Come ridurre i costi degli SMS con le passkey

Dopo l'annuncio di X di interrompere l'autenticazione a due fattori (2FA) basata su SMS per gli utenti non Twitter Blue a partire dal 20 marzo 2023, come risposta all'abuso della 2FA basata su SMS da parte dei truffatori, sorgono domande su altri potenziali svantaggi dell'autenticazione basata su SMS.

Nonostante la sua ampia adozione da parte delle aziende (a fattore singolo e a due fattori) per fornire una migliore protezione degli account ai propri utenti, questo metodo di autenticazione presenta spesso svantaggi che vanno oltre i problemi di sicurezza.

In questo articolo, esploreremo questi svantaggi, tra cui le frodi e le sfide legate a costi, affidabilità ed esperienza utente. Per affrontarli, le passkey possono essere utilizzate come il nuovo metodo di autenticazione standard senza password, superiore per molti aspetti ai metodi di autenticazione basata su SMS.

Alla luce del potenziale utilizzo delle passkey come sostituto, noi di Corbado offriamo una soluzione passkey plug-and-play per rendere Internet un luogo sicuro e far risparmiare subito alla tua azienda ingenti spese legate agli SMS.

Prima di esplorare gli svantaggi dell'autenticazione basata su SMS, è essenziale comprenderne il concetto fondamentale. L'autenticazione basata su SMS comprende due tipi principali:

• Autenticazione a fattore singolo
• Autenticazione a due fattori

Il primo tipo include metodi come i codici monouso (OTP) inviati via SMS, che forniscono un'alternativa di accesso senza password alle password tradizionali. Il secondo impiega un processo a due passaggi per garantire la protezione 2FA. Gli utenti prima si registrano/accedono con il loro nome utente/email e password, e poi confermano la registrazione/l'accesso tramite un codice monouso inviato al loro telefono cellulare via SMS.

Approfondiamo gli svantaggi dell'autenticazione basata su SMS, facendo luce sulle diverse forme di frode associate a questo metodo di accesso e scoprendo le sfide legate all'affidabilità, all'esperienza utente e ai costi finanziari sostenuti per implementare, gestire e mantenere questa tecnologia di autenticazione.

Gli SMS sono stati inventati più di 20 anni fa e da allora non hanno mai ricevuto un aggiornamento di sicurezza importante. Ecco perché le frodi via SMS sono un problema enorme.

Nell'autenticazione basata su SMS, quando un utente richiede un codice di autenticazione o un link via SMS, il fornitore di servizi invia il codice o il link al numero di cellulare dell'utente tramite un messaggio SMS. L'SMS traffic pumping sfrutta questo processo inviando un volume massiccio di messaggi SMS indesiderati e spesso fraudolenti a un numero di telefono specifico.

I truffatori degli schemi di SMS traffic pumping sfruttano gli accordi di compartecipazione alle entrate tra gli operatori di rete mobile (MNO) e i fornitori di servizi di messaggistica. Il loro obiettivo è gonfiare il traffico SMS e generare maggiori ricavi per sé stessi, poiché i fornitori di servizi di messaggistica pagano agli MNO una commissione per la consegna di ogni messaggio. Come sottolineato da un attuale dipendente di Stytch su Hacker News, gli MNO collaborano con l'hacker condividendo i ricavi. Sebbene misure preventive specifiche come la disabilitazione dei numeri di telefono dalla ricezione di SMS (autorizzazioni geografiche), l'implementazione di limiti di frequenza e il rilevamento di bot possano aiutare a mitigare l'SMS traffic pumping, l'eliminazione completa dell'abuso è quasi impossibile a causa della progettazione del processo di invio.

Di conseguenza, le aziende e i fornitori di servizi spesso affrontano spese significative a causa dell'aumento dei messaggi in arrivo. Commsrisk afferma che solo Twitter ha perso l'incredibile cifra di 60 milioni di dollari all'anno a causa del traffico SMS pumping. Inoltre, gli utenti legittimi possono subire ritardi nella ricezione dei loro codici o link di autenticazione.

In questo tipo di frode, i truffatori sfruttano le vulnerabilità nell'infrastruttura degli MNO per trasferire il numero di cellulare di una vittima su una nuova scheda SIM. In questo modo, gli aggressori ottengono il controllo del numero di telefono della vittima, consentendo loro di intercettare i messaggi SMS in arrivo, inclusi i codici o i link di autenticazione. Una volta ottenuto il controllo del numero di telefono di un utente, possono bypassare il processo di autenticazione e ottenere l'accesso non autorizzato ai loro account su varie piattaforme. Il SIM swapping è difficile da rilevare. Gli aggressori usano spesso l'ingegneria sociale per ingannare il supporto clienti degli MNO, consentendo loro di trasferire il numero della vittima su una nuova scheda SIM. Poiché le aziende con utenti interessati spesso rimangono all'oscuro, gli attacchi di SIM swap di solito provocano violazioni dei dati, perdite finanziarie e danni alla reputazione dell'azienda.

Gli SMS sono costosi e non si intravede una vera tendenza che indichi una riduzione dei loro prezzi.

Per l'autenticazione basata su SMS, ci sono due opzioni di implementazione. Si può costruire e mantenere un sistema interno o utilizzare una soluzione di autenticazione esterna. Sebbene sia possibile un approccio misto, la seconda opzione è consigliata per semplicità. Secondo un sondaggio di Messente, costruire internamente una soluzione 2FA solo via SMS può facilmente costare decine di migliaia di euro. Ecco perché optare per una soluzione esterna, che di solito è più economica, è spesso un'idea migliore.

Poiché l'invio di messaggi di autenticazione basati su SMS agli utenti è molto complesso, quasi tutte le aziende si affidano a un fornitore esperto. Il loro servizio comporta costi di transazione che variano in base al fornitore scelto. Questi costi dipendono da fattori come:

• il numero di SMS inviati
• i paesi di destinazione a cui vengono inviati gli SMS
• funzionalità aggiuntive.

Alcuni fornitori possono addebitare una tariffa aggiuntiva per l'autenticazione riuscita via SMS, sebbene questo sia spesso incluso nel prezzo complessivo. Secondo miniOrange, i prezzi delle transazioni di solito variano da 0,01 a 0,20 USD per SMS, con servizi SMS di alta qualità direttamente collegati ai principali fornitori che partono da circa 0,06 USD. Poiché gli utenti di prodotti digitali si trovano spesso in paesi diversi, l'acquisto di vari piani SMS aumenterà le spese. Secondo le nostre informazioni, questo dimostra quanto velocemente i costi del solo invio di messaggi di autenticazione possano salire alle stelle e perché l'autenticazione basata su SMS costi a un'azienda leader di e-commerce 12 milioni di USD all'anno. Ovviamente, è possibile offrire l'autenticazione basata su SMS solo per i principali paesi target e quindi risparmiare, ma questa è solo una goccia nell'oceano e avrebbe anche un impatto negativo sull'esperienza utente per alcuni utenti.

La maggior parte dei costi di manutenzione è tipicamente coperta dai prezzi delle transazioni. Questi includono le spese relative alla gestione di grandi volumi di SMS da parte dei fornitori, alla facilitazione della consegna internazionale di SMS a vari MNO, all'implementazione di misure di sicurezza essenziali e alla garanzia di conformità alle normative. Tuttavia, possono sorgere spese aggiuntive per l'azienda, come la gestione delle relazioni con il fornitore di SMS, la fornitura di supporto agli utenti e l'allocazione di risorse per affrontare tempi di inattività e problemi tecnici.

Nel contesto dell'autenticazione basata su SMS, questo si riferisce alla consegna costante e tempestiva degli SMS e all'accessibilità ininterrotta del sistema di autenticazione tramite il codice di autenticazione inviato. A seconda dell'infrastruttura locale, ritardi nella consegna dei messaggi, congestione della rete e potenziali tempi di inattività del sistema possono impedire la ricezione tempestiva dei codici di autenticazione. Questo può causare frustrazione nell'utente e ostacolare il processo di autenticazione.

Un aspetto chiave da considerare è la diversa facilità d'uso tra le varie piattaforme. L'autenticazione basata su SMS funziona egregiamente sui dispositivi mobili grazie alla funzione di riempimento automatico che facilita l'inserimento del codice di autenticazione. Al contrario, su desktop, è necessario utilizzare un dispositivo aggiuntivo, il proprio telefono cellulare, per inserire manualmente il codice di autenticazione, risultando in un'esperienza meno intuitiva e comoda. Come accennato in precedenza, l'esperienza utente risente anche quando si verificano attacchi fraudolenti o sorgono problemi nella consegna degli SMS e nel recupero del codice di autenticazione.

Finora, le passkey sono state percepite principalmente come l'alternativa senza password solo per le password.

Inoltre, poiché le passkey forniscono una funzionalità 2FA integrata, fungono da alternativa alle password e a qualsiasi tipo di autenticazione basata su SMS. Ciò migliora la sicurezza ed evita le sfide di esperienza utente poste dai codici monouso basati su SMS. Sostituendo i messaggi di autenticazione, le passkey apportano vantaggi sostanziali che eliminano efficacemente gli svantaggi dell'autenticazione basata su SMS.

A differenza dell'autenticazione basata su SMS, che può essere suscettibile a intercettazioni e manipolazioni, le passkey offrono una protezione robusta contro tutte le forme di attacchi fraudolenti grazie all'uso di un'infrastruttura a chiave pubblica. Ciò garantisce che anche in caso di violazione del server, gli account degli utenti rimangano protetti poiché la chiave privata essenziale rimane al sicuro all'interno del dispositivo dell'utente, incorporata nel sistema operativo. Inoltre, il collegamento delle passkey allo specifico servizio online registrato è una contromisura contro i tentativi di phishing, rendendo le passkey il metodo di autenticazione più sicuro attualmente disponibile.

Similmente all'autenticazione basata su SMS, ci sono costi associati all'implementazione delle passkey. Sebbene sia possibile gestire l'implementazione internamente, concentrarsi su un'autenticazione sicura porta spesso a preferire specialisti. La loro esperienza ha un costo che è una frazione dei costi interni e si allinea a quanto addebitano i fornitori di autenticazione basata su SMS per l'implementazione. Dal punto di vista dei costi, il vantaggio significativo di investire in passkey è l'eliminazione della necessità di inviare SMS per l'accesso e la registrazione. Invece, gli utenti possono accedere in modo sicuro utilizzando Face ID o Touch ID. Ciò non solo si traduce in un potenziale risparmio di milioni di costi per l'autenticazione ogni anno (specialmente per le grandi aziende orientate al consumatore), ma elimina anche tutte le sfide che possono sorgere durante l'invio e la ricezione di SMS.

Per verificare i numeri di telefono degli utenti, spesso richiesto per scopi di marketing o altre comunicazioni, l'invio di un SMS iniziale con un codice monouso rimane un'opzione. Ciò consente agli SMS di funzionare parallelamente alle passkey. Inoltre, gli SMS possono servire come metodo di fallback. La distinzione chiave tra entrambi gli scenari e l'autenticazione tradizionale basata su SMS è che gli SMS vengono inviati solo occasionalmente anziché ad ogni tentativo di accesso.

L'adozione della biometria (ad es. Face ID, Touch ID, Windows Hello) per sbloccare telefoni e dispositivi desktop è diventata rapidamente una pratica comune tra gli utenti. Le passkey ora estendono questa esperienza familiare allo sblocco degli account. Dato che la maggior parte dei telefoni cellulari e dei dispositivi desktop è già pronta per le passkey, offrono una sostituzione uno a uno per l'autenticazione basata su SMS. Con le scansioni locali di impronte digitali o facciali dal dispositivo, viene eliminata la necessità di un dispositivo secondario, come ancora necessario per l'autenticazione SMS da laptop. Questo miglioramento sostanziale semplifica l'esperienza utente e rende l'accesso all'account estremamente facile. Un'altra caratteristica unica delle passkey è la Conditional UI. Questa funzione migliora la comodità dell'utente suggerendo e precompilando automaticamente le passkey memorizzate quando gli utenti interagiscono con il campo di immissione del nome utente. Ciò elimina la necessità di cercare manualmente le credenziali, inclusi i nomi utente, poiché queste sono già memorizzate in modo sicuro nel dispositivo o nel browser e vengono precompilate automaticamente.

La transizione all'autenticazione basata su passkey non riguarda solo un'esperienza di accesso più fluida e una migliore (MFA resistente al phishing). Le passkey possono anche far risparmiare notevoli costi per gli OTP via SMS se si raggiungono due obiettivi:

• un alto tasso di adozione delle passkey
• un alto tasso di accesso con passkey

La tecnologia passkey di Corbado e il suo design intelligente si concentrano sull'ottimizzazione di entrambi questi aspetti per fornire un elevato risparmio sui costi degli SMS. Raggiungiamo fino al 90% di risparmio sui costi con tassi di adozione delle passkey 10 volte superiori rispetto alle tradizionali soluzioni fai-da-te. Vediamo come.

Il primo passo è convertire gli utenti esistenti in utenti passkey, consentendo loro di creare passkey nelle impostazioni dell'account. Tuttavia, questo da solo non è sufficiente per aumentare i tassi di adozione delle passkey tra la base di utenti esistente. Corbado offre diverse soluzioni:

• Registrazione automatica progressiva: Il nostro motore di passkey intelligence è progettato per ottimizzare il processo di registrazione delle passkey, guidando gli utenti attraverso l'adozione delle passkey in modo fluido e senza attriti ogni volta che è possibile (ad es. durante l'accesso con metodi di autenticazione tradizionali). Questo approccio proattivo assicura che gli utenti non siano sopraffatti o confusi, riducendo così i tassi di abbandono e aumentando l'adozione complessiva.
• Creazione automatica di passkey locali: Se i clienti accedono tramite l'autenticazione cross-device, viene offerta loro l'opzione di creare una passkey locale nell'ambiente che stanno utilizzando, aumentando l'adozione delle passkey su tutti i loro dispositivi. Nelle situazioni in cui il dispositivo desktop corrente non offre un autenticatore di piattaforma per creare una passkey, è possibile impiegare una strategia mobile-first per creare una passkey su un telefono cellulare.
• Aggiornamento automatico a passkey: Il motore decisionale di Corbado facilita un aggiornamento automatico a passkey per gli utenti, aumentando significativamente i tassi di adozione senza richiedere la partecipazione attiva dell'utente. Questa transizione senza soluzione di continuità è alimentata dal nostro motore decisionale di passkey intelligence, che funziona automaticamente su dispositivi iOS 18+ (e altri a seguire).

Garantiamo che più utenti adottino le passkey senza sforzo, raggiungendo tassi di adozione 10 volte superiori rispetto alle implementazioni di passkey fai-da-te.

Il secondo passo importante è attivare gli accessi con passkey ogni volta che è possibile e incoraggiare attivamente il riutilizzo delle passkey esistenti.

• Approccio Identifier-First: Avviare il processo di accesso chiedendo solo un identificatore (ad es. l'indirizzo email) e poi determinare automaticamente se è possibile un accesso con passkey semplifica l'esperienza utente e incoraggia un maggiore utilizzo delle passkey. Questo metodo riduce i passaggi necessari per l'accesso degli utenti, rendendo il processo più rapido e intuitivo rispetto all'offerta di un pulsante separato "Accedi con Passkey", che i consumatori ignorano frequentemente.
• Autenticazione cross-device e accesso con passkey One-Tap: Corbado ricorre automaticamente all'autenticazione cross-device di WebAuthn quando non è disponibile una passkey locale. Inoltre, una volta registrato un accesso con passkey su un dispositivo, il campo dell'identificatore utente viene automaticamente convertito in un pulsante di accesso con passkey One-Tap, rendendo l'accesso ancora più fluido.

L'approccio innovativo di Corbado per massimizzare i tassi di adozione e di accesso con passkey offre vantaggi significativi rispetto agli approcci fai-da-te. Sfruttando questo design intelligente, garantiamo che gli utenti non solo integrino ma adottino attivamente le passkey, ottenendo tassi di adozione e di accesso fino a 10 volte superiori. Questo cambiamento non solo migliora la sicurezza e l'esperienza utente, ma offre anche notevoli risparmi sui costi, in particolare riducendo le spese per gli OTP via SMS fino al 90%. Nella prossima era delle passkey, dove un'autenticazione efficiente e sicura è importante, Corbado si distingue come leader nel promuovere sia l'adozione che l'efficienza dei costi.

In sintesi, le passkey offrono una soluzione pratica per affrontare gli svantaggi dell'autenticazione basata su SMS. Forniscono sicurezza robusta, efficienza dei costi e un'elevata esperienza utente, rendendole un sostituto intelligente. Con la tecnologia biometrica e funzionalità user-friendly come la Conditional UI, le passkey rendono la sicurezza fluida e l'esperienza utente impeccabile su tutte le piattaforme. Per le aziende che desiderano migliorare il proprio sistema di autenticazione, la soluzione passkey di Corbado è un modo semplice per aumentare la sicurezza, ridurre i costi e lasciarsi alle spalle le sfide dell'autenticazione basata su SMS. Contattaci per una soluzione di autenticazione con passkey su misura per la tua configurazione OTP / 2FA via SMS.