Como reduzir seus custos de SMS com chaves de acesso

1. Introdução#

Após o anúncio do X de descontinuar a autenticação de dois fatores (2FA) baseada em SMS para usuários não assinantes do Twitter Blue a partir de 20 de março de 2023 como uma resposta ao abuso de 2FA baseada em SMS por fraudadores, surgem dúvidas sobre outros possíveis pontos negativos da autenticação baseada em SMS.

Apesar de sua ampla adoção pelas empresas em geral (fator único e dois fatores) para fornecer melhor proteção de conta para seus usuários, esse método de autenticação frequentemente traz mais pontos negativos além das questões de segurança.

Neste artigo, exploraremos esses pontos negativos, incluindo fraudes e desafios com custos, confiabilidade e experiência do usuário. Para resolvê-los, as chaves de acesso podem ser usadas como o novo método de autenticação padrão sem senha que é superior em muitos aspectos em comparação com os métodos de autenticação baseados em SMS.

Diante do potencial de aplicação das chaves de acesso como substituição, nós da Corbado oferecemos uma solução de chaves de acesso plug-and-play para tornar a internet um lugar seguro e economizar para sua empresa enormes despesas relacionadas a SMS imediatamente.

2. O que é autenticação baseada em SMS?#

Antes de explorarmos os pontos negativos da autenticação baseada em SMS, é essencial entender seu conceito fundamental. A autenticação baseada em SMS compreende dois tipos principais:

• Autenticação de fator único
• Autenticação de dois fatores

O primeiro inclui métodos como senhas de uso único (OTP) enviadas via SMS, fornecendo uma alternativa de login sem senha às senhas tradicionais. O último emprega um processo de duas etapas para garantir a proteção 2FA. Os usuários primeiro se inscrevem/fazem login com seu nome de usuário/e-mail e senha e, em seguida, confirmam sua inscrição/login por meio de uma senha de uso único enviada para seus telefones celulares via SMS.

3. Desvantagens da autenticação baseada em SMS#

Vamos nos aprofundar nas desvantagens da autenticação baseada em SMS lançando luz sobre as diferentes formas de fraude associadas a esse método de login e descobrir os desafios com confiabilidade, experiência do usuário e os custos financeiros incorridos na implementação, operação e manutenção dessa tecnologia de autenticação.

3.1 Fraude: SMS são usados para hackear contas de usuários#

Os SMS foram inventados há mais de 20 anos e não receberam nenhuma atualização de segurança importante desde então. É por isso que a fraude por SMS é um problema enorme.

3.1.1 Bombeamento de tráfego de SMS#

Na autenticação baseada em SMS, quando um usuário solicita um código de autenticação ou um link via SMS, o provedor de serviços envia o código ou o link para o número de telefone celular do usuário por meio de uma mensagem SMS. O bombeamento de tráfego de SMS tira proveito desse processo enviando um volume massivo de mensagens SMS indesejadas e frequentemente fraudulentas para um número de telefone específico.

Os fraudadores de esquemas de bombeamento de tráfego de SMS exploram os acordos de divisão de receitas entre as operadoras de rede móvel (MNO) e os provedores de serviços de mensagens. O objetivo deles é inflar o tráfego de SMS e gerar maiores receitas para si mesmos, pois os provedores de serviços de mensagens pagam às MNOs uma taxa pela entrega de cada mensagem. Como apontado por um atual funcionário da Stytch no Hacker News, as MNOs colaboram com o hacker compartilhando as receitas aqui. Embora medidas preventivas específicas, como desativar números de telefone de receber SMS (permissões geográficas), implementar limites de taxa e detectar bots possam ajudar a mitigar o bombeamento de tráfego de SMS, a eliminação completa do uso indevido é quase impossível devido ao design do processo de envio.

Como resultado, empresas e provedores de serviços frequentemente enfrentam despesas significativas decorrentes do aumento de mensagens recebidas. A Commsrisk afirma que apenas o Twitter perdeu incríveis 60 milhões de dólares americanos anualmente devido ao bombeamento de tráfego de SMS. Além disso, usuários legítimos podem enfrentar atrasos no recebimento de seus códigos ou links de autenticação.

3.1.2 Troca de SIM#

Nesse tipo de fraude, os fraudadores exploram vulnerabilidades na infraestrutura das MNOs para transferir o número de telefone celular de uma vítima para um novo cartão SIM. Ao fazer isso, os invasores ganham o controle sobre o número de telefone da vítima, permitindo que eles interceptem mensagens SMS recebidas, incluindo códigos de autenticação ou links. Uma vez que eles ganham o controle do número de telefone de um usuário, eles podem ignorar o processo de autenticação e obter acesso não autorizado às suas contas em várias plataformas. A troca de SIM é difícil de detectar. Muitas vezes, os invasores usam engenharia social para enganar o suporte ao cliente da MNO, permitindo que eles transfiram o número da vítima para um novo cartão SIM. Como as empresas com usuários afetados muitas vezes não percebem, os ataques de troca de SIM geralmente resultam em violações de dados, perdas financeiras e danos à reputação da empresa.

3.2 Custos#

Os SMS são caros e não há uma tendência real visível que aponte para uma redução nos preços dos SMS.

3.2.1 A implementação da autenticação baseada em SMS custa muito#

Para a autenticação baseada em SMS, existem duas opções de implementação. Você pode criar e manter um sistema interno ou usar uma solução de autenticação externa. Embora uma abordagem mista seja possível, a segunda opção é recomendada por sua simplicidade. De acordo com uma pesquisa da Messente, construir internamente uma solução de 2FA apenas com SMS pode facilmente custar cinco dígitos. É por isso que optar por uma solução externa, que geralmente é mais barata, é frequentemente uma ideia melhor.

3.2.2 Operações: cada SMS enviado pode custar até 20 centavos#

Como enviar mensagens de autenticação baseadas em SMS aos usuários é muito complexo, quase toda empresa opta por um provedor experiente. Seus serviços incorrem em custos de transação que variam com base no provedor escolhido. Esses custos dependem de fatores como:

• o número de SMS enviados
• os países de destino para os quais os SMS são enviados
• recursos adicionais.

Alguns provedores podem cobrar uma taxa extra pela autenticação bem-sucedida via SMS, embora isso muitas vezes esteja incluído no preço total. De acordo com a miniOrange, os preços de transação geralmente variam de 0,01 a 0,20 dólares americanos por SMS, com serviços de SMS de alta qualidade diretamente vinculados a provedores principais começando em cerca de 0,06 dólares americanos. Como os usuários de produtos digitais geralmente estão localizados em diferentes países, adquirir vários planos de SMS aumentará as despesas. De acordo com nossas informações, isso mostra quão rapidamente apenas os custos de envio de mensagens de autenticação podem disparar e por que a autenticação baseada em SMS custa a um comércio eletrônico líder 12 milhões de dólares americanos por ano. Obviamente, você pode oferecer a autenticação baseada em SMS apenas para os principais países de destino e, assim, economizar dinheiro, mas isso é apenas uma gota no oceano e também impactaria negativamente a experiência do usuário para alguns usuários.

3.2.3 Manutenção: manter o sistema atualizado incorre em custos adicionais#

A maioria dos custos de manutenção é normalmente coberta pelos preços de transação. Estes incluem as despesas relacionadas a permitir que os provedores gerenciem grandes volumes de SMS, facilitem a entrega internacional de SMS para várias MNOs, implementem medidas de segurança essenciais e garantam a conformidade com as regulamentações. No entanto, podem surgir despesas adicionais para a empresa, como lidar com o relacionamento com fornecedores junto ao provedor de SMS, fornecer suporte ao usuário e alocar recursos para lidar com tempo de inatividade e problemas técnicos.

3.3 Confiabilidade: SMS podem se perder#

No contexto da autenticação baseada em SMS, isso se refere à entrega consistente e oportuna do SMS e à acessibilidade ininterrupta do sistema de autenticação pelo código de autenticação enviado. Dependendo da infraestrutura local, atrasos na entrega de mensagens, congestionamento na rede e potenciais tempos de inatividade do sistema podem impedir o recebimento imediato dos códigos de autenticação. Isso pode causar frustração aos usuários e dificulta o processo de autenticação.

3.4 Experiência do usuário: a experiência no desktop é inferior#

Um aspecto fundamental a se considerar é a variação na facilidade de uso em diferentes plataformas. A autenticação baseada em SMS funciona excelentemente em dispositivos móveis devido à função de preenchimento automático, que facilita a entrada do código de autenticação. Por outro lado, em desktops, você deve usar um dispositivo adicional, seu telefone celular, para inserir o código de autenticação manualmente, resultando em uma experiência menos intuitiva e conveniente. Como mencionado anteriormente, a experiência do usuário também sofre quando ocorrem ataques de fraude ou surgem problemas na entrega de SMS e na recuperação do código de autenticação.

4. Chaves de acesso como substituição para a autenticação baseada em SMS#

Até agora, as chaves de acesso têm sido percebidas principalmente apenas como a alternativa sem senha às senhas.

Além disso, como as chaves de acesso fornecem uma funcionalidade 2FA integrada, elas servem como uma alternativa às senhas e a qualquer tipo de autenticação baseada em SMS. Isso melhora a segurança e evita os desafios da experiência do usuário representados pelas senhas de uso único baseadas em SMS. Ao substituir as mensagens de autenticação, as chaves de acesso trazem benefícios substanciais que eliminam efetivamente as desvantagens da autenticação baseada em SMS.

4.1 MFA resistente a phishing e segurança robusta#

Ao contrário da autenticação baseada em SMS, que pode ser suscetível a interceptação e manipulação, as chaves de acesso oferecem proteção robusta contra todas as formas de ataques fraudulentos devido ao uso de infraestrutura de chaves públicas. Isso garante que, mesmo que ocorra uma violação do servidor, as contas de usuário permanecem protegidas, pois a chave privada essencial permanece segura no dispositivo do usuário, incorporada no sistema operacional. Além disso, a vinculação das chaves de acesso ao serviço online específico registrado é uma contramedida contra tentativas de phishing, tornando as chaves de acesso o método de autenticação mais seguro disponível no momento.

4.2 Evite altos custos (de transação)#

Semelhante à autenticação baseada em SMS, há custos associados à implementação de chaves de acesso. Embora seja possível lidar com a implementação internamente, concentrar-se em autenticação segura muitas vezes leva a uma preferência por especialistas. A experiência deles vem por uma fração dos custos internos e está alinhada com o que os provedores de autenticação baseada em SMS cobram pela implementação. Do ponto de vista de custos, a grande vantagem de investir em chaves de acesso é eliminar a necessidade de enviar SMS para login e inscrição. Em vez disso, os usuários podem fazer login de forma segura usando o Face ID ou Touch ID. Isso não apenas resulta em potenciais economias de milhões de custos em autenticação anualmente (especialmente para grandes empresas focadas no consumidor), mas também erradica todos os desafios que podem surgir no envio e recebimento de SMS.

Para verificar os números de telefone dos usuários, muitas vezes necessário para marketing ou outros fins de comunicação, o envio de um SMS inicial com uma senha de uso único continua sendo uma opção. Isso permite que o SMS funcione em conjunto com as chaves de acesso. Além disso, o SMS pode servir como um método de fallback. A principal distinção entre os dois cenários e a autenticação tradicional baseada em SMS é que os SMS são enviados apenas ocasionalmente, em vez de serem enviados a cada tentativa de login.

4.3 Autenticação conveniente e experiência do usuário aprimorada#

A adoção da biometria (por exemplo, Face ID, Touch ID, Windows Hello) para o desbloqueio de telefones e desktops rapidamente se tornou algo comum entre os usuários. As chaves de acesso agora estendem essa experiência familiar para o desbloqueio de contas. Dado que a maioria dos telefones celulares e dispositivos de desktop já está pronta para chaves de acesso, eles oferecem uma substituição um-para-um para a autenticação baseada em SMS. Com impressões digitais locais ou escaneamentos faciais a partir do dispositivo, a exigência de um dispositivo secundário, ainda necessário para a autenticação por SMS baseada em laptop, é eliminada. Esse aprimoramento substancial simplifica a experiência do usuário e torna o login de conta sem esforço. Outra característica única das chaves de acesso é a Conditional UI. Esse recurso melhora a conveniência do usuário ao sugerir e preencher automaticamente as chaves de acesso armazenadas quando os usuários interagem com o campo de entrada do nome de usuário. Isso elimina a necessidade de busca manual de credenciais, incluindo nomes de usuário, pois estes já estão armazenados de forma segura dentro do dispositivo ou do navegador e são preenchidos automaticamente.

5. Como a Corbado economiza até 90% dos custos de SMS com taxas de adoção de chaves de acesso 10 vezes maiores#

A transição para a autenticação baseada em chaves de acesso não é apenas sobre uma experiência de login mais suave e um MFA melhor (resistente a phishing). As chaves de acesso também podem economizar custos substanciais com SMS OTP se duas coisas forem alcançadas:

• uma alta taxa de adoção de chaves de acesso
• uma alta taxa de login com chaves de acesso

A tecnologia de chaves de acesso da Corbado e o design inteligente focam em otimizar ambos esses aspectos para proporcionar grandes economias nos custos de SMS. Nós alcançamos até 90% de economia de custos com taxas de adoção de chaves de acesso 10 vezes maiores em comparação com as soluções DIY (faça você mesmo) tradicionais. Vamos ver como.

5.1 Maximizando a taxa de adoção de chaves de acesso#

O primeiro passo é converter usuários existentes em usuários de chaves de acesso, permitindo que eles criem chaves de acesso nas configurações da conta. No entanto, isso sozinho não é suficiente para aumentar as taxas de adoção de chaves de acesso entre a base de usuários existente. A Corbado oferece diversas soluções:

• Inscrição automática progressiva: Nosso mecanismo de inteligência de chaves de acesso foi projetado para otimizar o processo de inscrição em chaves de acesso, guiando os usuários pela adoção de chaves de acesso de forma suave e sem atritos, sempre que possível (por exemplo, durante o login com métodos de autenticação tradicionais). Essa abordagem proativa garante que os usuários não se sintam sobrecarregados ou confusos, reduzindo, assim, as taxas de abandono e aumentando a adoção geral.
• Criação local e automática de chaves de acesso: Se os clientes fazem login por meio da Cross-Device Authentication, é oferecida a opção de criar uma chave de acesso local no ambiente que estão utilizando, aumentando a adoção de chaves de acesso em todos os seus dispositivos. Em situações onde o dispositivo desktop atual não oferece um autenticador de plataforma para criar uma chave de acesso, uma estratégia focada primeiro no celular (mobile-first) pode ser empregada para criar uma chave de acesso em um telefone celular.
• Atualização automática para chaves de acesso: O mecanismo de decisão da Corbado facilita uma atualização automática para chaves de acesso para os usuários, aumentando significativamente as taxas de adoção sem exigir participação ativa do usuário. Essa transição perfeita é potencializada por nosso mecanismo de decisão de inteligência de chaves de acesso, que funciona automaticamente em dispositivos iOS 18+ (com mais a seguir).

Nós garantimos que mais usuários adotem as chaves de acesso sem esforço, atingindo taxas de adoção 10 vezes mais altas do que nas implementações de chaves de acesso DIY.

5.2 Maximizando a taxa de login com chaves de acesso#

O segundo passo importante é acionar logins com chaves de acesso sempre que possível e incentivar ativamente a reutilização das chaves de acesso existentes.

• Abordagem Identifier-First: Iniciar o processo de login solicitando apenas um identificador (por exemplo, endereço de e-mail) e, em seguida, determinando automaticamente se um login com chave de acesso é possível, simplifica a UX e incentiva um maior uso de chaves de acesso. Esse método reduz os passos necessários para que os usuários façam login, tornando o processo mais rápido e intuitivo do que oferecer um botão de "Fazer login com chave de acesso" separado, que os consumidores frequentemente ignoram.
• Cross-Device Authentication e One Tap Passkey Login: A Corbado recua automaticamente para a Cross-Device Authentication baseada em WebAuthn quando não há uma chave de acesso local disponível. Além disso, uma vez que um login com chave de acesso tenha sido gravado em um dispositivo, o campo do identificador do usuário é automaticamente convertido em um botão de One Tap Passkey Login, tornando o login ainda mais contínuo.

5.3 Resultado: Custos de SMS 90% menores, adoção de chaves de acesso 10 vezes maior#

A abordagem inovadora da Corbado para maximizar a adoção e as taxas de login com chaves de acesso oferece vantagens significativas em relação às abordagens DIY. Ao aproveitar esse design inteligente, garantimos que os usuários não apenas integrem, mas adotem ativamente as chaves de acesso, resultando em taxas de adoção e login até 10 vezes maiores. Essa mudança não apenas melhora a segurança e a experiência do usuário, mas também entrega economias substanciais de custos, particularmente ao reduzir as despesas com SMS OTP em até 90%. Na próxima era das chaves de acesso, onde uma autenticação eficiente e segura é importante, a Corbado se destaca como líder na condução tanto da adoção quanto da relação custo-benefício.

6. Conclusão#

Resumindo, as chaves de acesso oferecem uma solução prática para lidar com as desvantagens da autenticação baseada em SMS. Elas proporcionam segurança robusta, relação custo-benefício e excelente experiência do usuário, tornando-as uma substituição inteligente. Com a tecnologia biométrica e recursos amigáveis como a Conditional UI, as chaves de acesso tornam a segurança contínua e a experiência do usuário suave em várias plataformas. Para as empresas que buscam elevar o nível do seu jogo de autenticação, a solução de chaves de acesso da Corbado é uma maneira simples de aumentar a segurança, cortar custos e deixar para trás os desafios da autenticação baseada em SMS. Entre em contato conosco para obter uma solução de autenticação baseada em chaves de acesso feita sob medida para a sua configuração de SMS OTP / 2FA.

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →