Cara Mengurangi Biaya SMS Anda dengan Passkeys

Setelah pengumuman X untuk menghentikan autentikasi dua faktor (2FA) berbasis SMS bagi pengguna non-Twitter Blue mulai 20 Maret 2023 sebagai respons terhadap penyalahgunaan 2FA berbasis SMS oleh para penipu, muncul pertanyaan mengenai potensi kelemahan lain dari autentikasi berbasis SMS.

Meskipun banyak diadopsi oleh perusahaan secara umum (faktor tunggal dan dua faktor) untuk memberikan perlindungan akun yang lebih baik bagi pengguna mereka, metode autentikasi ini sering kali memiliki lebih banyak kelemahan selain masalah keamanan.

Dalam artikel ini, kita akan menjelajahi kelemahan-kelemahan ini, termasuk penipuan dan tantangan terkait biaya, keandalan, dan pengalaman pengguna. Untuk mengatasinya, passkeys dapat digunakan sebagai metode autentikasi standar baru tanpa kata sandi yang unggul dalam banyak aspek dibandingkan metode autentikasi berbasis SMS.

Melihat potensi passkeys sebagai pengganti, kami di Corbado menawarkan solusi passkey plug-and-play untuk membuat internet menjadi tempat yang aman dan menghemat biaya besar terkait SMS bagi bisnis Anda secara langsung.

Sebelum kita menjelajahi kelemahan autentikasi berbasis SMS, penting untuk memahami konsep dasarnya. Autentikasi berbasis SMS terdiri dari dua jenis utama:

• Autentikasi faktor tunggal
• Autentikasi dua faktor

Jenis pertama mencakup metode seperti kode sandi sekali pakai (OTP) yang dikirim melalui SMS, menyediakan alternatif login tanpa kata sandi selain kata sandi tradisional. Jenis kedua menggunakan proses dua langkah untuk memastikan perlindungan 2FA. Pengguna pertama-tama mendaftar/login dengan nama pengguna/email dan kata sandi mereka, lalu mengonfirmasi pendaftaran/login melalui kode sandi sekali pakai yang dikirim ke ponsel mereka melalui SMS.

Mari kita selami lebih dalam kelemahan autentikasi berbasis SMS dengan menyoroti berbagai bentuk penipuan yang terkait dengan metode login ini dan mengungkap tantangan terkait keandalan, pengalaman pengguna, serta biaya finansial yang timbul dalam implementasi, operasional, dan pemeliharaan teknologi autentikasi ini.

SMS ditemukan lebih dari 20 tahun yang lalu dan belum pernah menerima pembaruan keamanan besar sejak saat itu. Itulah mengapa penipuan SMS menjadi masalah besar.

Dalam autentikasi berbasis SMS, ketika pengguna meminta kode atau tautan autentikasi melalui SMS, penyedia layanan mengirimkan kode atau tautan tersebut ke nomor ponsel pengguna melalui pesan SMS. SMS traffic pumping memanfaatkan proses ini dengan mengirimkan volume besar pesan SMS yang tidak diinginkan dan sering kali bersifat penipuan ke nomor telepon tertentu.

Para penipu skema SMS traffic pumping mengeksploitasi perjanjian bagi hasil antara operator jaringan seluler (MNO) dan penyedia layanan pesan. Mereka bertujuan untuk menggembungkan traffic SMS dan menghasilkan pendapatan yang lebih tinggi untuk diri mereka sendiri, karena penyedia layanan pesan membayar biaya kepada MNO untuk setiap pesan yang dikirimkan. Seperti yang ditunjukkan oleh seorang karyawan Stytch saat ini di Hacker News, MNO berkolaborasi dengan peretas dengan berbagi pendapatan di sini. Meskipun langkah-langkah pencegahan tertentu seperti menonaktifkan nomor telepon dari menerima SMS (izin geografis), menerapkan pembatasan laju (rate limits), dan mendeteksi bot dapat membantu mengurangi SMS traffic pumping, penghapusan penyalahgunaan secara total hampir tidak mungkin karena desain proses pengirimannya.

Akibatnya, bisnis dan penyedia layanan sering menghadapi pengeluaran signifikan dari lonjakan pesan masuk. Commsrisk mengatakan Twitter sendiri kehilangan 60 juta USD per tahun yang luar biasa karena traffic SMS pumping. Selain itu, pengguna yang sah mungkin mengalami keterlambatan dalam menerima kode atau tautan autentikasi mereka.

Dalam jenis penipuan ini, para penipu mengeksploitasi kerentanan dalam infrastruktur MNO untuk mentransfer nomor ponsel korban ke kartu SIM baru. Dengan melakukan ini, penyerang mendapatkan kendali atas nomor telepon korban, memungkinkan mereka untuk mencegat pesan SMS yang masuk, termasuk kode atau tautan autentikasi. Begitu mereka menguasai nomor telepon pengguna, mereka dapat melewati proses autentikasi dan mendapatkan akses tidak sah ke akun mereka di berbagai platform. SIM swapping sulit dideteksi. Penyerang sering menggunakan rekayasa sosial untuk menipu dukungan pelanggan MNO, memungkinkan mereka mentransfer nomor korban ke kartu SIM baru. Karena perusahaan dengan pengguna yang bersangkutan sering kali tidak menyadarinya, serangan SIM swap biasanya mengakibatkan pelanggaran data, kerugian finansial, dan kerusakan reputasi perusahaan.

SMS itu mahal dan tidak ada tren nyata yang menunjukkan penurunan harga SMS.

Untuk autentikasi berbasis SMS, ada dua opsi implementasi. Anda bisa membangun dan memelihara sistem internal atau menggunakan solusi autentikasi eksternal. Meskipun pendekatan gabungan dimungkinkan, opsi kedua direkomendasikan untuk kesederhanaan. Menurut survei Messente, membangun solusi 2FA khusus SMS secara internal dapat dengan mudah menelan biaya puluhan ribu dolar. Itulah mengapa memilih solusi eksternal, yang biasanya lebih murah, sering kali merupakan ide yang lebih baik.

Karena pengiriman pesan autentikasi berbasis SMS kepada pengguna sangat kompleks, hampir setiap perusahaan menggunakan penyedia berpengalaman. Layanan mereka menimbulkan biaya transaksi yang bervariasi berdasarkan penyedia yang dipilih. Biaya ini bergantung pada faktor-faktor seperti:

• jumlah SMS yang dikirim
• negara tujuan pengiriman SMS
• fitur tambahan.

Beberapa penyedia mungkin mengenakan biaya tambahan untuk autentikasi yang berhasil melalui SMS, meskipun ini sering kali sudah termasuk dalam harga keseluruhan. Menurut miniOrange, harga transaksi biasanya berkisar antara 0,01 hingga 0,20 USD per SMS, dengan layanan SMS berkualitas tinggi yang terhubung langsung ke penyedia utama mulai dari sekitar 0,06 USD. Karena pengguna produk digital sering berada di negara yang berbeda, membeli berbagai paket SMS akan meningkatkan pengeluaran. Menurut informasi kami, ini menunjukkan betapa cepatnya biaya pengiriman pesan autentikasi saja dapat meroket dan mengapa autentikasi berbasis SMS merugikan sebuah perusahaan e-commerce terkemuka sebesar 12 juta USD per tahun. Tentu saja, Anda dapat menawarkan autentikasi berbasis SMS hanya untuk negara target utama dan dengan demikian menghemat uang, tetapi itu hanya setetes air di lautan dan juga akan berdampak negatif pada pengalaman pengguna bagi sebagian pengguna.

Sebagian besar biaya pemeliharaan biasanya sudah termasuk dalam harga transaksi. Ini mencakup biaya yang terkait dengan memungkinkan penyedia mengelola volume SMS yang besar, memfasilitasi pengiriman SMS internasional ke berbagai MNO, menerapkan langkah-langkah keamanan penting, dan memastikan kepatuhan terhadap peraturan. Namun, biaya tambahan mungkin timbul bagi perusahaan, seperti menangani hubungan vendor dengan penyedia SMS, menyediakan dukungan pengguna, dan mengalokasikan sumber daya untuk mengatasi waktu henti (downtime) dan masalah teknis.

Dalam konteks autentikasi berbasis SMS, ini mengacu pada pengiriman SMS yang konsisten dan tepat waktu serta aksesibilitas sistem autentikasi yang tidak terganggu oleh kode autentikasi yang dikirim. Tergantung pada infrastruktur lokal, keterlambatan pengiriman pesan, kepadatan jaringan, dan potensi waktu henti sistem dapat menghambat penerimaan kode autentikasi secara cepat. Hal ini dapat menyebabkan frustrasi pengguna dan menghambat proses autentikasi.

Salah satu aspek penting yang perlu dipertimbangkan adalah kemudahan penggunaan yang bervariasi di berbagai platform. Autentikasi berbasis SMS bekerja sangat baik di perangkat seluler karena fungsi isi otomatis (autofill) yang membuat entri kode autentikasi menjadi mudah. Sebaliknya, di desktop, Anda harus menggunakan perangkat tambahan, yaitu ponsel Anda, untuk memasukkan kode autentikasi secara manual, yang menghasilkan pengalaman yang kurang intuitif dan nyaman. Seperti yang disebutkan sebelumnya, pengalaman pengguna juga menurun ketika serangan penipuan terjadi, atau muncul masalah dalam pengiriman SMS dan pengambilan kode autentikasi.

Sejauh ini, passkeys sebagian besar dianggap sebagai alternatif tanpa kata sandi hanya untuk kata sandi.

Selain itu, karena passkeys menyediakan fungsionalitas 2FA bawaan, mereka berfungsi sebagai alternatif untuk kata sandi dan semua jenis autentikasi berbasis SMS. Ini meningkatkan keamanan dan menghindari tantangan pengalaman pengguna yang ditimbulkan oleh kode sandi sekali pakai berbasis SMS. Dengan mengganti pesan autentikasi, passkeys membawa manfaat besar yang secara efektif menghilangkan kelemahan autentikasi berbasis SMS.

Tidak seperti autentikasi berbasis SMS, yang rentan terhadap penyadapan dan manipulasi, passkeys menawarkan perlindungan yang kuat terhadap segala bentuk serangan penipuan karena penggunaan infrastruktur kunci publik. Ini memastikan bahwa bahkan jika terjadi pelanggaran server, akun pengguna tetap terlindungi karena kunci privat yang penting tetap aman di dalam perangkat pengguna, tertanam di dalam sistem operasi. Selain itu, keterkaitan passkeys dengan layanan online tertentu yang terdaftar adalah tindakan penanggulangan terhadap upaya phishing, menjadikan passkeys metode autentikasi paling aman yang tersedia saat ini.

Mirip dengan autentikasi berbasis SMS, ada biaya yang terkait dengan implementasi passkeys. Meskipun menangani implementasi secara internal dimungkinkan, fokus pada autentikasi yang aman sering kali mengarah pada preferensi untuk spesialis. Keahlian mereka datang dengan biaya yang jauh lebih rendah dari biaya internal dan sejalan dengan biaya yang dikenakan oleh penyedia autentikasi berbasis SMS untuk implementasi. Dari sudut pandang biaya, keuntungan signifikan berinvestasi dalam passkeys adalah menghilangkan kebutuhan untuk mengirim SMS untuk login dan pendaftaran. Sebaliknya, pengguna dapat login dengan aman menggunakan Face ID atau Touch ID. Ini tidak hanya menghasilkan potensi penghematan biaya jutaan dolar untuk autentikasi setiap tahun (terutama untuk bisnis yang berorientasi pada konsumen yang lebih besar) tetapi juga menghilangkan semua tantangan yang dapat timbul saat mengirim dan menerima SMS.

Untuk memverifikasi nomor telepon pengguna, yang sering diperlukan untuk tujuan pemasaran atau komunikasi lainnya, mengirim SMS awal dengan kode sandi sekali pakai tetap menjadi pilihan. Ini memungkinkan SMS berjalan berdampingan dengan passkeys. Selain itu, SMS dapat berfungsi sebagai metode cadangan. Perbedaan utama antara kedua skenario ini dan autentikasi berbasis SMS tradisional adalah bahwa SMS hanya dikirim sesekali daripada dikirim pada setiap upaya login.

Adopsi biometrik (misalnya, Face ID, Touch ID, Windows Hello) untuk membuka kunci ponsel dan perangkat desktop telah dengan cepat menjadi hal biasa di kalangan pengguna. Passkeys sekarang memperluas pengalaman yang akrab ini ke pembukaan kunci akun. Mengingat sebagian besar ponsel dan perangkat desktop sudah siap passkey, mereka menawarkan pengganti satu-ke-satu untuk autentikasi berbasis SMS. Dengan pemindaian sidik jari atau wajah lokal dari perangkat, persyaratan untuk perangkat sekunder, seperti yang masih dibutuhkan untuk autentikasi SMS berbasis laptop, dihilangkan. Peningkatan substansial ini menyederhanakan pengalaman pengguna dan membuat login akun menjadi mudah. Fitur unik lain dari passkeys adalah Conditional UI. Fitur ini meningkatkan kenyamanan pengguna dengan secara otomatis menyarankan dan mengisi passkeys yang tersimpan saat pengguna berinteraksi dengan bidang input nama pengguna. Ini menghilangkan kebutuhan untuk mencari kredensial secara manual, termasuk nama pengguna, karena ini sudah disimpan dengan aman di dalam perangkat atau browser dan diisi secara otomatis.

Transisi ke autentikasi berbasis passkey bukan hanya tentang UX login yang lebih lancar dan MFA (tahan phishing) yang lebih baik. Passkeys juga dapat menghemat biaya OTP SMS yang besar jika dua hal tercapai:

• tingkat adopsi passkey yang tinggi
• tingkat login passkey yang tinggi

Teknologi passkey dan desain cerdas Corbado berfokus pada pengoptimalan kedua aspek ini untuk memberikan penghematan biaya SMS yang tinggi. Kami mencapai penghematan biaya hingga 90% dengan tingkat adopsi passkeys 10x lebih tinggi dibandingkan dengan solusi DIY tradisional. Mari kita lihat caranya.

Langkah pertama adalah mengubah pengguna yang ada menjadi pengguna passkey dengan mengizinkan mereka membuat passkeys di pengaturan akun. Namun, ini saja tidak cukup untuk meningkatkan tingkat adopsi passkey di antara basis pengguna yang ada. Corbado menawarkan beberapa solusi:

• Pendaftaran Otomatis Progresif: Mesin kecerdasan passkey kami dirancang untuk mengoptimalkan proses pendaftaran passkey, memandu pengguna melalui adopsi passkey dengan cara yang lancar dan tanpa hambatan kapan pun memungkinkan (misalnya, saat login dengan metode autentikasi tradisional). Pendekatan proaktif ini memastikan bahwa pengguna tidak kewalahan atau bingung, sehingga mengurangi tingkat drop-off dan meningkatkan adopsi secara keseluruhan.
• Pembuatan Passkey Lokal Otomatis: Jika pelanggan login melalui Autentikasi Lintas Perangkat, mereka ditawari opsi untuk membuat passkey lokal di lingkungan yang sedang mereka gunakan, meningkatkan adopsi passkey di semua perangkat mereka. Dalam situasi di mana perangkat desktop saat ini tidak menawarkan autentikator platform untuk membuat passkey, strategi mobile-first dapat digunakan untuk membuat passkey di ponsel.
• Peningkatan Passkey Otomatis: Mesin keputusan Corbado memfasilitasi peningkatan otomatis ke passkeys untuk pengguna, secara signifikan meningkatkan tingkat adopsi tanpa memerlukan partisipasi aktif pengguna. Transisi yang mulus ini didukung oleh mesin keputusan kecerdasan passkey kami, yang bekerja secara otomatis pada perangkat iOS 18+ (dan akan lebih banyak lagi).

Kami memastikan bahwa lebih banyak pengguna mengadopsi passkeys dengan mudah, mencapai tingkat adopsi 10x lebih tinggi daripada implementasi passkey do-it-yourself.

Langkah penting kedua adalah memicu login passkey kapan pun memungkinkan dan secara aktif mendorong penggunaan kembali passkeys yang ada.

• Pendekatan Identifier-First: Memulai proses login hanya dengan meminta pengidentifikasi (misalnya alamat email) dan kemudian secara otomatis menentukan apakah login passkey memungkinkan, menyederhanakan UX dan mendorong penggunaan passkey yang lebih tinggi. Metode ini mengurangi langkah-langkah yang diperlukan pengguna untuk login, membuat prosesnya lebih cepat dan lebih intuitif daripada menawarkan tombol "Masuk dengan Passkey" terpisah, yang sering diabaikan oleh konsumen.
• Autentikasi Lintas Perangkat dan Login Passkey Sekali Ketuk: Corbado secara otomatis beralih ke Autentikasi Lintas Perangkat WebAuthn ketika tidak ada passkey lokal yang tersedia. Selain itu, setelah login passkey tercatat di perangkat, bidang pengidentifikasi pengguna secara otomatis diubah menjadi tombol Login Passkey Sekali Ketuk, membuat login menjadi lebih mulus.

Pendekatan inovatif Corbado untuk memaksimalkan tingkat adopsi dan login passkey menawarkan keuntungan signifikan dibandingkan pendekatan DIY. Dengan memanfaatkan desain cerdas ini, kami memastikan bahwa pengguna tidak hanya mengintegrasikan tetapi juga secara aktif mengadopsi passkeys, menghasilkan tingkat adopsi dan login hingga 10x lebih tinggi. Pergeseran ini tidak hanya meningkatkan keamanan dan pengalaman pengguna tetapi juga memberikan penghematan biaya yang besar, terutama dengan mengurangi biaya OTP SMS hingga 90%. Di era passkey yang akan datang, di mana autentikasi yang efisien dan aman menjadi penting, Corbado menonjol sebagai pemimpin dalam mendorong adopsi dan efektivitas biaya.

Singkatnya, passkeys menawarkan solusi praktis untuk mengatasi kelemahan autentikasi berbasis SMS. Mereka memberikan keamanan yang kuat, efektivitas biaya, dan pengalaman pengguna yang tinggi, menjadikannya pengganti yang cerdas. Dengan teknologi biometrik dan fitur ramah pengguna seperti Conditional UI, passkeys membuat keamanan menjadi mulus dan pengalaman pengguna lancar di seluruh platform. Bagi perusahaan yang ingin meningkatkan permainan autentikasi mereka, solusi passkey Corbado adalah cara sederhana untuk meningkatkan keamanan, memotong biaya, dan meninggalkan tantangan autentikasi berbasis SMS. Hubungi kami untuk solusi autentikasi passkey yang dibuat khusus untuk pengaturan OTP / 2FA SMS Anda.