So senken Sie Ihre SMS-Kosten mit Passkeys

Nachdem X angekündigt hat, ab dem 20. März 2023 die SMS-basierte Zwei-Faktor-Authentifizierung (2FA) für Nutzer, die nicht Twitter Blue abonniert haben, einzustellen, stellen sich Fragen nach weiteren potenziellen Nachteilen der SMS-basierten Authentifizierung. Diese Maßnahme war eine Reaktion auf den Missbrauch der SMS-basierten 2FA durch Betrüger.

Obwohl diese Authentifizierungsmethode von Unternehmen weithin (als Ein-Faktor- und Zwei-Faktor-Authentifizierung) eingesetzt wird, um den Nutzern einen besseren Kontoschutz zu bieten, bringt sie oft mehr Nachteile mit sich als nur Sicherheitsprobleme.

In diesem Artikel untersuchen wir diese Nachteile, einschließlich Betrug und Herausforderungen bei Kosten, Zuverlässigkeit und Nutzererlebnis. Um diese Probleme zu lösen, können Passkeys als neue passwortlose Standard-Authentifizierungsmethode eingesetzt werden, die der SMS-basierten Authentifizierung in vielerlei Hinsicht überlegen ist.

Angesichts des potenziellen Einsatzes von Passkeys als Ersatz bieten wir bei Corbado eine Plug-and-Play-Passkey-Lösung an, um das Internet sicherer zu machen und Ihrem Unternehmen sofort erhebliche SMS-bezogene Kosten zu ersparen.

Bevor wir die Nachteile der SMS-basierten Authentifizierung untersuchen, ist es wichtig, ihr grundlegendes Konzept zu verstehen. Die SMS-basierte Authentifizierung umfasst zwei Haupttypen:

• Ein-Faktor-Authentifizierung
• Zwei-Faktor-Authentifizierung

Erstere umfasst Methoden wie per SMS versendete Einmalpasswörter (OTP), die eine passwortfreie Login-Alternative zu herkömmlichen Passwörtern bieten. Letztere verwendet einen zweistufigen Prozess, um den Schutz durch 2FA zu gewährleisten. Nutzer registrieren oder melden sich zuerst mit ihrem Benutzernamen/ihrer E-Mail-Adresse und ihrem Passwort an und bestätigen dann ihre Registrierung/Anmeldung durch ein Einmalpasswort, das per SMS an ihr Mobiltelefon gesendet wird.

Lassen Sie uns tiefer in die Nachteile der SMS-basierten Authentifizierung eintauchen, indem wir verschiedene Formen des Betrugs im Zusammenhang mit dieser Anmeldemethode beleuchten und Herausforderungen bei Zuverlässigkeit, Nutzererlebnis und den finanziellen Kosten für die Implementierung, den Betrieb und die Wartung dieser Authentifizierungstechnologie aufdecken.

SMS wurden vor über 20 Jahren erfunden und haben seitdem kein großes Sicherheitsupdate mehr erhalten. Deshalb ist SMS-Betrug ein riesiges Problem.

Bei der SMS-basierten Authentifizierung sendet der Dienstanbieter einen Code oder Link an die Mobilfunknummer des Nutzers, wenn dieser einen Authentifizierungscode oder -link per SMS anfordert. SMS Traffic Pumping nutzt diesen Prozess aus, indem eine riesige Menge unerwünschter und oft betrügerischer SMS-Nachrichten an eine bestimmte Telefonnummer gesendet wird.

Die Betrüger hinter SMS-Traffic-Pumping-Systemen nutzen die Umsatzbeteiligungsvereinbarungen zwischen Mobilfunknetzbetreibern (MNO) und Nachrichtendienstanbietern aus. Ihr Ziel ist es, den SMS-Traffic aufzublähen und höhere Einnahmen für sich selbst zu generieren, da die Nachrichtendienstanbieter den MNOs eine Gebühr für die Zustellung jeder Nachricht zahlen. Wie ein aktueller Stytch-Mitarbeiter auf Hacker News betonte, arbeiten die MNOs hier mit den Hackern zusammen, indem sie die Einnahmen teilen. Obwohl spezifische Präventivmaßnahmen wie das Deaktivieren von Telefonnummern für den SMS-Empfang (Geo-Berechtigungen), die Implementierung von Ratenbegrenzungen und die Erkennung von Bots helfen können, SMS Traffic Pumping zu mindern, ist eine vollständige Beseitigung des Missbrauchs aufgrund des Designs des Sendeprozesses nahezu unmöglich.

Infolgedessen sehen sich Unternehmen und Dienstanbieter oft mit erheblichen Kosten durch den Anstieg der eingehenden Nachrichten konfrontiert. Commsrisk gibt an, dass allein Twitter jährlich unglaubliche 60 Millionen US-Dollar durch SMS Traffic Pumping verloren hat. Außerdem können legitime Nutzer Verzögerungen beim Empfang ihrer Authentifizierungscodes oder -links erfahren.

Bei dieser Art von Betrug nutzen Betrüger Schwachstellen in der Infrastruktur der MNOs aus, um die Mobilfunknummer eines Opfers auf eine neue SIM-Karte zu übertragen. Dadurch erlangen die Angreifer die Kontrolle über die Telefonnummer des Opfers und können eingehende SMS-Nachrichten, einschließlich Authentifizierungscodes oder -links, abfangen. Sobald sie die Kontrolle über die Telefonnummer eines Nutzers haben, können sie den Authentifizierungsprozess umgehen und unbefugten Zugriff auf dessen Konten auf verschiedenen Plattformen erhalten. SIM-Swapping ist schwer zu erkennen. Angreifer nutzen oft Social Engineering, um den Kundensupport der MNOs zu täuschen und die Übertragung der Nummer des Opfers auf eine neue SIM-Karte zu ermöglichen. Da die betroffenen Unternehmen oft nichts davon mitbekommen, führen SIM-Swap-Angriffe in der Regel zu Datenlecks, finanziellen Verlusten und einer Schädigung des Rufs des Unternehmens.

SMS sind teuer, und es ist kein wirklicher Trend zu sinkenden SMS-Preisen erkennbar.

Für die SMS-basierte Authentifizierung gibt es zwei Implementierungsoptionen. Man kann entweder ein internes System aufbauen und warten oder eine externe Authentifizierungslösung nutzen. Obwohl ein gemischter Ansatz möglich ist, wird aus Gründen der Einfachheit die letztere Option empfohlen. Laut einer Messente-Umfrage kann der Eigenbau einer reinen SMS-2FA-Lösung leicht fünfstellige Beträge kosten. Deshalb ist die Entscheidung für eine externe Lösung, die in der Regel günstiger ist, oft die bessere Idee.

Da das Senden von SMS-basierten Authentifizierungsnachrichten an Nutzer sehr komplex ist, greifen fast alle Unternehmen auf einen erfahrenen Anbieter zurück. Dessen Dienstleistung verursacht Transaktionskosten, die je nach gewähltem Anbieter variieren. Diese Kosten hängen von Faktoren ab wie:

• der Anzahl der gesendeten SMS
• den Zielländern, in die die SMS gesendet wird
• zusätzlichen Funktionen.

Einige Anbieter erheben möglicherweise eine zusätzliche Gebühr für eine erfolgreiche Authentifizierung per SMS, obwohl dies oft im Gesamtpreis enthalten ist. Laut miniOrange liegen die Transaktionspreise in der Regel zwischen 0,01 und 0,20 USD pro SMS, wobei hochwertige SMS-Dienste, die direkt mit großen Anbietern verbunden sind, bei etwa 0,06 USD beginnen. Da sich die Nutzer digitaler Produkte oft in verschiedenen Ländern befinden, erhöht der Kauf verschiedener SMS-Pläne die Ausgaben. Unseren Informationen zufolge zeigt dies, wie schnell allein die Kosten für das Versenden von Authentifizierungsnachrichten in die Höhe schnellen können und warum die SMS-basierte Authentifizierung einen führenden E-Commerce-Anbieter 12 Millionen USD pro Jahr kostet. Natürlich kann man die SMS-basierte Authentifizierung nur für wichtige Zielländer anbieten und dadurch Geld sparen, aber das ist nur ein Tropfen auf den heißen Stein und würde sich auch negativ auf das Nutzererlebnis für einige Nutzer auswirken.

