الرسائل النصية، على الرغم من أن هذا غالبًا ما يكون مدرجًا في السعر الإجمالي. وفقًا لـ miniOrange، تتراوح أسعار المعاملات عادةً من 0.01 إلى 0.20 دولار أمريكي لكل رسالة نصية، مع بدء خدمات الرسائل النصية عالية الجودة المرتبطة مباشرة بالمزودين الرئيسيين بحوالي 0.06 دولار أمريكي. نظرًا لأن مستخدمي المنتجات الرقمية غالبًا ما يكونون في بلدان مختلفة، فإن شراء خطط رسائل نصية متنوعة سيزيد من النفقات. وفقًا لمعلوماتنا، يوضح هذا مدى سرعة ارتفاع تكاليف إرسال رسائل المصادقة وحدها، ولماذا تكلف المصادقة القائمة على الرسائل النصية شركة رائدة في التجارة الإلكترونية 12 مليون دولار أمريكي سنويًا. من الواضح أنه يمكنك تقديم المصادقة القائمة على الرسائل النصية للبلدان المستهدفة الرئيسية فقط وبالتالي توفير المال، ولكن هذا مجرد قطرة في محيط وسيؤثر سلبًا أيضًا على تجربة المستخدم لبعض المستخدمين.

عادةً ما يتم تغطية غالبية تكاليف الصيانة ضمن أسعار المعاملات. وتشمل هذه النفقات المتعلقة بتمكين المزودين من إدارة كميات كبيرة من الرسائل النصية، وتسهيل تسليم الرسائل النصية الدولية إلى مختلف مشغلي شبكات الهاتف المحمول، وتنفيذ التدابير الأمنية الأساسية، وضمان الامتثال للوائح. ومع ذلك، قد تنشأ نفقات إضافية للشركة، مثل التعامل مع علاقات البائعين مع مزود الرسائل النصية، وتوفير دعم المستخدمين، وتخصيص الموارد لمعالجة فترات التوقف والمشكلات الفنية.

في سياق المصادقة القائمة على الرسائل النصية، يشير هذا إلى التسليم المتسق وفي الوقت المناسب للرسالة النصية وإمكانية الوصول غير المنقطعة إلى نظام المصادقة بواسطة رمز المصادقة المرسل. اعتمادًا على البنية التحتية المحلية، يمكن أن تعيق تأخيرات تسليم الرسائل وازدحام الشبكة وفترات التوقف المحتملة للنظام الاستلام الفوري لرموز المصادقة. يمكن أن يسبب هذا إحباطًا للمستخدم ويعيق عملية المصادقة.

أحد الجوانب الرئيسية التي يجب مراعاتها هو تباين سهولة الاستخدام عبر المنصات المختلفة. تعمل المصادقة القائمة على الرسائل النصية بشكل ممتاز على الأجهزة المحمولة بفضل وظيفة الملء التلقائي التي تجعل إدخال رمز المصادقة سهلاً. على العكس من ذلك، على أجهزة سطح المكتب، يجب عليك استخدام جهاز إضافي، وهو هاتفك المحمول، لإدخال رمز المصادقة يدويًا، مما يؤدي إلى تجربة أقل بديهية وملاءمة. كما ذكرنا سابقًا، تتأثر تجربة المستخدم أيضًا عند حدوث هجمات احتيالية، أو عند ظهور مشكلات في تسليم الرسائل النصية واسترداد رمز المصادقة.

حتى الآن، كان يُنظر إلى مفاتيح المرور بشكل أساسي على أنها البديل بدون كلمة مرور لكلمات المرور فقط.

علاوة على ذلك، نظرًا لأن مفاتيح المرور توفر وظيفة 2FA مدمجة، فإنها تعمل كبديل لكلمات المرور وأي نوع من المصادقة القائمة على الرسائل النصية. هذا يعزز الأمان ويتجنب تحديات تجربة المستخدم التي تفرضها رموز المرور لمرة واحدة القائمة على الرسائل النصية. من خلال استبدال رسائل المصادقة، تجلب مفاتيح المرور فوائد كبيرة تقضي بشكل فعال على عيوب المصادقة القائمة على الرسائل النصية.

على عكس المصادقة القائمة على الرسائل النصية، والتي يمكن أن تكون عرضة للاعتراض والتلاعب، توفر مفاتيح المرور حماية قوية ضد جميع أشكال الهجمات الاحتيالية بفضل استخدام البنية التحتية للمفتاح العام. هذا يضمن أنه حتى في حالة حدوث خرق للخادم، تظل حسابات المستخدمين محمية حيث يظل المفتاح الخاص الأساسي آمنًا داخل جهاز المستخدم، مضمنًا في نظام التشغيل. بالإضافة إلى ذلك، يعد ارتباط مفاتيح المرور بالخدمة المحددة المسجلة عبر الإنترنت إجراءً مضادًا لمحاولات التصيد الاحتيالي، مما يجعل مفاتيح المرور أكثر طرق المصادقة أمانًا المتاحة حاليًا.

على غرار المصادقة القائمة على الرسائل النصية، هناك تكاليف مرتبطة بتطبيق مفاتيح المرور. في حين أن التعامل مع التطبيق داخليًا ممكن، إلا أن التركيز على المصادقة الآمنة غالبًا ما يؤدي إلى تفضيل المتخصصين. تأتي خبرتهم بجزء بسيط من التكاليف الداخلية وتتوافق مع ما يفرضه مزودو المصادقة القائمة على الرسائل النصية مقابل التطبيق. من وجهة نظر التكلفة، فإن الميزة الكبيرة للاستثمار في مفاتيح المرور هي التخلص من الحاجة إلى إرسال رسائل نصية لتسجيل الدخول والاشتراك. بدلاً من ذلك، يمكن للمستخدمين تسجيل الدخول بأمان باستخدام Face ID أو Touch ID. لا يؤدي هذا فقط إلى توفير محتمل لملايين من تكاليف المصادقة سنويًا (خاصة للشركات الكبيرة الموجهة للمستهلكين) ولكنه يقضي أيضًا على جميع التحديات التي يمكن أن تنشأ عند إرسال واستقبال الرسائل النصية.

للتحقق من أرقام هواتف المستخدمين، وهو أمر مطلوب غالبًا لأغراض التسويق أو الاتصالات الأخرى، يظل إرسال رسالة نصية أولية برمز مرور لمرة واحدة خيارًا. هذا يسمح بتشغيل الرسائل النصية جنبًا إلى جنب مع مفاتيح المرور. بالإضافة إلى ذلك، يمكن أن تعمل الرسائل النصية كطريقة احتياطية. الفرق الرئيسي بين كلا السيناريوهين والمصادقة التقليدية القائمة على الرسائل النصية هو أن الرسائل النصية يتم إرسالها من حين لآخر فقط بدلاً من إرسالها مع كل محاولة تسجيل دخول.

أصبح اعتماد القياسات الحيوية (مثل Face ID و Touch ID و Windows Hello) لفتح الهواتف وأجهزة سطح المكتب أمرًا شائعًا بسرعة بين المستخدمين. تمتد مفاتيح المرور الآن هذه التجربة المألوفة إلى فتح الحسابات. نظرًا لأن معظم الهواتف المحمولة وأجهزة سطح المكتب جاهزة بالفعل لمفاتيح المرور، فإنها توفر بديلاً مباشرًا للمصادقة القائمة على الرسائل النصية. مع مسح بصمات الأصابع أو الوجه المحلي من الجهاز، يتم التخلص من الحاجة إلى جهاز ثانوي، كما هو مطلوب لمصادقة الرسائل النصية على الكمبيوتر المحمول. هذا التحسين الكبير يبسط تجربة المستخدم ويجعل تسجيل الدخول إلى الحساب سهلاً. ميزة فريدة أخرى لمفاتيح المرور هي واجهة المستخدم الشرطية (Conditional UI). تعزز هذه الميزة راحة المستخدم من خلال اقتراح وملء مفاتيح المرور المخزنة تلقائيًا عندما يتفاعل المستخدمون مع حقل إدخال اسم المستخدم. هذا يلغي الحاجة إلى البحث اليدوي عن بيانات الاعتماد، بما في ذلك أسماء المستخدمين، حيث يتم تخزينها بالفعل بشكل آمن داخل الجهاز أو المتصفح ويتم ملؤها تلقائيًا.

لا يقتصر الانتقال إلى المصادقة القائمة على مفاتيح المرور على تجربة تسجيل دخول أكثر سلاسة و مصادقة متعددة العوامل (المقاومة للتصيد الاحتيالي) أفضل. يمكن لمفاتيح المرور أيضًا توفير تكاليف رمز OTP عبر الرسائل النصية بشكل كبير إذا تم تحقيق أمرين:

• معدل تبني مرتفع لمفاتيح المرور
• معدل تسجيل دخول مرتفع بمفاتيح المرور

تركز تقنية مفاتيح المرور والتصميم الذكي من Corbado على تحسين هذين الجانبين لتوفير وفورات كبيرة في تكاليف الرسائل النصية. نحقق وفورات في التكاليف تصل إلى 90% مع معدلات تبني لمفاتيح المرور أعلى 10 مرات مقارنة بالحلول التقليدية التي يتم بناؤها ذاتيًا. لنر كيف.

