Как сократить расходы на SMS с помощью Passkeys

После заявления X о прекращении поддержки двухфакторной аутентификации (2FA) по SMS для пользователей, не подписанных на Twitter Blue, с 20 марта 2023 года в ответ на злоупотребления со стороны мошенников, возникают вопросы о других потенциальных недостатках аутентификации по SMS.

Несмотря на широкое распространение этого метода (как однофакторного, так и двухфакторного) в компаниях для обеспечения лучшей защиты аккаунтов пользователей, он часто имеет больше недостатков, чем просто проблемы с безопасностью.

В этой статье мы рассмотрим эти недостатки, включая мошенничество и проблемы со стоимостью, надежностью и пользовательским опытом. Для их решения можно использовать Passkeys — новый стандарт беспарольной аутентификации, который во многих аспектах превосходит методы аутентификации по SMS.

Учитывая потенциал Passkeys как замены, мы в Corbado предлагаем готовое решение, которое поможет сделать интернет безопаснее и немедленно сэкономить вашему бизнесу огромные средства, связанные с SMS.

Прежде чем мы рассмотрим недостатки аутентификации по SMS, важно понять ее основную концепцию. Аутентификация по SMS бывает двух основных типов:

• Однофакторная аутентификация
• Двухфакторная аутентификация

Первый тип включает такие методы, как одноразовые пароли (OTP), отправляемые по SMS, что является альтернативой традиционным паролям для входа в систему. Второй тип использует двухэтапный процесс для обеспечения защиты 2FA. Пользователи сначала регистрируются/входят в систему с помощью своего имени пользователя/электронной почты и пароля, а затем подтверждают действие с помощью одноразового пароля, отправленного на их мобильный телефон по SMS.

Давайте углубимся в недостатки аутентификации по SMS, рассмотрев различные формы мошенничества, связанные с этим методом входа, а также проблемы с надежностью, пользовательским опытом и финансовыми затратами на внедрение, эксплуатацию и поддержку этой технологии.

SMS были изобретены более 20 лет назад и с тех пор не получали серьезных обновлений безопасности. Именно поэтому мошенничество с SMS является огромной проблемой.

При аутентификации по SMS, когда пользователь запрашивает код или ссылку, сервис-провайдер отправляет их на номер мобильного телефона пользователя. Накачка SMS-трафика использует этот процесс, отправляя огромный объем нежелательных и часто мошеннических SMS на определенный номер телефона.

Мошенники, использующие схемы накачки SMS-трафика, эксплуатируют соглашения о разделении доходов между операторами мобильной связи (ОМС) и поставщиками услуг обмена сообщениями. Их цель — искусственно увеличить SMS-трафик и получить более высокий доход, поскольку поставщики услуг обмена сообщениями платят ОМС за доставку каждого сообщения. Как отметил текущий сотрудник Stytch на Hacker News, ОМС здесь сотрудничают с хакерами, разделяя доходы. Хотя определенные превентивные меры, такие как отключение номеров телефонов от получения SMS (гео-разрешения), внедрение ограничений по частоте запросов и обнаружение ботов, могут помочь смягчить накачку SMS-трафика, полностью исключить злоупотребления практически невозможно из-за особенностей процесса отправки.

В результате компании и поставщики услуг часто несут значительные расходы из-за всплеска входящих сообщений. Commsrisk сообщает, что только Twitter терял невероятные 60 миллионов долларов США в год из-за накачки SMS-трафика. Кроме того, легитимные пользователи могут сталкиваться с задержками в получении своих кодов аутентификации или ссылок.

При этом виде мошенничества злоумышленники эксплуатируют уязвимости в инфраструктуре ОМС, чтобы перенести номер мобильного телефона жертвы на новую SIM-карту. Таким образом, злоумышленники получают контроль над номером телефона жертвы, что позволяет им перехватывать входящие SMS-сообщения, включая коды аутентификации или ссылки. Получив контроль над номером телефона пользователя, они могут обойти процесс аутентификации и получить несанкционированный доступ к его аккаунтам на различных платформах. SIM-свопинг трудно обнаружить. Злоумышленники часто используют социальную инженерию, чтобы обмануть службу поддержки ОМС и перенести номер жертвы на новую SIM-карту. Поскольку компании, чьи пользователи пострадали, часто остаются в неведении, атаки SIM-свопинга обычно приводят к утечкам данных, финансовым потерям и ущербу для репутации компании.

SMS — это дорого, и пока нет явной тенденции к снижению цен на них.

Для внедрения аутентификации по SMS есть два варианта. Можно либо создать и поддерживать собственную систему, либо использовать внешнее решение для аутентификации. Хотя возможен и смешанный подход, для простоты рекомендуется второй вариант. Согласно опросу Messente, создание собственной системы 2FA только на основе SMS может легко обойтись в пятизначную сумму. Вот почему выбор внешнего решения, которое обычно дешевле, часто является лучшей идеей.

Поскольку отправка SMS-сообщений для аутентификации пользователям очень сложна, почти каждая компания обращается к опытному провайдеру. Его услуги влекут за собой транзакционные издержки, которые варьируются в зависимости от выбранного провайдера. Эти затраты зависят от таких факторов, как:

• количество отправленных SMS
• страны назначения, в которые отправляются SMS
• дополнительные функции.

Некоторые провайдеры могут взимать дополнительную плату за успешную аутентификацию по SMS, хотя часто это уже включено в общую стоимость. По данным miniOrange, транзакционные цены обычно варьируются от 0,01 до 0,20 доллара США за SMS, при этом высококачественные SMS-сервисы, напрямую связанные с крупными провайдерами, начинаются примерно с 0,06 доллара США. Поскольку пользователи цифровых продуктов часто находятся в разных странах, покупка различных тарифных планов SMS увеличит расходы. По нашей информации, это показывает, как быстро могут взлететь затраты только на отправку сообщений для аутентификации и почему аутентификация по SMS обходится ведущей компании в сфере e-commerce в 12 миллионов долларов США в год. Очевидно, можно предлагать аутентификацию по SMS только для ключевых целевых стран и тем самым экономить деньги, но это лишь капля в море и также негативно скажется на пользовательском опыте для некоторых пользователей.

Большинство затрат на обслуживание обычно покрываются транзакционными ценами. Сюда входят расходы, связанные с управлением большими объемами SMS, обеспечением международной доставки SMS различным ОМС, внедрением необходимых мер безопасности и соблюдением нормативных требований. Однако у компании могут возникнуть дополнительные расходы, такие как управление отношениями с поставщиком SMS, предоставление поддержки пользователям и выделение ресурсов для устранения простоев и технических проблем.

В контексте аутентификации по SMS это относится к последовательной и своевременной доставке SMS и бесперебойной доступности системы аутентификации по отправленному коду. В зависимости от местной инфраструктуры, задержки в доставке сообщений, перегрузка сети и возможные простои системы могут препятствовать своевременному получению кодов аутентификации. Это может вызывать разочарование у пользователей и мешать процессу аутентификации.

Один из ключевых аспектов, который следует учитывать, — это разное удобство использования на разных платформах. Аутентификация по SMS отлично работает на мобильных устройствах благодаря функции автозаполнения, которая упрощает ввод кода. Напротив, на настольных компьютерах приходится использовать дополнительное устройство — мобильный телефон, чтобы вручную ввести код аутентификации, что делает процесс менее интуитивным и удобным. Как уже упоминалось, пользовательский опыт также страдает при мошеннических атаках или при возникновении проблем с доставкой SMS и получением кода аутентификации.

До сих пор Passkeys в основном воспринимались как беспарольная альтернатива только паролям.

Более того, поскольку Passkeys имеют встроенную функциональность 2FA, они служат альтернативой паролям и любому типу аутентификации по SMS. Это повышает безопасность и позволяет избежать проблем с пользовательским опытом, связанных с одноразовыми паролями по SMS. Заменяя сообщения для аутентификации, Passkeys приносят существенные преимущества, которые эффективно устраняют недостатки аутентификации по SMS.

В отличие от аутентификации по SMS, которая может быть подвержена перехвату и манипуляциям, Passkeys обеспечивают надежную защиту от всех форм мошеннических атак благодаря использованию инфраструктуры открытых ключей. Это гарантирует, что даже в случае взлома сервера учетные записи пользователей остаются защищенными, поскольку необходимый приватный ключ надежно хранится на устройстве пользователя, встроенный в операционную систему. Кроме того, привязка Passkeys к конкретному зарегистрированному онлайн-сервису является контрмерой против попыток фишинга, что делает Passkeys самым безопасным методом аутентификации на сегодняшний день.

Как и в случае с аутентификацией по SMS, с внедрением Passkeys связаны определенные затраты. Хотя можно справиться с внедрением самостоятельно, для обеспечения безопасной аутентификации часто предпочитают обращаться к специалистам. Их опыт обходится в долю от затрат на собственную разработку и сопоставим с тем, что провайдеры аутентификации по SMS берут за внедрение. С точки зрения затрат, значительным преимуществом инвестиций в Passkeys является устранение необходимости отправлять SMS для входа и регистрации. Вместо этого пользователи могут безопасно входить в систему с помощью Face ID или Touch ID. Это не только приводит к потенциальной экономии миллионов на аутентификации ежегодно (особенно для крупных компаний, ориентированных на потребителей), но и устраняет все проблемы, которые могут возникнуть при отправке и получении SMS.

Для верификации номеров телефонов пользователей, что часто требуется для маркетинговых или других коммуникационных целей, остается возможность отправить начальное SMS с одноразовым паролем. Это позволяет использовать SMS параллельно с Passkeys. Кроме того, SMS могут служить резервным методом. Ключевое различие между обоими сценариями и традиционной аутентификацией по SMS заключается в том, что SMS отправляются лишь изредка, а не при каждой попытке входа.

Использование биометрии (например, Face ID, Touch ID, Windows Hello) для разблокировки телефонов и настольных устройств быстро стало обычным делом для пользователей. Теперь Passkeys расширяют этот привычный опыт на разблокировку аккаунтов. Учитывая, что большинство мобильных телефонов и настольных устройств уже готовы к использованию Passkeys, они предлагают полноценную замену аутентификации по SMS. Благодаря локальному сканированию отпечатка пальца или лица с устройства, отпадает необходимость во втором устройстве, как это все еще требуется для аутентификации по SMS на ноутбуке. Это существенное улучшение упрощает пользовательский опыт и делает вход в аккаунт легким. Еще одна уникальная особенность Passkeys — это условный интерфейс (Conditional UI). Эта функция повышает удобство пользователя, автоматически предлагая и предварительно заполняя сохраненные Passkeys, когда пользователи взаимодействуют с полем ввода имени пользователя. Это избавляет от необходимости вручную искать учетные данные, включая имена пользователей, поскольку они уже надежно хранятся на устройстве или в браузере и автоматически подставляются.

Переход на аутентификацию с помощью Passkeys — это не только более удобный вход в систему и лучшая (устойчивая к фишингу) MFA. Passkeys также могут сэкономить значительные расходы на SMS OTP, если достигнуты две цели:

• высокий уровень внедрения Passkeys
• высокая частота входов с помощью Passkeys

Технология Passkeys и интеллектуальный дизайн Corbado нацелены на оптимизацию обоих этих аспектов для обеспечения высокой экономии на SMS. Мы достигаем до 90% экономии затрат при 10-кратном увеличении уровня внедрения Passkeys по сравнению с традиционными решениями «сделай сам». Давайте посмотрим, как.

Первый шаг — это перевод существующих пользователей на Passkeys, позволяя им создавать их в настройках аккаунта. Однако одного этого недостаточно для повышения уровня внедрения Passkeys среди существующей базы пользователей. Corbado предлагает несколько решений:

• Прогрессивная автоматическая регистрация: Наш движок passkey intelligence разработан для оптимизации процесса создания Passkeys, плавно и без лишних усилий направляя пользователей к внедрению Passkeys при любой возможности (например, во время входа с использованием традиционных методов аутентификации). Этот проактивный подход гарантирует, что пользователи не будут перегружены или сбиты с толку, что снижает процент отказов и увеличивает общее внедрение.
• Автоматическое создание локального Passkey: Если клиенты входят в систему через аутентификацию на разных устройствах, им предлагается создать локальный Passkey в среде, которую они используют в данный момент, что увеличивает внедрение Passkeys на всех их устройствах. В ситуациях, когда текущее настольное устройство не предлагает платформенный аутентификатор для создания Passkey, можно использовать стратегию «сначала мобильные», чтобы создать Passkey на мобильном телефоне.
• Автоматическое обновление до Passkey: Движок принятия решений Corbado способствует автоматическому обновлению до Passkeys для пользователей, значительно увеличивая уровень внедрения без необходимости активного участия пользователя. Этот бесшовный переход обеспечивается нашим движком passkey intelligence, который автоматически работает на устройствах с iOS 18 и выше (и это только начало).

Мы гарантируем, что больше пользователей легко перейдут на Passkeys, достигая уровня внедрения в 10 раз выше, чем при самостоятельной реализации Passkeys.

Второй важный шаг — инициировать вход с помощью Passkeys при любой возможности и активно поощрять повторное использование существующих Passkeys.

• Подход «сначала идентификатор»: Начало процесса входа с запроса только идентификатора (например, адреса электронной почты), а затем автоматическое определение возможности входа с помощью Passkey упрощает UX и способствует более частому использованию Passkeys. Этот метод сокращает количество шагов, необходимых пользователям для входа, делая процесс быстрее и интуитивнее, чем предложение отдельной кнопки «Войти с помощью Passkey», которую потребители часто игнорируют.
• Аутентификация на разных устройствах и вход с помощью Passkey в одно касание: Corbado автоматически переключается на аутентификацию WebAuthn на разных устройствах, если локальный Passkey недоступен. Кроме того, как только вход с помощью Passkey был зафиксирован на устройстве, поле идентификатора пользователя автоматически преобразуется в кнопку входа с помощью Passkey в одно касание, делая вход еще более бесшовным.

Инновационный подход Corbado к максимизации внедрения и частоты входов с помощью Passkeys предлагает значительные преимущества по сравнению с подходами «сделай сам». Используя этот интеллектуальный дизайн, мы гарантируем, что пользователи не только интегрируют, но и активно используют Passkeys, что приводит к 10-кратному увеличению уровня внедрения и частоты входов. Этот переход не только повышает безопасность и улучшает пользовательский опыт, но и обеспечивает существенную экономию средств, в частности, за счет сокращения расходов на SMS OTP до 90%. В наступающую эру Passkeys, где важна эффективная и безопасная аутентификация, Corbado выделяется как лидер в продвижении как внедрения, так и экономической эффективности.

Подводя итог, Passkeys предлагают практическое решение для устранения недостатков аутентификации по SMS. Они обеспечивают надежную безопасность, экономическую эффективность и высокий уровень пользовательского опыта, что делает их разумной заменой. Благодаря биометрическим технологиям и удобным функциям, таким как условный интерфейс (Conditional UI), Passkeys делают безопасность бесшовной, а пользовательский опыт — гладким на всех платформах. Для компаний, стремящихся улучшить свою систему аутентификации, решение Passkeys от Corbado — это простой способ повысить безопасность, сократить расходы и оставить позади проблемы аутентификации по SMS. Свяжитесь с нами для получения индивидуального решения по аутентификации с помощью Passkeys для вашей системы SMS OTP / 2FA.