Como Reduzir os Seus Custos de SMS com Passkeys

Após o anúncio do X de descontinuar a autenticação de dois fatores (2FA) baseada em SMS para utilizadores que não são do Twitter Blue a partir de 20 de março de 2023, como resposta ao abuso da 2FA baseada em SMS por parte de fraudadores, surgem questões sobre outras potenciais desvantagens da autenticação baseada em SMS.

Apesar da sua ampla adoção por empresas em geral (fator único e dois fatores) para fornecer melhor proteção de conta aos seus utilizadores, este método de autenticação vem frequentemente com mais desvantagens para além das questões de segurança.

Neste artigo, vamos explorar estas desvantagens, incluindo fraudes e desafios com custos, fiabilidade e experiência do utilizador. Para as resolver, as passkeys podem ser usadas como o novo padrão de autenticação sem palavra-passe, que é superior em muitos aspetos em comparação com os métodos de autenticação baseada em SMS.

À luz da potencial aplicação das passkeys como substituto, nós na Corbado oferecemos uma solução de passkeys plug-and-play para tornar a Internet um lugar seguro e poupar imediatamente enormes despesas relacionadas com SMS ao seu negócio.

Antes de explorarmos as desvantagens da autenticação baseada em SMS, é essencial compreender o seu conceito fundamental. A autenticação baseada em SMS compreende dois tipos principais:

• Autenticação de fator único
• Autenticação de dois fatores

O primeiro inclui métodos como códigos de acesso de utilização única (OTP) enviados por SMS, fornecendo uma alternativa de login sem palavra-passe às palavras-passe tradicionais. O segundo emprega um processo de dois passos para garantir a proteção 2FA. Os utilizadores primeiro inscrevem-se/fazem login com o seu nome de utilizador/email e palavra-passe e, em seguida, confirmam a sua inscrição/login através de um código de acesso de utilização única enviado para os seus telemóveis por SMS.

Vamos aprofundar as desvantagens da autenticação baseada em SMS, esclarecendo diferentes formas de fraude associadas a este método de login e descobrindo desafios com a fiabilidade, a experiência do utilizador e os custos financeiros incorridos na implementação, operação e manutenção desta tecnologia de autenticação.

O SMS foi inventado há mais de 20 anos e, desde então, nunca recebeu uma grande atualização de segurança. É por isso que a fraude por SMS é um problema enorme.

Na autenticação baseada em SMS, quando um utilizador solicita um código ou um link de autenticação por SMS, o fornecedor de serviços envia o código ou o link para o número de telemóvel do utilizador através de uma mensagem SMS. O SMS traffic pumping aproveita este processo enviando um volume massivo de mensagens SMS indesejadas e muitas vezes fraudulentas para um número de telefone específico.

Os fraudadores dos esquemas de SMS traffic pumping exploram os acordos de partilha de receitas entre os operadores de redes móveis (MNO) e os fornecedores de serviços de mensagens. O seu objetivo é inflacionar o tráfego de SMS e gerar receitas mais altas para si próprios, uma vez que os fornecedores de serviços de mensagens pagam aos MNOs uma taxa por cada mensagem entregue. Como apontado por um funcionário atual da Stytch no Hacker News, os MNOs colaboram com o hacker partilhando as receitas. Embora medidas preventivas específicas, como desativar números de telefone de receber SMS (permissões geográficas), implementar limites de taxa e detetar bots, possam ajudar a mitigar o SMS traffic pumping, a eliminação completa do uso indevido é quase impossível devido ao design do processo de envio.

Como resultado, as empresas e os fornecedores de serviços enfrentam frequentemente despesas significativas devido ao aumento de mensagens recebidas. A Commsrisk diz que só o Twitter perdeu uns incríveis 60 milhões de USD anualmente devido ao SMS traffic pumping. Além disso, os utilizadores legítimos podem sofrer atrasos na receção dos seus códigos ou links de autenticação.

Neste tipo de fraude, os fraudadores exploram vulnerabilidades na infraestrutura do MNO para transferir o número de telemóvel de uma vítima para um novo cartão SIM. Ao fazer isso, os atacantes ganham controlo sobre o número de telemóvel da vítima, o que lhes permite intercetar mensagens SMS recebidas, incluindo códigos ou links de autenticação. Uma vez que ganham controlo sobre o número de telefone de um utilizador, podem contornar o processo de autenticação e obter acesso não autorizado às suas contas em várias plataformas. O SIM swapping é difícil de detetar. Os atacantes usam frequentemente engenharia social para enganar o apoio ao cliente do MNO, permitindo-lhes transferir o número da vítima para um novo cartão SIM. Como as empresas com utilizadores afetados muitas vezes não se apercebem, os ataques de SIM swap geralmente resultam em violações de dados, perdas financeiras e danos à reputação da empresa.

Os SMS são caros e não há uma tendência visível que aponte para uma redução nos preços.

Para a autenticação baseada em SMS, existem duas opções de implementação. Pode construir e manter um sistema interno ou usar uma solução de autenticação externa. Embora uma abordagem mista seja possível, a última opção é recomendada por simplicidade. De acordo com um inquérito da Messente, construir internamente uma solução de 2FA apenas por SMS pode facilmente custar dezenas de milhares. É por isso que optar por uma solução externa, que geralmente é mais barata, é muitas vezes uma ideia melhor.

Como o envio de mensagens de autenticação baseadas em SMS para os utilizadores é muito complexo, quase todas as empresas optam por um fornecedor experiente. O serviço deles acarreta custos de transação que variam com base no fornecedor escolhido. Estes custos dependem de fatores como:

• o número de SMS enviados
• os países de destino para os quais o SMS é enviado
• funcionalidades adicionais.

Alguns fornecedores podem cobrar uma taxa extra por autenticação bem-sucedida via SMS, embora isso esteja frequentemente incluído no preço geral. De acordo com a miniOrange, os preços por transação geralmente variam de 0,01 a 0,20 USD por SMS, com serviços de SMS de alta qualidade diretamente ligados aos principais fornecedores a começar em cerca de 0,06 USD. Como os utilizadores de produtos digitais estão frequentemente localizados em diferentes países, a compra de vários planos de SMS aumentará as despesas. De acordo com as nossas informações, isto mostra quão rapidamente os custos de envio apenas de mensagens de autenticação podem disparar e porque é que a autenticação baseada em SMS custa a uma empresa líder de e-commerce 12 milhões de USD por ano. Obviamente, pode oferecer autenticação baseada em SMS apenas para os principais países-alvo e, assim, poupar dinheiro, mas isso é apenas uma gota no oceano e também impactaria negativamente a experiência do utilizador para alguns utilizadores.

A maioria dos custos de manutenção está normalmente coberta pelos preços das transações. Estes incluem despesas relacionadas com a capacitação dos fornecedores para gerir grandes volumes de SMS, facilitar a entrega internacional de SMS a vários MNOs, implementar medidas de segurança essenciais e garantir a conformidade com os regulamentos. No entanto, podem surgir despesas adicionais para a empresa, como a gestão das relações com o fornecedor de SMS, o fornecimento de apoio ao utilizador e a alocação de recursos para lidar com tempo de inatividade e problemas técnicos.

No contexto da autenticação baseada em SMS, isto refere-se à entrega consistente e atempada do SMS e à acessibilidade ininterrupta do sistema de autenticação pelo código de autenticação enviado. Dependendo da infraestrutura local, atrasos na entrega de mensagens, congestionamento da rede e potenciais tempos de inatividade do sistema podem impedir a receção imediata dos códigos de autenticação. Isto pode causar frustração no utilizador e dificultar o processo de autenticação.

Um aspeto chave a considerar é a variação da facilidade de utilização entre diferentes plataformas. A autenticação baseada em SMS funciona excelentemente em dispositivos móveis devido à função de preenchimento automático que facilita a inserção do código de autenticação. Por outro lado, nos desktops, é necessário usar um dispositivo adicional, o seu telemóvel, para inserir o código de autenticação manualmente, resultando numa experiência menos intuitiva e conveniente. Como mencionado anteriormente, a experiência do utilizador também sofre quando ocorrem ataques de fraude ou surgem problemas na entrega de SMS e na recuperação do código de autenticação.

Até agora, as passkeys têm sido vistas principalmente como a alternativa sem palavra-passe apenas para as palavras-passe.

Além disso, como as passkeys fornecem uma funcionalidade de 2FA integrada, servem como uma alternativa às palavras-passe e a qualquer tipo de autenticação baseada em SMS. Isto melhora a segurança e evita os desafios de experiência do utilizador colocados pelos códigos de acesso de utilização única baseados em SMS. Ao substituir as mensagens de autenticação, as passkeys trazem benefícios substanciais que eliminam eficazmente as desvantagens da autenticação baseada em SMS.

Ao contrário da autenticação baseada em SMS, que pode ser suscetível a interceção e manipulação, as passkeys oferecem proteção robusta contra todas as formas de ataques fraudulentos devido ao uso de uma infraestrutura de chave pública. Isto garante que, mesmo que ocorra uma violação do servidor, as contas dos utilizadores permanecem protegidas, pois a chave privada essencial permanece segura no dispositivo do utilizador, incorporada no sistema operativo. Adicionalmente, a vinculação das passkeys ao serviço online específico registado é uma contramedida contra tentativas de phishing, tornando as passkeys o método de autenticação mais seguro atualmente disponível.

Semelhante à autenticação baseada em SMS, existem custos associados à implementação de passkeys. Embora seja possível lidar com a implementação internamente, o foco na autenticação segura leva frequentemente a uma preferência por especialistas. A sua experiência tem um custo que é uma fração dos custos internos e alinha-se com o que os fornecedores de autenticação baseada em SMS cobram pela implementação. Do ponto de vista dos custos, a vantagem significativa de investir em passkeys é a eliminação da necessidade de enviar SMS para login e registo. Em vez disso, os utilizadores podem fazer login de forma segura usando o Face ID ou o Touch ID. Isto não só resulta em potenciais poupanças de milhões em custos de autenticação anualmente (especialmente para grandes empresas orientadas para o consumidor), mas também erradica todos os desafios que podem surgir ao enviar e receber SMS.

Para verificar os números de telefone dos utilizadores, muitas vezes necessário para fins de marketing ou outras comunicações, enviar um SMS inicial com um código de acesso de utilização única continua a ser uma opção. Isto permite que o SMS funcione em paralelo com as passkeys. Adicionalmente, o SMS pode servir como um método de recurso. A distinção chave entre ambos os cenários e a autenticação tradicional baseada em SMS é que os SMS são enviados apenas ocasionalmente, em vez de serem enviados a cada tentativa de login.

A adoção da biometria (por exemplo, Face ID, Touch ID, Windows Hello) para desbloquear telemóveis e dispositivos de desktop tornou-se rapidamente comum entre os utilizadores. As passkeys agora estendem esta experiência familiar ao desbloqueio de contas. Dado que a maioria dos telemóveis e dispositivos de desktop já está preparada para passkeys, oferecem uma substituição direta para a autenticação baseada em SMS. Com leituras locais de impressão digital ou facial do dispositivo, o requisito de um dispositivo secundário, como ainda é necessário para a autenticação por SMS baseada em portátil, é eliminado. Esta melhoria substancial simplifica a experiência do utilizador e torna o login na conta fácil. Outra característica única das passkeys é a Conditional UI. Esta funcionalidade melhora a conveniência do utilizador ao sugerir e preencher automaticamente as passkeys guardadas quando os utilizadores interagem com o campo de inserção do nome de utilizador. Isto elimina a necessidade de procurar manualmente as credenciais, incluindo nomes de utilizador, pois estas já estão armazenadas de forma segura no dispositivo ou navegador e são preenchidas automaticamente.

A transição para a autenticação baseada em passkeys não se trata apenas de uma experiência de login mais suave e de uma melhor (MFA resistente a phishing). As passkeys também podem poupar custos substanciais de OTP por SMS se duas coisas forem alcançadas:

• uma alta taxa de adoção de passkeys
• uma alta taxa de login com passkeys

A tecnologia de passkeys e o design inteligente da Corbado focam-se na otimização de ambos os aspetos para proporcionar grandes poupanças nos custos de SMS. Conseguimos uma poupança de custos de até 90% com taxas de adoção de passkeys 10x mais altas em comparação com as soluções tradicionais DIY. Vejamos como.

O primeiro passo é converter os utilizadores existentes em utilizadores de passkeys, permitindo-lhes criar passkeys nas definições da conta. No entanto, isto por si só não é suficiente para aumentar as taxas de adoção de passkeys entre a base de utilizadores existente. A Corbado oferece várias soluções:

• Inscrição Automática Progressiva: O nosso motor de passkey intelligence foi concebido para otimizar o processo de inscrição de passkeys, guiando os utilizadores através da adoção de passkeys de uma forma suave e sem atritos sempre que possível (por exemplo, durante o login com métodos de autenticação tradicionais). Esta abordagem proativa garante que os utilizadores não se sintam sobrecarregados ou confusos, reduzindo assim as taxas de abandono e aumentando a adoção geral.
• Criação Automática de Passkey Local: Se os clientes fizerem login através de Autenticação Entre Dispositivos, é-lhes oferecida a opção de criar uma passkey local no ambiente que estão a usar atualmente, aumentando a adoção de passkeys em todos os seus dispositivos. Em situações em que o dispositivo de desktop atual não oferece um autenticador de plataforma para criar uma passkey, pode ser empregada uma estratégia mobile-first para criar uma passkey num telemóvel.
• Atualização Automática para Passkey: O motor de decisão da Corbado facilita uma atualização automática para passkeys para os utilizadores, aumentando significativamente as taxas de adoção sem exigir a participação ativa do utilizador. Esta transição suave é alimentada pelo nosso motor de decisão de passkey intelligence, que funciona automaticamente em dispositivos iOS 18+ (e mais se seguirão).

Asseguramos que mais utilizadores adotem passkeys sem esforço, alcançando taxas de adoção 10x mais altas do que as implementações de passkeys 'faça você mesmo'.

O segundo passo importante é acionar os logins com passkeys sempre que possível e incentivar ativamente a reutilização de passkeys existentes.

• Abordagem Identifier-First: Iniciar o processo de login pedindo apenas um identificador (por exemplo, endereço de email) e depois determinar automaticamente se um login com passkey é possível simplifica a UX e incentiva um maior uso de passkeys. Este método reduz os passos necessários para os utilizadores fazerem login, tornando o processo mais rápido e intuitivo do que oferecer um botão separado "Iniciar sessão com Passkey", que os consumidores frequentemente ignoram.
• Autenticação Entre Dispositivos e Login com Passkey de Um Toque: A Corbado recorre automaticamente à Autenticação Entre Dispositivos da WebAuthn quando não há uma passkey local disponível. Adicionalmente, uma vez que um login com passkey tenha sido registado num dispositivo, o campo de identificador do utilizador é automaticamente convertido num botão de Login com Passkey de um toque, tornando o login ainda mais fluido.

A abordagem inovadora da Corbado para maximizar as taxas de adoção e de login com passkeys oferece vantagens significativas sobre as abordagens DIY. Ao alavancar este design inteligente, garantimos que os utilizadores não só integram, mas também adotam ativamente as passkeys, resultando em taxas de adoção e de login até 10x mais altas. Esta mudança não só melhora a segurança e a experiência do utilizador, mas também proporciona poupanças de custos substanciais, particularmente ao reduzir as despesas com OTP por SMS em até 90%. Na próxima era das passkeys, onde a autenticação eficiente e segura é importante, a Corbado destaca-se como líder na promoção tanto da adoção como da relação custo-eficácia.

Em resumo, as passkeys oferecem uma solução prática para lidar com as desvantagens da autenticação baseada em SMS. Proporcionam segurança robusta, economia e uma ótima experiência do utilizador, tornando-as uma substituição inteligente. Com tecnologia biométrica e funcionalidades fáceis de usar como a Conditional UI, as passkeys tornam a segurança fluida e a experiência do utilizador suave em todas as plataformas. Para as empresas que procuram melhorar o seu jogo de autenticação, a solução de passkeys da Corbado é uma forma simples de aumentar a segurança, cortar custos e deixar para trás os desafios da autenticação baseada em SMS. Contacte-nos para uma solução de autenticação com passkeys à medida para a sua configuração de OTP por SMS / 2FA.