الخطوة الأولى هي تحويل المستخدمين الحاليين إلى مستخدمي مفاتيح مرور من خلال السماح لهم بإنشاء مفاتيح مرور في إعدادات الحساب. ومع ذلك، هذا وحده لا يكفي لزيادة معدلات تبني مفاتيح المرور بين قاعدة المستخدمين الحالية. تقدم Corbado عدة حلول:

• التسجيل التلقائي التدريجي: تم تصميم محرك passkey intelligence الخاص بنا لتحسين عملية تسجيل مفاتيح المرور، وتوجيه المستخدمين من خلال تبني مفاتيح المرور بطريقة سلسة وبدون احتكاك كلما أمكن ذلك (على سبيل المثال، أثناء تسجيل الدخول بطرق المصادقة التقليدية). يضمن هذا النهج الاستباقي عدم إرباك المستخدمين أو حيرتهم، مما يقلل من معدلات التسرب ويزيد من التبني العام.
• الإنشاء التلقائي لمفتاح المرور المحلي: إذا قام العملاء بتسجيل الدخول عبر المصادقة عبر الأجهزة، يتم عرض خيار إنشاء مفتاح مرور محلي في البيئة التي يستخدمونها حاليًا، مما يزيد من تبني مفاتيح المرور على جميع أجهزتهم. في الحالات التي لا يوفر فيها جهاز سطح المكتب الحالي أداة مصادقة المنصة (platform authenticator) لـ إنشاء مفتاح مرور، يمكن استخدام استراتيجية الهاتف المحمول أولاً لـ إنشاء مفتاح مرور على هاتف محمول.
• الترقية التلقائية لمفتاح المرور: يسهل محرك القرار في Corbado الترقية التلقائية إلى مفاتيح المرور للمستخدمين، مما يزيد بشكل كبير من معدلات التبني دون الحاجة إلى مشاركة نشطة من المستخدم. يتم تشغيل هذا الانتقال السلس بواسطة محرك قرار passkey intelligence الخاص بنا، والذي يعمل تلقائيًا على أجهزة iOS 18+ (والمزيد سيتبع).

نحن نضمن أن يتبنى المزيد من المستخدمين مفاتيح المرور بسهولة، محققين معدلات تبني أعلى 10 مرات من تطبيقات مفاتيح المرور التي يتم بناؤها ذاتيًا.

الخطوة الثانية المهمة هي تشغيل عمليات تسجيل الدخول بمفاتيح المرور كلما أمكن ذلك وتشجيع إعادة استخدام مفاتيح المرور الحالية بنشاط.

• نهج المعرف أولاً: بدء عملية تسجيل الدخول بطلب المعرف فقط (مثل عنوان البريد الإلكتروني) ثم تحديد ما إذا كان تسجيل الدخول بمفتاح المرور ممكنًا تلقائيًا يبسط تجربة المستخدم ويشجع على استخدام أعلى لمفاتيح المرور. تقلل هذه الطريقة من الخطوات اللازمة للمستخدمين لتسجيل الدخول، مما يجعل العملية أسرع وأكثر بديهية من تقديم زر منفصل "تسجيل الدخول باستخدام مفتاح المرور"، والذي يتجاهله المستهلكون بشكل متكرر.
• المصادقة عبر الأجهزة وتسجيل الدخول بمفتاح المرور بنقرة واحدة: تعود Corbado تلقائيًا إلى المصادقة عبر الأجهزة WebAuthn عندما لا يكون هناك مفتاح مرور محلي متاح. بالإضافة إلى ذلك، بمجرد تسجيل تسجيل دخول بمفتاح المرور على جهاز، يتم تحويل حقل معرف المستخدم تلقائيًا إلى زر تسجيل دخول بمفتاح المرور بنقرة واحدة، مما يجعل تسجيل الدخول أكثر سلاسة.

يقدم نهج Corbado المبتكر لزيادة معدلات تبني وتسجيل الدخول بمفاتيح المرور مزايا كبيرة على النهج التي يتم بناؤها ذاتيًا. من خلال الاستفادة من هذا التصميم الذكي، نضمن أن المستخدمين لا يدمجون مفاتيح المرور فحسب، بل يتبنونها بنشاط، مما يؤدي إلى معدلات تبني وتسجيل دخول أعلى تصل إلى 10 مرات. لا يعزز هذا التحول الأمان وتجربة المستخدم فحسب، بل يوفر أيضًا وفورات كبيرة في التكاليف، لا سيما عن طريق تقليل نفقات رمز OTP عبر الرسائل النصية بنسبة تصل إلى 90%. في عصر مفاتيح المرور القادم، حيث تكون المصادقة الفعالة والآمنة مهمة، تبرز Corbado كرائدة في دفع كل من التبني وفعالية التكلفة.

باختصار، تقدم مفاتيح المرور حلاً عمليًا لمعالجة عيوب المصادقة القائمة على الرسائل النصية. إنها توفر أمانًا قويًا وفعالية من حيث التكلفة وتجربة مستخدم عالية، مما يجعلها بديلاً ذكيًا. بفضل تقنية القياسات الحيوية والميزات سهلة الاستخدام مثل واجهة المستخدم الشرطية (Conditional UI)، تجعل مفاتيح المرور الأمان سلسًا وتجربة المستخدم سلسة عبر المنصات. بالنسبة للشركات التي تتطلع إلى تحسين لعبة المصادقة الخاصة بها، يعد حل مفاتيح المرور من Corbado طريقة بسيطة لتعزيز الأمان وخفض التكاليف وترك تحديات المصادقة القائمة على الرسائل النصية وراءها. اتصل بنا للحصول على حل مصادقة بمفاتيح المرور مصمم خصيصًا لإعداد OTP / 2FA عبر الرسائل النصية الخاص بك.