Die meisten Wartungskosten sind in der Regel in den Transaktionspreisen enthalten. Dazu gehören Ausgaben, die es den Anbietern ermöglichen, große SMS-Mengen zu verwalten, die internationale SMS-Zustellung an verschiedene MNOs zu erleichtern, wesentliche Sicherheitsmaßnahmen zu implementieren und die Einhaltung von Vorschriften zu gewährleisten. Es können jedoch zusätzliche Kosten für das Unternehmen anfallen, wie z. B. die Pflege der Anbieterbeziehungen zum SMS-Provider, die Bereitstellung von Nutzer-Support und die Zuweisung von Ressourcen zur Behebung von Ausfallzeiten und technischen Problemen.

Im Kontext der SMS-basierten Authentifizierung bezieht sich dies auf die konsistente und rechtzeitige Zustellung der SMS und die ununterbrochene Erreichbarkeit des Authentifizierungssystems durch den gesendeten Authentifizierungscode. Abhängig von der lokalen Infrastruktur können Verzögerungen bei der Nachrichtenübermittlung, Netzwerküberlastung und potenzielle Systemausfälle den schnellen Empfang von Authentifizierungscodes behindern. Dies kann zu Frustration bei den Nutzern führen und den Authentifizierungsprozess erschweren.

Ein wichtiger Aspekt ist die unterschiedliche Benutzerfreundlichkeit auf verschiedenen Plattformen. Die SMS-basierte Authentifizierung funktioniert auf mobilen Geräten hervorragend, da die Autofill-Funktion die Eingabe des Authentifizierungscodes erleichtert. Auf Desktops hingegen muss man ein zusätzliches Gerät, das Mobiltelefon, verwenden, um den Authentifizierungscode manuell einzugeben, was zu einem weniger intuitiven und bequemen Erlebnis führt. Wie bereits erwähnt, leidet das Nutzererlebnis auch, wenn Betrugsangriffe auftreten oder Probleme bei der SMS-Zustellung und dem Abrufen des Authentifizierungscodes auftreten.

Bisher wurden Passkeys hauptsächlich als passwortlose Alternative nur für Passwörter wahrgenommen.

Da Passkeys jedoch eine integrierte 2FA-Funktionalität bieten, dienen sie als Alternative zu Passwörtern und jeder Art von SMS-basierter Authentifizierung. Dies erhöht die Sicherheit und vermeidet die Herausforderungen für das Nutzererlebnis, die durch SMS-basierte Einmalpasswörter entstehen. Indem sie Authentifizierungsnachrichten ersetzen, bringen Passkeys erhebliche Vorteile mit sich, die die Nachteile der SMS-basierten Authentifizierung effektiv beseitigen.

Im Gegensatz zur SMS-basierten Authentifizierung, die anfällig für Abfangen und Manipulation sein kann, bieten Passkeys aufgrund der Verwendung einer Public-Key-Infrastruktur robusten Schutz gegen alle Formen von betrügerischen Angriffen. Dies stellt sicher, dass selbst bei einem Server-Einbruch die Nutzerkonten geschützt bleiben, da der wesentliche private Schlüssel sicher auf dem Gerät des Nutzers im Betriebssystem eingebettet bleibt. Zusätzlich ist die Verknüpfung von Passkeys mit dem spezifischen registrierten Online-Dienst eine Gegenmaßnahme gegen Phishing-Versuche, was Passkeys zur derzeit sichersten verfügbaren Authentifizierungsmethode macht.

Ähnlich wie bei der SMS-basierten Authentifizierung fallen auch bei der Implementierung von Passkeys Kosten an. Obwohl eine interne Umsetzung möglich ist, führt der Fokus auf sichere Authentifizierung oft zur Bevorzugung von Spezialisten. Deren Expertise kostet nur einen Bruchteil der internen Kosten und entspricht dem, was Anbieter von SMS-basierter Authentifizierung für die Implementierung verlangen. Aus Kostensicht liegt der entscheidende Vorteil der Investition in Passkeys darin, dass keine SMS mehr für die Anmeldung und Registrierung gesendet werden müssen. Stattdessen können sich Nutzer sicher mit Face ID oder Touch ID anmelden. Dies führt nicht nur zu potenziellen Kosteneinsparungen von Millionen pro Jahr für die Authentifizierung (insbesondere für größere verbraucherorientierte Unternehmen), sondern beseitigt auch alle Herausforderungen, die beim Senden und Empfangen von SMS auftreten können.

Zur Überprüfung der Telefonnummern von Nutzern, die oft für Marketing- oder andere Kommunikationszwecke erforderlich ist, bleibt das Senden einer anfänglichen SMS mit einem Einmalpasswort eine Option. Dadurch können SMS parallel zu Passkeys laufen. Zusätzlich können SMS als Fallback-Methode dienen. Der entscheidende Unterschied zwischen beiden Szenarien und der traditionellen SMS-basierten Authentifizierung besteht darin, dass SMS nur gelegentlich und nicht bei jedem Anmeldeversuch gesendet werden.

Die Nutzung von Biometrie (z. B. Face ID, Touch ID, Windows Hello) zum Entsperren von Telefonen und Desktop-Geräten hat sich bei den Nutzern schnell durchgesetzt. Passkeys erweitern dieses vertraute Erlebnis nun auf das Entsperren von Konten. Da die meisten Mobiltelefone und Desktop-Geräte bereits Passkey-fähig sind, bieten sie einen Eins-zu-eins-Ersatz für die SMS-basierte Authentifizierung. Mit lokalen Fingerabdruck- oder Gesichtsscans vom Gerät entfällt die Notwendigkeit eines zweiten Geräts, wie es bei der Laptop-basierten SMS-Authentifizierung noch erforderlich ist. Diese wesentliche Verbesserung vereinfacht das Nutzererlebnis und macht die Kontoanmeldung mühelos. Ein weiteres einzigartiges Merkmal von Passkeys ist die Conditional UI. Diese Funktion erhöht den Nutzerkomfort, indem sie gespeicherte Passkeys automatisch vorschlägt und vorab ausfüllt, wenn Nutzer mit dem Eingabefeld für den Benutzernamen interagieren. Dies macht die manuelle Suche nach Anmeldeinformationen, einschließlich Benutzernamen, überflüssig, da diese bereits sicher im Gerät oder Browser gespeichert sind und automatisch ausgefüllt werden.

Der Übergang zur Passkey-basierten Authentifizierung bedeutet nicht nur eine reibungslosere Login-UX und eine bessere (phishing-resistente) MFA. Passkeys können auch erhebliche SMS-OTP-Kosten einsparen, wenn zwei Dinge erreicht werden:

• eine hohe Passkey-Akzeptanzrate
• eine hohe Passkey-Login-Rate

Die Passkey-Technologie und das intelligente Design von Corbado konzentrieren sich auf die Optimierung beider Aspekte, um hohe Einsparungen bei den SMS-Kosten zu erzielen. Wir erreichen bis zu 90 % Kosteneinsparungen bei 10-fach höheren Akzeptanzraten von Passkeys im Vergleich zu traditionellen DIY-Lösungen. Schauen wir uns an, wie.

Der erste Schritt besteht darin, bestehende Nutzer in Passkey-Nutzer umzuwandeln, indem man ihnen erlaubt, Passkeys in den Kontoeinstellungen zu erstellen. Dies allein reicht jedoch nicht aus, um die Passkey-Akzeptanzraten bei der bestehenden Nutzerbasis zu erhöhen. Corbado bietet mehrere Lösungen:

• Progressive automatische Registrierung: Unsere Passkey Intelligence Engine ist darauf ausgelegt, den Prozess der Passkey-Registrierung zu optimieren und Nutzer wann immer möglich reibungslos und nahtlos durch die Passkey-Akzeptanz zu führen (z. B. während des Logins mit traditionellen Authentifizierungsmethoden). Dieser proaktive Ansatz stellt sicher, dass die Nutzer nicht überfordert oder verwirrt werden, wodurch die Abbruchraten reduziert und die allgemeine Akzeptanz erhöht wird.
• Automatische Erstellung lokaler Passkeys: Wenn sich Kunden über die geräteübergreifende Authentifizierung anmelden, wird ihnen die Möglichkeit geboten, einen lokalen Passkey in der aktuell genutzten Umgebung zu erstellen, was die Passkey-Akzeptanz auf all ihren Geräten erhöht. In Situationen, in denen das aktuelle Desktop-Gerät keinen Plattform-Authenticator zum Erstellen eines Passkeys anbietet, kann eine Mobile-First-Strategie angewendet werden, um einen Passkey auf einem Mobiltelefon zu erstellen.
• Automatisches Passkey-Upgrade: Die Entscheidungs-Engine von Corbado ermöglicht ein automatisches Upgrade auf Passkeys für Nutzer, was die Akzeptanzraten erheblich erhöht, ohne dass eine aktive Beteiligung der Nutzer erforderlich ist. Dieser nahtlose Übergang wird durch unsere Passkey Intelligence Entscheidungs-Engine angetrieben, die auf Geräten mit iOS 18 und höher automatisch funktioniert (weitere werden folgen).

Wir stellen sicher, dass mehr Nutzer mühelos Passkeys übernehmen und erreichen Akzeptanzraten, die 10-mal höher sind als bei selbst entwickelten Passkey-Implementierungen.

Der zweite wichtige Schritt besteht darin, Passkey-Logins wann immer möglich auszulösen und die Wiederverwendung bestehender Passkeys aktiv zu fördern.

• Identifier-First-Ansatz: Der Login-Prozess wird gestartet, indem nur nach einem Identifier (z. B. E-Mail-Adresse) gefragt wird und dann automatisch festgestellt wird, ob ein Passkey-Login möglich ist. Dies vereinfacht die UX und fördert eine höhere Passkey-Nutzung. Diese Methode reduziert die für den Login erforderlichen Schritte und macht den Prozess schneller und intuitiver als das Anbieten eines separaten „Mit Passkey anmelden“-Buttons, den Verbraucher häufig ignorieren.
• Geräteübergreifende Authentifizierung und One-Tap-Passkey-Login: Corbado greift automatisch auf die WebAuthn Cross-Device Authentication zurück, wenn kein lokaler Passkey verfügbar ist. Sobald ein Passkey-Login auf einem Gerät erfasst wurde, wird das Feld für den Nutzer-Identifier automatisch in einen One-Tap-Passkey-Login-Button umgewandelt, was den Login noch nahtloser macht.

Der innovative Ansatz von Corbado zur Maximierung der Passkey-Akzeptanz- und Login-Raten bietet erhebliche Vorteile gegenüber DIY-Ansätzen. Durch die Nutzung dieses intelligenten Designs stellen wir sicher, dass Nutzer Passkeys nicht nur integrieren, sondern aktiv annehmen, was zu bis zu 10-mal höheren Akzeptanz- und Login-Raten führt. Dieser Wandel verbessert nicht nur die Sicherheit und das Nutzererlebnis, sondern führt auch zu erheblichen Kosteneinsparungen, insbesondere durch die Reduzierung der SMS-OTP-Kosten um bis zu 90 %. In der kommenden Passkey-Ära, in der eine effiziente und sichere Authentifizierung wichtig ist, hebt sich Corbado als führend in der Förderung von Akzeptanz und Kosteneffizienz ab.

Zusammenfassend lässt sich sagen, dass Passkeys eine praktische Lösung bieten, um die Nachteile der SMS-basierten Authentifizierung zu bewältigen. Sie bieten robuste Sicherheit, Kosteneffizienz und ein hohes Nutzererlebnis, was sie zu einem intelligenten Ersatz macht. Mit biometrischer Technologie und benutzerfreundlichen Funktionen wie der Conditional UI machen Passkeys die Sicherheit nahtlos und das Nutzererlebnis auf allen Plattformen reibungslos. Für Unternehmen, die ihre Authentifizierung verbessern möchten, ist die Passkey-Lösung von Corbado eine einfache Möglichkeit, die Sicherheit zu erhöhen, Kosten zu senken und die Herausforderungen der SMS-basierten Authentifizierung hinter sich zu lassen. Kontaktieren Sie uns für eine maßgeschneiderte Passkey-Authentifizierungslösung für Ihr SMS-OTP-/2FA-Setup.