Come ridurre i costi degli SMS con le passkey

Questa pagina è stata tradotta automaticamente. Leggi la versione originale in inglese qui.

Fatti chiave

L'SMS traffic pumping è costato a Twitter da solo 60 milioni di USD all'anno, secondo Commsrisk, dimostrando l'enorme esposizione alle frodi dell'autenticazione basata su SMS.
I costi di transazione SMS variano da 0,01 a 0,20 USD per SMS, con servizi di alta qualità a partire da 0,06 USD, portando la fattura annuale di una nota azienda leader nell'e-commerce a 12 milioni di USD.
L'implementazione interna della 2FA via SMS può facilmente raggiungere cifre a cinque zeri secondo un sondaggio di Messente, rendendo le soluzioni esterne la scelta più economica.
Le passkey eliminano completamente i costi per gli SMS di accesso. Gli utenti si autenticano localmente tramite biometria e gli SMS vengono inviati solo occasionalmente per la verifica del numero di telefono o come sistema di emergenza (fallback).
Il motore di intelligenza passkey di Corbado consente di risparmiare fino al 90% sui costi degli SMS e di ottenere tassi di adozione delle passkey 10 volte superiori rispetto alle implementazioni passkey fai-da-te.

1. Introduzione#

Dopo l'annuncio di X di voler interrompere l'autenticazione a due fattori (2FA) basata su SMS per gli utenti non iscritti a Twitter Blue a partire dal 20 marzo 2023 in risposta all'abuso di questa tecnologia da parte dei truffatori, sorgono interrogativi riguardo ad altri potenziali svantaggi dell'autenticazione via SMS.

Nonostante la sua ampia adozione da parte delle aziende (sia a fattore singolo che a due fattori) per offrire una migliore protezione degli account ai propri utenti, questo metodo di autenticazione presenta spesso svantaggi che vanno oltre le sole problematiche di sicurezza.

Guida Buy vs. Build. Guide pratiche, pattern di distribuzione e KPI per programmi passkey.

Ottieni la guida gratuita

In questo articolo esploreremo tali svantaggi, tra cui le frodi e le sfide legate ai costi, all'affidabilità e all'esperienza utente. Per affrontarli, le passkey possono essere impiegate come nuovo standard di autenticazione passwordless, superiore per molti aspetti ai metodi basati su SMS.

Alla luce del potenziale utilizzo delle passkey in sostituzione degli SMS, in Corbado offriamo una soluzione passkey plug-and-play per rendere Internet un posto sicuro e far risparmiare subito alla tua azienda ingenti spese legate agli SMS.

Articoli recenti

2. Cos'è l'autenticazione basata su SMS?#

Prima di esaminare i limiti dell'autenticazione basata su SMS, è essenziale capirne il concetto fondamentale. L'autenticazione via SMS si suddivide in due tipologie principali:

Autenticazione a singolo fattore
Autenticazione a due fattori (2FA)

La prima include metodi come le password monouso (OTP) inviate tramite SMS, fornendo un'alternativa di accesso senza password rispetto a quelle tradizionali. La seconda utilizza un processo in due fasi per garantire la protezione 2FA. Gli utenti prima si registrano/accedono con username/email e password, poi confermano l'operazione attraverso un codice OTP inviato al loro telefono cellulare via SMS.

3. Gli svantaggi dell'autenticazione basata su SMS#

Approfondiamo gli svantaggi dell'autenticazione via SMS mettendo in luce le varie forme di frode associate a questo metodo di accesso e scoprendo i problemi legati all'affidabilità, all'esperienza utente e ai costi finanziari sostenuti per implementare, gestire e mantenere questa tecnologia.

3.1 Frodi: gli SMS vengono utilizzati per violare gli account degli utenti#

Gli SMS sono stati inventati oltre 20 anni fa e da allora non hanno ricevuto alcun importante aggiornamento di sicurezza. Ecco perché le frodi via SMS rappresentano un problema enorme.

3.1.1 SMS Traffic Pumping#

Nell'autenticazione basata su SMS, quando un utente richiede un codice o un link, il fornitore del servizio lo invia al numero di cellulare dell'utente tramite un messaggio SMS. L'SMS traffic pumping sfrutta questo processo inviando un volume massiccio di SMS indesiderati e spesso fraudolenti verso un numero di telefono specifico.

I truffatori che orchestrano questi schemi di SMS traffic pumping sfruttano gli accordi di condivisione dei ricavi (revenue-sharing) tra gli operatori di rete mobile (MNO) e i fornitori di servizi di messaggistica. Il loro obiettivo è gonfiare il traffico SMS e generare maggiori guadagni, dato che i fornitori di messaggistica pagano agli MNO una tariffa per la consegna di ogni messaggio. Come fatto notare da un dipendente di Stytch su Hacker News, gli MNO collaborano in questo caso con gli hacker condividendone i proventi. Sebbene misure preventive specifiche, come la disabilitazione della ricezione SMS in base alle aree geografiche, l'implementazione di rate limit e il rilevamento dei bot possano mitigare il problema, eliminare completamente l'abuso è quasi impossibile per via della stessa natura del processo di invio.

Di conseguenza, aziende e fornitori di servizi affrontano spesso spese significative a causa dell'impennata di messaggi. Secondo Commsrisk, la sola Twitter perdeva l'incredibile cifra di 60 milioni di USD all'anno a causa dell'SMS traffic pumping. Inoltre, gli utenti legittimi possono subire ritardi nella ricezione dei loro codici o link di autenticazione.

3.1.2 SIM Swapping#

In questo tipo di frode, gli hacker sfruttano le vulnerabilità nell'infrastruttura degli MNO per trasferire il numero di cellulare della vittima su una nuova scheda SIM. Facendo ciò, ottengono il controllo del numero di telefono e possono intercettare gli SMS in arrivo, compresi i codici o i link di autenticazione. Una volta preso il controllo, riescono a bypassare il processo di autenticazione e ad ottenere l'accesso non autorizzato agli account su diverse piattaforme. Il SIM swapping è difficile da rilevare. Spesso gli aggressori usano tecniche di social engineering per ingannare l'assistenza clienti degli MNO, convincendoli a trasferire il numero. Dato che le aziende coinvolte spesso rimangono all'oscuro di tutto, gli attacchi di SIM swap si traducono solitamente in violazioni di dati, perdite finanziarie e danni alla reputazione aziendale.

3.2 Costi#

Gli SMS sono costosi e non si intravvede alcuna reale tendenza al ribasso dei prezzi.

3.2.1 Implementare l'autenticazione via SMS costa molto#

Per l'autenticazione basata su SMS, ci sono due opzioni di implementazione: creare e mantenere un sistema interno (in-house) o affidarsi a una soluzione di autenticazione esterna. Sebbene sia possibile un approccio ibrido, la seconda opzione è consigliata per semplicità. Secondo un sondaggio di Messente, creare internamente una soluzione 2FA basata solo su SMS può costare facilmente cifre a cinque zeri. Ecco perché optare per una soluzione esterna, generalmente più economica, è quasi sempre l'idea migliore.

3.2.2 Gestione: ogni SMS inviato può costare fino a 20 centesimi#

Poiché l'invio di messaggi di autenticazione via SMS è un processo complesso, quasi tutte le aziende si rivolgono a un provider esperto. I loro servizi comportano costi per transazione che variano in base al provider scelto, a seconda di fattori come:

il numero di SMS inviati
i Paesi di destinazione verso cui l'SMS è inviato
le funzionalità aggiuntive.

Alcuni provider possono addebitare un costo extra per l'autenticazione riuscita via SMS, anche se spesso questo è incluso nel prezzo complessivo. Secondo miniOrange, i costi di transazione variano tipicamente da 0,01 a 0,20 USD per SMS, mentre i servizi SMS di alta qualità legati ai provider principali partono da circa 0,06 USD. Dato che gli utenti dei prodotti digitali si trovano spesso in Paesi diversi, l'acquisto di vari piani SMS farà inevitabilmente lievitare le spese. Secondo i nostri dati, questo dimostra quanto velocemente i costi per l'invio dei soli messaggi di autenticazione possano schizzare alle stelle e perché l'autenticazione via SMS costi a un noto e-commerce circa 12 milioni di USD all'anno. Ovviamente, è possibile offrire l'autenticazione via SMS solo per i Paesi target principali per risparmiare, ma ciò rappresenta solo una goccia nell'oceano e peggiorerebbe l'esperienza utente per una parte della clientela.

3.2.3 Manutenzione: tenere aggiornato il sistema comporta costi aggiuntivi#

La maggior parte dei costi di manutenzione è tipicamente coperta dai prezzi di transazione. Questi includono le spese necessarie ai provider per gestire grandi volumi di SMS, facilitare la consegna internazionale verso i vari MNO, implementare misure di sicurezza essenziali e garantire la conformità alle normative. Tuttavia, all'azienda possono presentarsi spese aggiuntive per la gestione dei rapporti commerciali con il provider SMS, l'assistenza agli utenti e l'allocazione di risorse per risolvere i periodi di inattività e i problemi tecnici.

Perché le passkey sono importanti?

Passkey per le aziende

Password e phishing mettono a rischio le aziende. Le passkey offrono l'unica soluzione MFA in grado di bilanciare sicurezza e UX. Il nostro whitepaper tratta l'implementazione e l'impatto aziendale.

Scarica il whitepaper gratuito

3.3 Affidabilità: gli SMS possono andare persi#

Nel contesto dell'autenticazione basata su SMS, l'affidabilità si riferisce alla consegna coerente e tempestiva del messaggio e all'accessibilità ininterrotta del sistema di autenticazione tramite il codice inviato. A seconda dell'infrastruttura locale, ritardi nella consegna, congestioni di rete e potenziali fermi di sistema possono impedire la rapida ricezione dei codici di autenticazione. Questo causa frustrazione negli utenti e ostacola il processo di accesso.

3.4 Esperienza Utente: l'esperienza desktop è inferiore#

Un aspetto chiave da considerare è la differenza di usabilità tra le diverse piattaforme. L'autenticazione basata su SMS funziona ottimamente sui dispositivi mobili grazie alla funzione di completamento automatico che semplifica l'inserimento del codice. Al contrario, su desktop, è necessario utilizzare un dispositivo aggiuntivo, il telefono cellulare, per inserire manualmente il codice di autenticazione, risultando in un'esperienza meno intuitiva e conveniente. Come accennato, l'esperienza utente ne risente anche quando si verificano frodi o problemi nella consegna degli SMS e nel recupero del codice.

4. Le passkey come sostituzione dell'autenticazione via SMS#

Finora, le passkey sono state percepite principalmente solo come l'alternativa passwordless alle password tradizionali.

Tuttavia, dato che le passkey forniscono una funzionalità 2FA integrata, esse fungono da alternativa non solo alle password ma anche a qualsiasi tipo di autenticazione via SMS. Ciò rafforza la sicurezza e permette di evitare i problemi di esperienza utente posti dai codici OTP via SMS. Sostituendo i messaggi di autenticazione, le passkey portano vantaggi sostanziali che eliminano efficacemente i punti deboli del vecchio approccio.

4.1 MFA resistente al phishing e sicurezza solida#

A differenza dell'autenticazione basata su SMS, che può essere soggetta a intercettazione e manipolazione, le passkey offrono una solida protezione contro tutte le forme di attacco fraudolento grazie all'uso della crittografia a chiave pubblica. Questo assicura che, anche in caso di violazione del server, gli account degli utenti rimangano al sicuro, poiché la fondamentale chiave privata resta protetta all'interno del dispositivo dell'utente, integrata nel sistema operativo. Inoltre, il legame delle passkey allo specifico servizio online registrato agisce come contromisura contro i tentativi di phishing, rendendo le passkey il metodo di autenticazione più sicuro attualmente disponibile.

4.2 Evitare elevati costi (di transazione)#

Come per l'autenticazione basata su SMS, ci sono dei costi associati all'implementazione delle passkey. Sebbene sia possibile gestire l'implementazione in-house, il focus sulla sicurezza dell'autenticazione spinge spesso a preferire specialisti del settore. La loro esperienza ha un costo inferiore rispetto a quello dello sviluppo interno e si allinea con le tariffe di implementazione dei provider di SMS. Dal punto di vista dei costi, il vantaggio significativo nell'investire nelle passkey sta nell'eliminare la necessità di inviare SMS per login e registrazione. Invece, gli utenti possono accedere in modo sicuro utilizzando Face ID o Touch ID. Questo non solo si traduce in potenziali risparmi per milioni di dollari all'anno (soprattutto per le grandi aziende orientate ai consumatori), ma elimina anche alla radice tutte le sfide legate all'invio e alla ricezione di SMS.

Per la verifica dei numeri di telefono degli utenti, spesso richiesta per marketing o per altre comunicazioni, l'invio di un SMS iniziale con codice OTP rimane sempre un'opzione. Questo consente agli SMS di affiancare le passkey. Inoltre, l'SMS può fungere da metodo di fallback (emergenza). La distinzione chiave rispetto all'autenticazione tradizionale è che l'SMS verrà inviato solo occasionalmente e non ad ogni tentativo di accesso.

4.3 Autenticazione comoda ed esperienza utente migliorata#

L'adozione della biometria (es. Face ID, Touch ID, Windows Hello) per sbloccare smartphone e computer è diventata rapidamente prassi comune per gli utenti. Le passkey estendono questa esperienza familiare allo sblocco dell'account. Considerando che la maggior parte dei dispositivi mobili e desktop è già compatibile con le passkey, queste offrono una sostituzione diretta (uno-a-uno) all'autenticazione basata su SMS. Con le impronte digitali locali o le scansioni facciali dal dispositivo, viene meno la necessità di un secondo dispositivo, richiesto ad esempio per l'autenticazione via SMS da laptop. Questo miglioramento sostanziale semplifica l'esperienza utente e rende l'accesso all'account immediato. Un'altra caratteristica unica delle passkey è l'interfaccia Conditional UI. Questa funzione aumenta la comodità suggerendo e precompilando automaticamente le passkey memorizzate quando gli utenti interagiscono con il campo di input dell'username. Ciò elimina la necessità di cercare manualmente le credenziali, poiché queste sono già salvate in modo sicuro all'interno del dispositivo o del browser e vengono precompilate automaticamente.

5. Come Corbado fa risparmiare fino al 90% sui costi SMS con tassi di adozione passkey 10x superiori#

Il passaggio all'autenticazione tramite passkey non riguarda solo un login più fluido e una MFA migliore (resistente al phishing). Le passkey possono far risparmiare molti costi di SMS OTP se si raggiungono due obiettivi:

un alto tasso di adozione delle passkey
un alto tasso di accessi effettuati con passkey

La tecnologia e il design intelligente di Corbado si concentrano sull'ottimizzazione di entrambi questi aspetti per offrire un elevato risparmio sui costi degli SMS. Otteniamo fino al 90% di riduzione dei costi con tassi di adozione 10 volte più elevati rispetto alle tradizionali soluzioni fai-da-te. Vediamo come.

5.1 Massimizzare il tasso di adozione delle passkey#

Il primo passo consiste nel convertire gli utenti esistenti permettendo loro di creare una passkey dalle impostazioni dell'account. Tuttavia, questo da solo non basta per incrementare i tassi di adozione nell'intera base di utenti. Corbado offre diverse soluzioni:

Registrazione automatica progressiva: Il nostro motore di passkey intelligence è progettato per ottimizzare il processo di enrollment (registrazione) delle passkey, guidando gli utenti in modo fluido e senza attriti ogniqualvolta sia possibile (es. durante il login con i metodi tradizionali). Questo approccio proattivo garantisce che gli utenti non si sentano sopraffatti o confusi, riducendo i tassi di abbandono e aumentando l'adozione complessiva.
Creazione automatica di passkey locali: Se i clienti accedono tramite Cross-Device Authentication (autenticazione multi-dispositivo), viene loro offerta l'opzione di creare una passkey locale nell'ambiente in uso, aumentando così l'adozione delle passkey su tutti i loro dispositivi. Nelle situazioni in cui l'attuale desktop non dispone di un autenticatore di piattaforma, è possibile adottare una strategia mobile-first per far creare all'utente una passkey sul proprio telefono cellulare.
Upgrade automatico alle passkey: Il motore decisionale di Corbado facilita l'aggiornamento automatico alle passkey per gli utenti, aumentando significativamente i tassi di adozione senza richiedere un intervento manuale attivo. Questa transizione immediata è alimentata dal nostro motore di passkey intelligence, che funziona automaticamente sui dispositivi iOS 18+ (e su altri in futuro).

Garantiamo che sempre più utenti adottino le passkey senza sforzo, raggiungendo tassi di adozione 10 volte più alti rispetto alle implementazioni passkey fai-da-te.

5.2 Massimizzare i tassi di accesso con passkey#

Il secondo passaggio importante è innescare i login tramite passkey ove possibile e incoraggiare attivamente il riutilizzo delle passkey esistenti.

Approccio Identifier-First: Iniziare il processo di login chiedendo solo un identificatore (es. l'indirizzo email) per poi determinare automaticamente se sia possibile un login tramite passkey semplifica l'UX e favorisce l'uso delle passkey stesse. Questo metodo riduce i passaggi necessari all'accesso, rendendo il processo più rapido rispetto alla presenza di un pulsante "Accedi con Passkey" separato, che molto spesso i consumatori ignorano.
Autenticazione Cross-Device e accesso passkey One Tap: Quando non è disponibile alcuna passkey locale, Corbado ricorre automaticamente alla Cross-Device Authentication di WebAuthn. Inoltre, una volta registrato con successo un accesso passkey su un dispositivo, il campo d'inserimento dell'identificatore viene automaticamente convertito in un pulsante di accesso One Tap, rendendo il login ancora più rapido.

5.3 Il risultato: costi SMS inferiori del 90%, adozione passkey 10x maggiore#

L'approccio innovativo di Corbado nel massimizzare l'adozione e i login tramite passkey offre vantaggi immensi rispetto agli approcci DIY. Sfruttando questo design intelligente, ci assicuriamo che gli utenti non solo abbiano a disposizione le passkey, ma le adottino in modo attivo, ottenendo tassi di adozione e login fino a 10 volte superiori. Questo cambiamento non solo rafforza la sicurezza e l'esperienza utente, ma offre enormi risparmi sui costi, in particolare riducendo le spese per gli SMS OTP fino al 90%. Nell'imminente era delle passkey, dove un'autenticazione efficiente e sicura è fondamentale, Corbado si distingue come leader nel promuovere sia l'adozione che l'efficienza economica.

6. Conclusione#

Per riassumere, le passkey offrono una soluzione pratica per affrontare i numerosi svantaggi dell'autenticazione basata su SMS. Forniscono una solida sicurezza, efficienza in termini di costi e un'eccellente esperienza utente, rendendole una valida alternativa tecnologica. Con la tecnologia biometrica e funzionalità intuitive come la Conditional UI, le passkey rendono la sicurezza invisibile e l'esperienza utente fluida su tutte le piattaforme. Per le aziende che desiderano migliorare le proprie modalità di autenticazione, la soluzione passkey di Corbado è il modo più semplice per rafforzare la sicurezza, tagliare i costi e lasciarsi alle spalle le problematiche dell'autenticazione SMS. Contattaci per una soluzione di autenticazione passkey su misura che sostituisca la tua attuale configurazione di SMS OTP o 2FA.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →