Wie Sie Ihre SMS-Kosten mit Passkeys senken

1. Einleitung#

Nach der Ankündigung von X, die SMS-basierte Zwei-Faktor-Authentifizierung (2FA) für Nutzer ohne Twitter Blue ab dem 20. März 2023 als Reaktion auf den Missbrauch durch Betrüger einzustellen, stellen sich Fragen nach weiteren potenziellen Nachteilen der SMS-basierten Authentifizierung.

Trotz der breiten Akzeptanz bei Unternehmen im Allgemeinen (Single-Factor und Two-Factor), um einen besseren Kontoschutz für ihre Nutzer zu bieten, bringt diese Authentifizierungsmethode oft weitere Nachteile jenseits von Sicherheitsproblemen mit sich.

In diesem Artikel werden wir diese Nachteile untersuchen, einschließlich Betrug und Herausforderungen in Bezug auf Kosten, Zuverlässigkeit und Nutzererlebnis. Um diese zu beheben, können Passkeys als neuer passwortloser Standard für die Authentifizierung eingesetzt werden, der in vielen Aspekten den SMS-basierten Methoden überlegen ist.

Angesichts des Potenzials von Passkeys als Ersatzlösung bieten wir bei Corbado eine Plug-and-Play-Passkey-Lösung an, um das Internet zu einem sichereren Ort zu machen und Ihrem Unternehmen sofort hohe SMS-bezogene Ausgaben zu ersparen.

2. Was ist SMS-basierte Authentifizierung?#

Bevor wir uns mit den Nachteilen der SMS-basierten Authentifizierung befassen, ist es wichtig, ihr grundlegendes Konzept zu verstehen. Die SMS-basierte Authentifizierung umfasst zwei Hauptarten:

• Single-Factor-Authentifizierung
• Zwei-Faktor-Authentifizierung

Erstere umfasst Methoden wie Einmalpasswörter (OTP), die per SMS gesendet werden und eine passwortfreie Login-Alternative zu herkömmlichen Passwörtern bieten. Letztere nutzt einen zweistufigen Prozess, um 2FA-Schutz zu gewährleisten. Nutzer melden sich zunächst mit ihrem Benutzernamen/ihrer E-Mail und ihrem Passwort an und bestätigen ihre Anmeldung/ihren Login dann durch ein Einmalpasswort, das per SMS an ihr Mobiltelefon gesendet wird.

3. Nachteile der SMS-basierten Authentifizierung#

Lassen Sie uns tiefer in die Nachteile der SMS-basierten Authentifizierung eintauchen, indem wir verschiedene Formen des Betrugs beleuchten, die mit dieser Login-Methode verbunden sind, und Herausforderungen bei Zuverlässigkeit, Nutzererlebnis und den finanziellen Kosten aufdecken, die bei Implementierung, Betrieb und Wartung dieser Authentifizierungstechnologie anfallen.

3.1 Betrug: SMS werden genutzt, um Nutzerkonten zu hacken#

SMS wurden vor über 20 Jahren erfunden und haben seither kein größeres Sicherheitsupdate mehr erhalten. Deshalb ist SMS-Betrug ein riesiges Problem.

3.1.1 SMS Traffic Pumping#

Bei der SMS-basierten Authentifizierung, wenn ein Nutzer einen Authentifizierungscode oder einen Link per SMS anfordert, sendet der Dienstanbieter den Code oder Link per SMS an die Mobiltelefonnummer des Nutzers. SMS Traffic Pumping nutzt diesen Prozess aus, indem eine massive Menge unerwünschter und oft betrügerischer SMS-Nachrichten an eine bestimmte Telefonnummer gesendet wird.

Die Betrüger hinter SMS-Traffic-Pumping-Maschen nutzen die Umsatzbeteiligungsvereinbarungen zwischen Mobilfunknetzbetreibern (MNO) und Messaging-Dienstanbietern aus. Ihr Ziel ist es, den SMS-Verkehr künstlich aufzublähen und so höhere Einnahmen für sich selbst zu generieren, da die Messaging-Dienstanbieter den MNOs für jede zugestellte Nachricht eine Gebühr zahlen. Wie ein aktueller Stytch-Mitarbeiter auf Hacker News anmerkte, arbeiten die MNOs hier mit dem Hacker zusammen, indem sie die Einnahmen teilen. Während spezifische Präventivmaßnahmen wie das Sperren von Telefonnummern für den Empfang von SMS (Geo-Berechtigungen), das Implementieren von Rate Limits und die Erkennung von Bots helfen können, SMS Traffic Pumping einzudämmen, ist eine vollständige Beseitigung des Missbrauchs aufgrund des Designs des Versandprozesses nahezu unmöglich.

Infolgedessen sehen sich Unternehmen und Dienstanbieter oft mit erheblichen Kosten durch den Anstieg eingehender Nachrichten konfrontiert. Laut Commsrisk verlor allein Twitter jährlich unglaubliche 60 Mio. US-Dollar durch SMS Traffic Pumping. Zudem kann es bei legitimen Nutzern zu Verzögerungen beim Erhalt ihrer Authentifizierungscodes oder -links kommen.

3.1.2 SIM Swapping#

Bei dieser Art von Betrug nutzen Betrüger Schwachstellen in der MNO-Infrastruktur aus, um die Mobiltelefonnummer eines Opfers auf eine neue SIM-Karte zu übertragen. Dadurch erlangen die Angreifer die Kontrolle über die Telefonnummer des Opfers und können eingehende SMS-Nachrichten abfangen, einschließlich Authentifizierungscodes oder -links. Sobald sie die Kontrolle über die Telefonnummer eines Nutzers erlangt haben, können sie den Authentifizierungsprozess umgehen und sich unbefugten Zugang zu dessen Konten auf verschiedenen Plattformen verschaffen. SIM Swapping ist schwer zu erkennen. Angreifer nutzen oft Social Engineering, um den Kundensupport des MNO zu täuschen, was es ihnen ermöglicht, die Nummer des Opfers auf eine neue SIM-Karte zu übertragen. Da Unternehmen mit betroffenen Nutzern oft ahnungslos bleiben, führen SIM-Swap-Angriffe in der Regel zu Datenschutzverletzungen, finanziellen Verlusten und Rufschädigung des Unternehmens.

3.2 Kosten#

SMS sind teuer und es ist kein wirklicher Trend erkennbar, der auf eine Senkung der SMS-Preise hindeutet.

3.2.1 Die Implementierung von SMS-basierter Authentifizierung ist teuer#

Für die SMS-basierte Authentifizierung gibt es zwei Implementierungsoptionen. Sie können entweder ein internes System aufbauen und warten oder eine externe Authentifizierungslösung nutzen. Obwohl ein Mix-and-Match-Ansatz möglich ist, wird letztere Option aus Gründen der Einfachheit empfohlen. Gemäß einer Messente-Umfrage kann die interne Entwicklung einer reinen SMS-2FA-Lösung leicht einen fünfstelligen Betrag kosten. Aus diesem Grund ist die Entscheidung für eine externe Lösung, die in der Regel günstiger ist, oft die bessere Idee.

3.2.2 Betrieb: Jede gesendete SMS kann bis zu 20 Cent kosten#

Da der Versand von SMS-basierten Authentifizierungsnachrichten an Nutzer sehr komplex ist, entscheidet sich fast jedes Unternehmen für einen erfahrenen Anbieter. Dessen Dienstleistung verursacht Transaktionskosten, die je nach gewähltem Anbieter variieren. Diese Kosten hängen von Faktoren ab wie:

• der Anzahl der gesendeten SMS
• den Zielländern, in die die SMS gesendet wird
• zusätzlichen Funktionen.

Einige Anbieter erheben möglicherweise eine zusätzliche Gebühr für eine erfolgreiche Authentifizierung per SMS, obwohl dies oft im Gesamtpreis enthalten ist. Laut miniOrange liegen die Transaktionspreise in der Regel zwischen 0,01 und 0,20 US-Dollar pro SMS, wobei hochwertige SMS-Dienste, die direkt mit den großen Anbietern verbunden sind, bei etwa 0,06 US-Dollar beginnen. Da sich die Nutzer von digitalen Produkten oft in verschiedenen Ländern befinden, führt der Kauf diverser SMS-Pakete zu höheren Ausgaben. Unseren Informationen zufolge zeigt dies, wie schnell allein die Kosten für den Versand von Authentifizierungsnachrichten in die Höhe schnellen können und warum die SMS-basierte Authentifizierung ein führendes E-Commerce-Unternehmen 12 Mio. US-Dollar pro Jahr kostet. Natürlich können Sie die SMS-basierte Authentifizierung nur für wichtige Zielländer anbieten und dadurch Geld sparen, aber das ist nur ein Tropfen auf den heißen Stein und würde sich auch negativ auf das Nutzererlebnis für einige Nutzer auswirken.

3.2.3 Wartung: Das System auf dem neuesten Stand zu halten, verursacht zusätzliche Kosten#

Die meisten Wartungskosten sind in der Regel in den Transaktionspreisen enthalten. Dazu gehören Ausgaben, die es den Anbietern ermöglichen, große SMS-Volumina zu verwalten, die internationale SMS-Zustellung an verschiedene MNOs zu ermöglichen, wesentliche Sicherheitsmaßnahmen zu implementieren und die Einhaltung von Vorschriften sicherzustellen. Für das Unternehmen können jedoch zusätzliche Kosten anfallen, wie z. B. die Pflege der Lieferantenbeziehungen mit dem SMS-Anbieter, die Bereitstellung von Nutzersupport und die Zuweisung von Ressourcen zur Behebung von Ausfallzeiten und technischen Problemen.

3.3 Zuverlässigkeit: SMS können verloren gehen#

Im Kontext der SMS-basierten Authentifizierung bezieht sich dies auf die konsistente und pünktliche Zustellung der SMS und die ununterbrochene Zugänglichkeit des Authentifizierungssystems durch den gesendeten Authentifizierungscode. Je nach lokaler Infrastruktur können Verzögerungen bei der Nachrichtenzustellung, Netzwerküberlastungen und mögliche Systemausfälle den rechtzeitigen Empfang von Authentifizierungscodes behindern. Dies kann zu Frustration beim Nutzer führen und erschwert den Authentifizierungsprozess.

3.4 Nutzererlebnis: Das Desktop-Erlebnis ist schlechter#

Ein wichtiger Aspekt, der berücksichtigt werden muss, ist die unterschiedliche Nutzerfreundlichkeit auf verschiedenen Plattformen. SMS-basierte Authentifizierung funktioniert auf mobilen Geräten dank der Autofill-Funktion, die die Eingabe des Authentifizierungscodes erleichtert, hervorragend. Auf Desktop-Computern hingegen müssen Sie ein zusätzliches Gerät, Ihr Mobiltelefon, verwenden, um den Authentifizierungscode manuell einzugeben, was zu einem weniger intuitiven und bequemen Erlebnis führt. Wie bereits erwähnt, leidet das Nutzererlebnis auch, wenn Betrugsangriffe stattfinden oder Probleme bei der SMS-Zustellung und dem Abruf des Authentifizierungscodes auftreten.

4. Passkeys als Ersatz für SMS-basierte Authentifizierung#

Bislang wurden Passkeys vor allem als passwortlose Alternative für reine Passwörter wahrgenommen.

Da Passkeys zudem über eine integrierte 2FA-Funktionalität verfügen, dienen sie als Alternative zu Passwörtern und jeder Art von SMS-basierter Authentifizierung. Dies erhöht die Sicherheit und vermeidet die Herausforderungen für das Nutzererlebnis, die durch SMS-basierte Einmalpasswörter entstehen. Indem sie Authentifizierungsnachrichten ersetzen, bringen Passkeys erhebliche Vorteile mit sich, die die Nachteile der SMS-basierten Authentifizierung effektiv beseitigen.

4.1 Phishing-resistente MFA und robuste Sicherheit#

Im Gegensatz zur SMS-basierten Authentifizierung, die anfällig für Abfangen und Manipulation sein kann, bieten Passkeys durch den Einsatz einer Public-Key-Infrastruktur robusten Schutz vor allen Formen betrügerischer Angriffe. Dies stellt sicher, dass selbst im Falle einer Serververletzung die Nutzerkonten geschützt bleiben, da der wesentliche private Schlüssel sicher im Gerät des Nutzers bleibt, eingebettet in das Betriebssystem. Darüber hinaus ist die Verknüpfung von Passkeys mit dem spezifischen registrierten Online-Dienst eine Gegenmaßnahme gegen Phishing-Versuche, was Passkeys zur sichersten derzeit verfügbaren Authentifizierungsmethode macht.

4.2 Vermeidung hoher (Transaktions-)Kosten#

Ähnlich wie bei der SMS-basierten Authentifizierung sind auch mit der Implementierung von Passkeys Kosten verbunden. Obwohl es möglich ist, die Implementierung intern abzuwickeln, führt der Fokus auf sichere Authentifizierung oft dazu, Spezialisten zu bevorzugen. Deren Expertise ist zu einem Bruchteil der internen Kosten verfügbar und entspricht in etwa dem, was Anbieter für die Implementierung SMS-basierter Authentifizierung verlangen. Aus Kostensicht ist der wesentliche Vorteil der Investition in Passkeys, dass der Versand von SMS für Logins und Registrierungen überflüssig wird. Stattdessen können sich Nutzer sicher mit Face ID oder Touch ID anmelden. Dies führt nicht nur zu potenziellen Einsparungen von Millionen an Authentifizierungskosten pro Jahr (insbesondere für größere verbraucherorientierte Unternehmen), sondern beseitigt auch alle Herausforderungen, die beim Senden und Empfangen von SMS auftreten können.

Für die Verifizierung der Telefonnummern von Nutzern, die oft für Marketing- oder andere Kommunikationszwecke erforderlich ist, bleibt das Senden einer anfänglichen SMS mit einem Einmalpasswort eine Option. Dies ermöglicht den parallelen Einsatz von SMS und Passkeys. Zusätzlich können SMS als Fallback-Methode dienen. Der wesentliche Unterschied zwischen beiden Szenarien und der herkömmlichen SMS-basierten Authentifizierung besteht darin, dass SMS nur gelegentlich und nicht bei jedem Anmeldeversuch gesendet werden.

4.3 Bequeme Authentifizierung und verbessertes Nutzererlebnis#

Die Nutzung von Biometrie (z. B. Face ID, Touch ID, Windows Hello) zum Entsperren von Telefonen und Desktop-Geräten ist bei Nutzern schnell zur Normalität geworden. Passkeys weiten dieses vertraute Erlebnis nun auf das Entsperren von Konten aus. Da die meisten Mobiltelefone und Desktop-Geräte bereits Passkey-ready sind, bieten sie einen Eins-zu-eins-Ersatz für die SMS-basierte Authentifizierung. Mit lokalen Fingerabdruck- oder Gesichtsscans vom Gerät entfällt die Notwendigkeit für ein zweites Gerät, wie es bei der Laptop-basierten SMS-Authentifizierung noch erforderlich ist. Diese wesentliche Verbesserung vereinfacht das Nutzererlebnis und macht den Konto-Login mühelos. Ein weiteres einzigartiges Merkmal von Passkeys ist Conditional UI. Diese Funktion erhöht den Nutzerkomfort, indem sie gespeicherte Passkeys automatisch vorschlägt und vorausfüllt, wenn Nutzer mit dem Eingabefeld für den Benutzernamen interagieren. Dadurch entfällt die manuelle Suche nach Anmeldedaten, einschließlich Benutzernamen, da diese bereits sicher auf dem Gerät oder im Browser gespeichert sind und automatisch vorausgefüllt werden.

5. Wie Corbado bis zu 90 % der SMS-Kosten bei 10-fach höherer Passkey-Adoptionsrate einspart#

Der Übergang zur Passkey-basierten Authentifizierung bedeutet nicht nur eine reibungslosere Login-UX und bessere (Phishing-resistente) MFA. Passkeys können auch erhebliche SMS-OTP-Kosten einsparen, wenn zwei Dinge erreicht werden:

• eine hohe Passkey-Adoptionsrate
• eine hohe Passkey-Login-Rate

Corbados Passkey-Technologie und intelligentes Design konzentrieren sich auf die Optimierung beider Aspekte, um hohe Einsparungen bei den SMS-Kosten zu erzielen. Wir erreichen bis zu 90 % Kosteneinsparungen bei 10-mal höheren Adoptionsraten von Passkeys im Vergleich zu herkömmlichen DIY-Lösungen. Sehen wir uns an, wie.

5.1 Maximierung der Passkey-Adoptionsrate#

Der erste Schritt besteht darin, bestehende Nutzer in Passkey-Nutzer umzuwandeln, indem man ihnen ermöglicht, Passkeys in den Kontoeinstellungen zu erstellen. Dies allein reicht jedoch nicht aus, um die Passkey-Adoptionsraten innerhalb der bestehenden Nutzerbasis zu erhöhen. Corbado bietet mehrere Lösungen:

• Progressive Automatic Enrollment: Unsere Passkey Intelligence Engine wurde entwickelt, um den Passkey-Registrierungsprozess zu optimieren und Nutzer wann immer möglich (z. B. beim Login mit herkömmlichen Authentifizierungsmethoden) reibungslos an die Nutzung von Passkeys heranzuführen. Dieser proaktive Ansatz stellt sicher, dass Nutzer nicht überfordert oder verwirrt werden, wodurch die Abbruchraten sinken und die Gesamtzustimmung steigt.
• Automatic Local Passkey Creation: Wenn Kunden sich über Cross-Device Authentication anmelden, wird ihnen die Möglichkeit geboten, einen lokalen Passkey in der Umgebung zu erstellen, die sie gerade verwenden, was die Passkey-Adoption auf all ihren Geräten erhöht. In Situationen, in denen das aktuelle Desktop-Gerät keinen Plattform-Authenticator bietet, um einen Passkey zu erstellen, kann eine Mobile-First-Strategie angewendet werden, um einen Passkey auf einem Mobiltelefon zu erstellen.
• Automatic Passkey Upgrade: Die Decision Engine von Corbado ermöglicht ein automatisches Upgrade auf Passkeys für Nutzer, was die Adoptionsraten deutlich erhöht, ohne dass eine aktive Teilnahme der Nutzer erforderlich ist. Dieser nahtlose Übergang wird durch unsere Passkey Intelligence Decision Engine ermöglicht, die auf iOS 18+ Geräten automatisch funktioniert (weitere folgen).

Wir stellen sicher, dass mehr Nutzer Passkeys mühelos annehmen und erreichen dabei Adoptionsraten, die 10-mal höher sind als bei selbstgebauten Passkey-Implementierungen.

5.2 Maximierung der Passkey-Login-Rate#

Der zweite wichtige Schritt besteht darin, Passkey-Logins wann immer möglich auszulösen und die Wiederverwendung bestehender Passkeys aktiv zu fördern.

• Identifier-First-Ansatz: Den Login-Prozess mit der reinen Abfrage eines Identifiers (z. B. E-Mail-Adresse) zu beginnen und dann automatisch zu ermitteln, ob ein Passkey-Login möglich ist, vereinfacht die UX und fördert eine höhere Passkey-Nutzung. Diese Methode reduziert die Schritte, die Nutzer für den Login benötigen, und macht den Prozess schneller und intuitiver als das Anbieten eines separaten "Mit Passkey anmelden"-Buttons, den Verbraucher häufig ignorieren.
• Cross-Device Authentication und One-Tap Passkey-Login: Corbado fällt automatisch auf die WebAuthn Cross-Device Authentication zurück, wenn kein lokaler Passkey verfügbar ist. Zusätzlich wird, sobald ein Passkey-Login auf einem Gerät verzeichnet wurde, das Eingabefeld für den Nutzer-Identifier automatisch in einen One-Tap Passkey-Login-Button umgewandelt, was die Anmeldung noch reibungsloser macht.

5.3 Ergebnis: 90 % geringere SMS-Kosten, 10-fach höhere Passkey-Adoption#

Corbados innovativer Ansatz zur Maximierung der Passkey-Adoption und der Login-Raten bietet erhebliche Vorteile gegenüber DIY-Ansätzen. Durch den Einsatz dieses intelligenten Designs stellen wir sicher, dass Nutzer Passkeys nicht nur integrieren, sondern aktiv übernehmen, was zu einer bis zu 10-fach höheren Adoption und Login-Rate führt. Dieser Wandel verbessert nicht nur die Sicherheit und das Nutzererlebnis, sondern bringt auch erhebliche Kosteneinsparungen mit sich, insbesondere durch die Senkung der SMS-OTP-Ausgaben um bis zu 90 %. In der kommenden Passkey-Ära, in der effiziente und sichere Authentifizierung wichtig ist, zeichnet sich Corbado als führendes Unternehmen aus, das sowohl Adoption als auch Kosteneffizienz vorantreibt.

6. Fazit#

Zusammenfassend lässt sich sagen, dass Passkeys eine praktische Lösung darstellen, um die Nachteile der SMS-basierten Authentifizierung zu bewältigen. Sie bieten robuste Sicherheit, Kosteneffizienz und ein großartiges Nutzererlebnis, was sie zu einem intelligenten Ersatz macht. Mit biometrischer Technologie und nutzerfreundlichen Funktionen wie Conditional UI machen Passkeys die Sicherheit nahtlos und das Nutzererlebnis plattformübergreifend reibungslos. Für Unternehmen, die ihre Authentifizierung auf die nächste Stufe heben möchten, ist die Passkey-Lösung von Corbado ein einfacher Weg, um die Sicherheit zu erhöhen, Kosten zu senken und die Herausforderungen der SMS-basierten Authentifizierung hinter sich zu lassen. Kontaktieren Sie uns für eine maßgeschneiderte Passkey-Authentifizierungslösung für Ihr SMS-OTP- / 2FA-Setup.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →