Cara Mengurangi Biaya SMS Anda dengan Kunci Sandi

1. Pendahuluan#

Setelah pengumuman X untuk menghentikan autentikasi dua faktor (2FA) berbasis SMS untuk pengguna non-Twitter Blue mulai 20 Maret 2023 sebagai respons terhadap penyalahgunaan 2FA berbasis SMS oleh penipu, muncul pertanyaan mengenai potensi kelemahan lain dari autentikasi berbasis SMS.

Meskipun secara umum diadopsi secara luas oleh perusahaan (faktor tunggal dan dua faktor) untuk memberikan perlindungan akun yang lebih baik bagi penggunanya, metode autentikasi ini sering kali memiliki lebih banyak kelemahan di luar masalah keamanan.

Dalam artikel ini, kita akan menelusuri kelemahan-kelemahan ini, termasuk penipuan dan tantangan dengan biaya, keandalan, dan pengalaman pengguna. Untuk mengatasinya, kunci sandi dapat digunakan sebagai metode autentikasi standar baru tanpa kata sandi yang lebih unggul dalam banyak aspek dibandingkan dengan metode autentikasi berbasis SMS.

Mengingat potensi aplikasi penggantian kunci sandi, kami di Corbado menawarkan solusi kunci sandi plug-and-play untuk menjadikan internet tempat yang aman dan menghemat pengeluaran besar bisnis Anda yang terkait dengan SMS dengan segera.

2. Apa itu Autentikasi Berbasis SMS?#

Sebelum kita menelusuri kelemahan autentikasi berbasis SMS, penting untuk memahami konsep dasarnya. Autentikasi berbasis SMS terdiri dari dua jenis utama:

• Autentikasi faktor tunggal
• Autentikasi dua faktor

Yang pertama mencakup metode seperti kode sandi sekali pakai (OTP) yang dikirim melalui SMS, memberikan alternatif login tanpa kata sandi dibandingkan kata sandi tradisional. Yang kedua menggunakan proses dua langkah untuk memastikan perlindungan 2FA. Pengguna pertama-tama mendaftar/masuk dengan nama pengguna/email dan kata sandi mereka dan kemudian mengonfirmasi pendaftaran/masuk mereka melalui kode sandi sekali pakai yang dikirim ke ponsel mereka melalui SMS.

3. Kelemahan Autentikasi Berbasis SMS#

Mari selami lebih dalam kelemahan autentikasi berbasis SMS dengan menyoroti berbagai bentuk penipuan yang terkait dengan metode login ini dan mengungkap tantangan keandalan, pengalaman pengguna, serta biaya finansial yang dikeluarkan dalam mengimplementasikan, mengoperasikan, dan memelihara teknologi autentikasi ini.

3.1 Penipuan: SMS Digunakan untuk Meretas Akun Pengguna#

SMS diciptakan lebih dari 20 tahun yang lalu dan belum pernah menerima pembaruan keamanan besar apa pun sejak saat itu. Itulah mengapa penipuan SMS merupakan masalah besar.

3.1.1 Pemompaan Lalu Lintas SMS#

Dalam autentikasi berbasis SMS, ketika pengguna meminta kode autentikasi atau tautan melalui SMS, penyedia layanan mengirimkan kode atau tautan tersebut ke nomor ponsel pengguna melalui pesan SMS. Pemompaan lalu lintas SMS memanfaatkan proses ini dengan mengirimkan volume pesan SMS yang tidak diinginkan dan sering kali bersifat penipuan secara masif ke nomor telepon tertentu.

Para penipu dari skema pemompaan lalu lintas SMS mengeksploitasi perjanjian bagi hasil antara operator jaringan seluler (MNO) dan penyedia layanan pesan. Mereka bertujuan untuk memanipulasi lalu lintas SMS dan menghasilkan pendapatan yang lebih tinggi untuk diri mereka sendiri, karena penyedia layanan pesan membayar MNO biaya untuk mengirimkan setiap pesan. Seperti yang ditunjukkan oleh karyawan Stytch saat ini di Hacker News, MNO bekerja sama dengan peretas dengan membagi pendapatan di sini. Meskipun langkah-langkah pencegahan khusus seperti menonaktifkan nomor telepon dari menerima SMS (izin geografis), menerapkan batas kecepatan, dan mendeteksi bot dapat membantu mengurangi pemompaan lalu lintas SMS, penghapusan penyalahgunaan sepenuhnya hampir tidak mungkin dilakukan karena desain proses pengirimannya.

Akibatnya, bisnis dan penyedia layanan sering kali menghadapi pengeluaran yang signifikan dari lonjakan pesan masuk. Commsrisk mengatakan Twitter sendiri kehilangan 60 juta USD yang luar biasa per tahun akibat pemompaan lalu lintas SMS. Selain itu, pengguna yang sah mungkin mengalami keterlambatan dalam menerima kode atau tautan autentikasi mereka.

3.1.2 SIM Swapping#

Dalam jenis penipuan ini, penipu mengeksploitasi kerentanan dalam infrastruktur MNO untuk mentransfer nomor ponsel korban ke kartu SIM baru. Dengan melakukan ini, penyerang mendapatkan kendali atas nomor telepon korban, memungkinkan mereka menyadap pesan SMS yang masuk, termasuk kode atau tautan autentikasi. Begitu mereka mendapatkan kendali atas nomor telepon pengguna, mereka dapat melewati proses autentikasi dan mendapatkan akses tidak sah ke akun mereka di berbagai platform. SIM swapping sulit dideteksi. Penyerang sering kali menggunakan rekayasa sosial untuk menipu dukungan pelanggan MNO, yang memungkinkan mereka mentransfer nomor korban ke kartu SIM baru. Karena perusahaan dengan pengguna yang terkena dampak sering kali tetap tidak menyadarinya, serangan SIM swap biasanya mengakibatkan pelanggaran data, kerugian finansial, dan kerusakan pada reputasi perusahaan.

3.2 Biaya#

SMS itu mahal dan tidak ada tren nyata yang terlihat yang mengarah pada pengurangan harga SMS.

3.2.1 Implementasi Autentikasi Berbasis SMS Memakan Banyak Biaya#

Untuk autentikasi berbasis SMS, ada dua opsi implementasi. Anda dapat membangun dan memelihara sistem internal atau menggunakan solusi autentikasi eksternal. Meskipun pendekatan campuran dimungkinkan, opsi kedua disarankan demi kesederhanaan. Menurut survei Messente, membangun solusi 2FA hanya-SMS secara internal dapat dengan mudah memakan biaya lima digit. Itulah sebabnya menggunakan solusi eksternal, yang biasanya lebih murah, sering kali merupakan ide yang lebih baik.

3.2.2 Operasi: Setiap SMS yang Dikirim Dapat Memakan Biaya Hingga 20 Sen#

Karena mengirim pesan autentikasi berbasis SMS ke pengguna sangatlah kompleks, hampir setiap perusahaan menggunakan penyedia berpengalaman. Layanan mereka menimbulkan biaya transaksi yang bervariasi berdasarkan penyedia yang dipilih. Biaya ini bergantung pada faktor-faktor seperti:

• jumlah SMS yang dikirim
• negara tujuan pengiriman SMS
• fitur tambahan.

Beberapa penyedia mungkin mengenakan biaya tambahan untuk autentikasi yang berhasil melalui SMS, meskipun hal ini sering kali sudah termasuk dalam harga keseluruhan. Menurut miniOrange, harga transaksi biasanya berkisar dari 0,01 hingga 0,20 USD per SMS, dengan layanan SMS berkualitas tinggi yang terhubung langsung ke penyedia utama mulai dari sekitar 0,06 USD. Karena pengguna produk digital sering kali berada di negara yang berbeda, membeli berbagai paket SMS akan meningkatkan pengeluaran. Menurut informasi kami, ini menunjukkan seberapa cepat biaya pengiriman pesan autentikasi saja dapat meroket dan mengapa autentikasi berbasis SMS merugikan e-commerce terkemuka 12 juta USD per tahun. Tentu saja, Anda hanya dapat menawarkan autentikasi berbasis SMS untuk negara target utama dan dengan demikian menghemat uang, tetapi itu hanyalah setetes air di lautan dan juga akan berdampak negatif pada pengalaman pengguna untuk beberapa pengguna.

3.2.3 Pemeliharaan: Menjaga Sistem Tetap Terkini Menimbulkan Biaya Tambahan#

Sebagian besar biaya pemeliharaan biasanya ditanggung dalam harga transaksi. Ini termasuk pengeluaran yang terkait dengan memungkinkan penyedia mengelola volume SMS yang besar, memfasilitasi pengiriman SMS internasional ke berbagai MNO, menerapkan langkah-langkah keamanan penting, dan memastikan kepatuhan terhadap regulasi. Namun, pengeluaran tambahan mungkin timbul bagi perusahaan, seperti menangani hubungan vendor dengan penyedia SMS, menyediakan dukungan pengguna, dan mengalokasikan sumber daya untuk mengatasi waktu henti dan masalah teknis.

3.3 Keandalan: SMS Dapat Hilang#

Dalam konteks autentikasi berbasis SMS, ini mengacu pada pengiriman SMS yang konsisten dan tepat waktu serta aksesibilitas sistem autentikasi tanpa gangguan oleh kode autentikasi yang dikirim. Tergantung pada infrastruktur lokal, keterlambatan pengiriman pesan, kemacetan jaringan, dan potensi waktu henti sistem dapat menghambat penerimaan kode autentikasi dengan cepat. Ini dapat menyebabkan frustrasi pengguna dan menghambat proses autentikasi.

3.4 Pengalaman Pengguna: Pengalaman Desktop Lebih Inferior#

Satu aspek penting untuk dipertimbangkan adalah tingkat kemudahan penggunaan di berbagai platform. Autentikasi berbasis SMS berfungsi dengan sangat baik pada perangkat seluler karena fungsi isi otomatis (autofill) yang memudahkan pengisian kode autentikasi. Sebaliknya, pada desktop, Anda harus menggunakan perangkat tambahan, ponsel Anda, untuk memasukkan kode autentikasi secara manual, yang menghasilkan pengalaman yang kurang intuitif dan kurang nyaman. Seperti yang disebutkan sebelumnya, pengalaman pengguna juga terganggu ketika serangan penipuan terjadi, atau muncul masalah dalam pengiriman SMS dan pengambilan kode autentikasi.

4. Kunci Sandi sebagai Pengganti Autentikasi Berbasis SMS#

Sejauh ini, kunci sandi terutama dianggap hanya sebagai alternatif tanpa kata sandi untuk kata sandi.

Selain itu, karena kunci sandi menyediakan fungsionalitas 2FA bawaan, kunci sandi berfungsi sebagai alternatif untuk kata sandi dan semua jenis autentikasi berbasis SMS. Ini meningkatkan keamanan dan menghindari tantangan pengalaman pengguna yang ditimbulkan oleh kode sandi sekali pakai berbasis SMS. Dengan mengganti pesan autentikasi, kunci sandi membawa manfaat substansial yang secara efektif menghilangkan kelemahan autentikasi berbasis SMS.

4.1 MFA Tahan Phishing dan Keamanan yang Tangguh#

Berbeda dengan autentikasi berbasis SMS, yang dapat rentan terhadap penyadapan dan manipulasi, kunci sandi menawarkan perlindungan yang tangguh terhadap semua bentuk serangan penipuan karena penggunaan infrastruktur kunci publik. Ini memastikan bahwa meskipun terjadi pelanggaran server, akun pengguna tetap terlindungi karena kunci privat esensial tetap aman di dalam perangkat pengguna, tersemat di dalam sistem operasi. Selain itu, keterkaitan kunci sandi ke layanan online terdaftar yang spesifik merupakan tindakan penanggulangan terhadap upaya phishing, menjadikan kunci sandi sebagai metode autentikasi paling aman yang tersedia saat ini.

4.2 Menghindari Biaya (Transaksi) Tinggi#

Mirip dengan autentikasi berbasis SMS, ada biaya yang terkait dengan implementasi kunci sandi. Meskipun menangani implementasi secara internal dapat dilakukan, berfokus pada autentikasi yang aman sering kali mengarah pada preferensi untuk menggunakan spesialis. Keahlian mereka didapatkan dengan biaya yang jauh lebih murah daripada biaya internal dan sejalan dengan apa yang ditagih oleh penyedia autentikasi berbasis SMS untuk implementasi. Dari sudut pandang biaya, keuntungan signifikan dari berinvestasi dalam kunci sandi adalah menghilangkan kebutuhan untuk mengirim SMS untuk masuk (login) dan mendaftar (sign-up). Sebaliknya, pengguna dapat masuk dengan aman menggunakan Face ID atau Touch ID. Ini tidak hanya menghasilkan potensi penghematan jutaan dolar dari biaya autentikasi per tahun (terutama untuk bisnis berorientasi konsumen berskala besar) tetapi juga menghapus semua tantangan yang dapat timbul saat mengirim dan menerima SMS.

Untuk memverifikasi nomor telepon pengguna, yang sering kali diperlukan untuk tujuan pemasaran atau komunikasi lainnya, mengirim SMS awal dengan kode sandi sekali pakai tetap menjadi opsi. Ini memungkinkan SMS berjalan berdampingan dengan kunci sandi. Selain itu, SMS dapat berfungsi sebagai metode cadangan. Perbedaan utama antara kedua skenario tersebut dengan autentikasi berbasis SMS tradisional adalah bahwa SMS hanya dikirim sesekali alih-alih dikirim pada setiap upaya login.

4.3 Autentikasi yang Nyaman dan Pengalaman Pengguna yang Ditingkatkan#

Adopsi biometrik (misalnya, Face ID, Touch ID, Windows Hello) untuk membuka kunci ponsel dan perangkat desktop telah dengan cepat menjadi hal yang biasa di kalangan pengguna. Kunci sandi kini memperluas pengalaman yang sudah dikenal ini untuk membuka kunci akun. Mengingat bahwa sebagian besar ponsel dan perangkat desktop sudah siap untuk kunci sandi, perangkat tersebut menawarkan penggantian satu-ke-satu untuk autentikasi berbasis SMS. Dengan pemindaian sidik jari atau wajah lokal dari perangkat, persyaratan untuk perangkat sekunder, seperti yang masih diperlukan untuk autentikasi SMS berbasis laptop, dapat dihilangkan. Peningkatan substansial ini menyederhanakan pengalaman pengguna dan membuat proses masuk akun menjadi mudah. Fitur unik lain dari kunci sandi adalah Conditional UI. Fitur ini meningkatkan kenyamanan pengguna dengan secara otomatis menyarankan dan mengisi otomatis kunci sandi yang tersimpan saat pengguna berinteraksi dengan kolom input nama pengguna. Ini menghilangkan kebutuhan untuk mencari kredensial secara manual, termasuk nama pengguna, karena kredensial tersebut sudah tersimpan dengan aman di dalam perangkat atau browser dan diisi otomatis.

5. Bagaimana Corbado Menghemat Hingga 90% Biaya SMS dengan Tingkat Adopsi Kunci Sandi 10x Lebih Tinggi#

Transisi ke autentikasi berbasis kunci sandi tidak hanya tentang UX login yang lebih lancar dan MFA (tahan phishing) yang lebih baik. Kunci sandi juga dapat menghemat biaya SMS OTP secara substansial jika dua hal ini tercapai:

• tingkat adopsi kunci sandi yang tinggi
• tingkat login kunci sandi yang tinggi

Teknologi kunci sandi dan desain cerdas Corbado berfokus pada pengoptimalan kedua aspek ini untuk memberikan penghematan biaya SMS yang tinggi. Kami mencapai penghematan biaya hingga 90% dengan tingkat adopsi kunci sandi 10x lebih tinggi dibandingkan dengan solusi DIY tradisional. Mari kita lihat caranya.

5.1 Memaksimalkan Tingkat Adopsi Kunci Sandi#

Langkah pertama adalah mengubah pengguna lama menjadi pengguna kunci sandi dengan memungkinkan mereka membuat kunci sandi di pengaturan akun. Namun, ini saja tidak cukup untuk meningkatkan tingkat adopsi kunci sandi di antara basis pengguna yang ada. Corbado menawarkan beberapa solusi:

• Pendaftaran Otomatis Progresif: Mesin kecerdasan kunci sandi kami dirancang untuk mengoptimalkan proses pendaftaran kunci sandi, membimbing pengguna melalui adopsi kunci sandi dengan cara yang lancar dan tanpa hambatan kapan pun memungkinkan (misalnya, selama login dengan metode autentikasi tradisional). Pendekatan proaktif ini memastikan pengguna tidak kewalahan atau bingung, sehingga mengurangi tingkat pembatalan dan meningkatkan adopsi secara keseluruhan.
• Pembuatan Kunci Sandi Lokal Otomatis: Jika pelanggan login melalui Autentikasi Lintas Perangkat, mereka ditawari opsi untuk membuat kunci sandi lokal di lingkungan yang sedang mereka gunakan, sehingga meningkatkan adopsi kunci sandi di semua perangkat mereka. Dalam situasi di mana perangkat desktop saat ini tidak menawarkan autentikator platform untuk membuat kunci sandi, strategi yang memprioritaskan seluler (mobile-first) dapat diterapkan untuk membuat kunci sandi di ponsel.
• Peningkatan Kunci Sandi Otomatis: Mesin keputusan Corbado memfasilitasi peningkatan otomatis ke kunci sandi untuk pengguna, sehingga secara signifikan meningkatkan tingkat adopsi tanpa memerlukan partisipasi aktif pengguna. Transisi yang mulus ini didukung oleh mesin keputusan kecerdasan kunci sandi kami, yang bekerja secara otomatis pada perangkat iOS 18+ (akan menyusul lebih banyak lagi).

Kami memastikan bahwa lebih banyak pengguna mengadopsi kunci sandi dengan mudah, mencapai tingkat adopsi 10x lebih tinggi daripada implementasi kunci sandi secara mandiri.

5.2 Memaksimalkan Tingkat Login Kunci Sandi#

Langkah penting kedua adalah memicu login kunci sandi kapan pun memungkinkan dan secara aktif mendorong penggunaan kembali kunci sandi yang ada.

• Pendekatan Mengutamakan Pengenal (Identifier-First): Memulai proses login dengan hanya meminta pengenal (misalnya, alamat email) dan kemudian secara otomatis menentukan apakah login kunci sandi dimungkinkan menyederhanakan UX dan mendorong penggunaan kunci sandi yang lebih tinggi. Metode ini mengurangi langkah-langkah yang diperlukan pengguna untuk masuk, membuat prosesnya lebih cepat dan lebih intuitif daripada menawarkan tombol "Masuk dengan Kunci Sandi" yang terpisah, yang sering diabaikan oleh konsumen.
• Autentikasi Lintas Perangkat dan One Tap Passkey Login: Corbado secara otomatis mundur (fallback) ke Autentikasi Lintas Perangkat WebAuthn ketika tidak ada kunci sandi lokal yang tersedia. Selain itu, setelah login kunci sandi terekam pada perangkat, kolom pengenal pengguna secara otomatis dikonversi menjadi tombol One Tap Passkey Login, sehingga proses masuk menjadi jauh lebih mulus.

5.3 Hasil: Biaya SMS 90% Lebih Rendah, Adopsi Kunci Sandi 10x Lebih Tinggi#

Pendekatan inovatif Corbado untuk memaksimalkan tingkat adopsi dan login kunci sandi menawarkan keuntungan signifikan dibandingkan pendekatan DIY. Dengan memanfaatkan desain cerdas ini, kami memastikan bahwa pengguna tidak hanya mengintegrasikan tetapi juga secara aktif mengadopsi kunci sandi, sehingga menghasilkan tingkat adopsi dan login hingga 10x lebih tinggi. Pergeseran ini tidak hanya meningkatkan keamanan dan pengalaman pengguna, tetapi juga memberikan penghematan biaya yang substansial, terutama dengan mengurangi pengeluaran SMS OTP hingga 90%. Di era kunci sandi yang akan datang, di mana autentikasi yang efisien dan aman sangatlah penting, Corbado menonjol sebagai pemimpin dalam mendorong adopsi sekaligus efektivitas biaya.

6. Kesimpulan#

Singkatnya, kunci sandi menawarkan solusi praktis untuk mengatasi kelemahan autentikasi berbasis SMS. Mereka memberikan keamanan yang kuat, efektivitas biaya, dan pengalaman pengguna yang tinggi, menjadikannya pengganti yang cerdas. Dengan teknologi biometrik dan fitur ramah pengguna seperti Conditional UI, kunci sandi membuat keamanan berjalan tanpa batas dan pengalaman pengguna menjadi lancar di seluruh platform. Bagi perusahaan yang ingin meningkatkan level autentikasi mereka, solusi kunci sandi Corbado adalah cara sederhana untuk meningkatkan keamanan, memangkas biaya, dan meninggalkan tantangan autentikasi berbasis SMS. Hubungi kami untuk mendapatkan solusi autentikasi kunci sandi yang dibuat khusus untuk pengaturan SMS OTP / 2FA Anda.

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →