Как сократить расходы на SMS с помощью ключей доступа

1. Введение#

После объявления X о прекращении поддержки двухфакторной аутентификации (2FA) на основе SMS для пользователей без подписки Twitter Blue с 20 марта 2023 года в ответ на злоупотребления мошенниками, возникают вопросы о других потенциальных недостатках аутентификации по SMS.

Несмотря на широкое распространение среди компаний в целом (однофакторной и двухфакторной) для обеспечения лучшей защиты учетных записей пользователей, этот метод аутентификации часто имеет и другие недостатки помимо проблем с безопасностью.

В этой статье мы рассмотрим эти недостатки, включая мошенничество и проблемы с затратами, надежностью и пользовательским опытом. Для их устранения в качестве нового стандарта беспарольной аутентификации можно использовать ключи доступа, которые во многих аспектах превосходят методы аутентификации на основе SMS.

В свете потенциальной замены на ключи доступа мы в Corbado предлагаем готовое решение для ключей доступа, чтобы сделать Интернет безопасным местом и сразу же сэкономить вашему бизнесу огромные расходы, связанные с SMS.

2. Что такое аутентификация на основе SMS?#

Прежде чем мы рассмотрим недостатки аутентификации на основе SMS, важно понять ее фундаментальную концепцию. Аутентификация на основе SMS включает два основных типа:

• Однофакторная аутентификация
• Двухфакторная аутентификация

Первый тип включает такие методы, как одноразовые пароли (OTP), отправляемые по SMS, что является альтернативой традиционным паролям. Второй использует двухэтапный процесс для обеспечения защиты 2FA. Сначала пользователи регистрируются/входят с помощью имени пользователя/электронной почты и пароля, а затем подтверждают регистрацию/вход с помощью одноразового пароля, отправленного на их мобильные телефоны по SMS.

3. Недостатки аутентификации на основе SMS#

Давайте глубже погрузимся в недостатки аутентификации на основе SMS, пролив свет на различные формы мошенничества, связанные с этим методом входа, и выявив проблемы с надежностью, пользовательским опытом и финансовыми затратами, возникающими при внедрении, эксплуатации и обслуживании этой технологии аутентификации.

3.1 Мошенничество: SMS используются для взлома учетных записей пользователей#

SMS были изобретены более 20 лет назад и с тех пор не получали серьезных обновлений безопасности. Именно поэтому мошенничество с SMS является огромной проблемой.

3.1.1 Накрутка SMS-трафика#

При аутентификации на основе SMS, когда пользователь запрашивает код аутентификации или ссылку по SMS, поставщик услуг отправляет их на номер мобильного телефона пользователя через SMS-сообщение. Накрутка SMS-трафика использует этот процесс, отправляя огромный объем нежелательных и часто мошеннических SMS-сообщений на определенный номер телефона.

Мошенники, использующие схемы накрутки SMS-трафика, эксплуатируют соглашения о распределении доходов между операторами мобильной связи (MNO) и поставщиками услуг обмена сообщениями. Они стремятся искусственно увеличить SMS-трафик и получить более высокие доходы для себя, поскольку поставщики услуг обмена сообщениями платят MNO комиссию за доставку каждого сообщения. Как отметил действующий сотрудник Stytch на Hacker News, MNO сотрудничают с хакером, распределяя здесь доходы. Хотя определенные превентивные меры, такие как отключение получения SMS на номера телефонов (гео-разрешения), внедрение ограничений скорости и обнаружение ботов, могут помочь смягчить накрутку SMS-трафика, полное устранение злоупотреблений практически невозможно из-за конструкции процесса отправки.

В результате предприятия и поставщики услуг часто сталкиваются со значительными расходами из-за всплеска входящих сообщений. По данным Commsrisk, только Twitter терял невероятные 60 миллионов долларов США ежегодно из-за накрутки SMS-трафика. Кроме того, легитимные пользователи могут столкнуться с задержками в получении кодов аутентификации или ссылок.

3.1.2 Подмена SIM-карты#

При этом типе мошенничества злоумышленники используют уязвимости в инфраструктуре MNO для переноса номера мобильного телефона жертвы на новую SIM-карту. Таким образом, злоумышленники получают контроль над номером телефона жертвы, что позволяет им перехватывать входящие SMS-сообщения, включая коды аутентификации или ссылки. Получив контроль над номером телефона пользователя, они могут обойти процесс аутентификации и получить несанкционированный доступ к их учетным записям на различных платформах. Подмену SIM-карты сложно обнаружить. Злоумышленники часто используют социальную инженерию, чтобы обмануть службу поддержки MNO, что позволяет им перенести номер жертвы на новую SIM-карту. Поскольку компании с затронутыми пользователями часто остаются в неведении, атаки с подменой SIM-карт обычно приводят к утечке данных, финансовым потерям и ущербу репутации компании.

3.2 Затраты#

SMS стоят дорого, и не наблюдается реальной тенденции к снижению цен на них.

3.2.1 Внедрение аутентификации на основе SMS стоит дорого#

Для аутентификации на основе SMS есть два варианта реализации. Вы можете либо создать и поддерживать собственную систему, либо использовать внешнее решение для аутентификации. Хотя возможен смешанный подход, второй вариант рекомендуется для простоты. Согласно опросу Messente, создание собственного решения 2FA на основе SMS может легко обойтись в пятизначную сумму. Вот почему выбор внешнего решения, которое обычно дешевле, часто является лучшей идеей.

3.2.2 Эксплуатация: каждое отправленное SMS может стоить до 20 центов#

Поскольку отправка SMS-сообщений для аутентификации пользователям очень сложна, почти каждая компания работает с опытным провайдером. Их услуги влекут за собой транзакционные издержки, которые варьируются в зависимости от выбранного провайдера. Эти затраты зависят от таких факторов, как:

• количество отправленных SMS
• страны назначения, в которые отправляются SMS
• дополнительные функции.

Некоторые провайдеры могут взимать дополнительную плату за успешную аутентификацию через SMS, хотя это часто включено в общую цену. По данным miniOrange, транзакционные цены обычно варьируются от 0,01 до 0,20 доллара США за SMS, при этом качественные услуги SMS, напрямую связанные с крупными провайдерами, начинаются примерно с 0,06 доллара США. Поскольку пользователи цифровых продуктов часто находятся в разных странах, покупка различных тарифных планов на SMS увеличит расходы. По нашей информации, это показывает, как быстро затраты только на отправку сообщений для аутентификации могут взлететь до небес, и почему аутентификация на основе SMS обходится ведущей компании в сфере электронной коммерции в 12 миллионов долларов США в год. Очевидно, что вы можете предлагать аутентификацию на основе SMS только для ключевых целевых стран и тем самым сэкономить деньги, но это лишь капля в море, а также негативно повлияет на пользовательский опыт некоторых пользователей.

3.2.3 Обслуживание: поддержание системы в актуальном состоянии влечет дополнительные расходы#

Большая часть расходов на техническое обслуживание обычно покрывается транзакционными ценами. К ним относятся расходы, связанные с предоставлением провайдерам возможности управлять большими объемами SMS, облегчением международной доставки SMS различным MNO, внедрением основных мер безопасности и обеспечением соблюдения нормативных требований. Однако для компании могут возникнуть дополнительные расходы, такие как управление отношениями с поставщиком SMS, обеспечение поддержки пользователей и выделение ресурсов для устранения простоев и технических проблем.

3.3 Надежность: SMS могут потеряться#

В контексте аутентификации на основе SMS это означает стабильную и своевременную доставку SMS и бесперебойную доступность системы аутентификации с помощью отправленного кода аутентификации. В зависимости от местной инфраструктуры задержки в доставке сообщений, перегрузка сети и потенциальные простои системы могут препятствовать быстрому получению кодов аутентификации. Это может вызвать разочарование пользователей и препятствовать процессу аутентификации.

3.4 Пользовательский опыт: опыт на настольных компьютерах хуже#

Один из ключевых аспектов, который следует учитывать, — это разная степень удобства использования на различных платформах. Аутентификация на основе SMS отлично работает на мобильных устройствах благодаря функции автозаполнения, которая упрощает ввод кода аутентификации. И наоборот, на настольных компьютерах вы должны использовать дополнительное устройство — мобильный телефон, чтобы ввести код аутентификации вручную, что приводит к менее интуитивному и удобному опыту. Как упоминалось ранее, пользовательский опыт также страдает в случае мошеннических атак или возникновения проблем с доставкой SMS и извлечением кода аутентификации.

4. Ключи доступа как замена аутентификации на основе SMS#

До сих пор ключи доступа в основном воспринимались как беспарольная альтернатива только паролям.

Более того, поскольку ключи доступа обеспечивают встроенную функциональность 2FA, они служат альтернативой паролям и любому типу аутентификации на основе SMS. Это повышает безопасность и позволяет избежать проблем с пользовательским опытом, связанных с одноразовыми паролями по SMS. Заменяя сообщения для аутентификации, ключи доступа приносят существенные преимущества, которые эффективно устраняют недостатки аутентификации на основе SMS.

4.1 MFA, устойчивая к фишингу, и надежная безопасность#

В отличие от аутентификации на основе SMS, которая может быть подвержена перехвату и манипуляциям, ключи доступа обеспечивают надежную защиту от всех форм мошеннических атак благодаря использованию инфраструктуры открытых ключей. Это гарантирует, что даже в случае взлома сервера учетные записи пользователей останутся в безопасности, так как важный закрытый ключ надежно хранится в устройстве пользователя, будучи встроенным в операционную систему. Кроме того, привязка ключей доступа к конкретному зарегистрированному онлайн-сервису является мерой противодействия попыткам фишинга, что делает ключи доступа наиболее безопасным методом аутентификации из доступных в настоящее время.

4.2 Избегайте высоких (транзакционных) затрат#

Как и в случае с аутентификацией на основе SMS, внедрение ключей доступа сопряжено с затратами. Хотя внедрением можно заниматься собственными силами, акцент на безопасной аутентификации часто приводит к тому, что предпочтение отдается специалистам. Их опыт обходится в долю от внутренних затрат и соответствует тому, что взимают поставщики аутентификации на основе SMS за внедрение. С точки зрения затрат существенным преимуществом инвестиций в ключи доступа является устранение необходимости отправлять SMS для входа и регистрации. Вместо этого пользователи могут безопасно входить в систему, используя Face ID или Touch ID. Это не только приводит к потенциальной экономии миллионов затрат на аутентификацию ежегодно (особенно для крупных компаний, ориентированных на потребителей), но и устраняет все проблемы, которые могут возникнуть при отправке и получении SMS.

Для проверки номеров телефонов пользователей, что часто требуется для маркетинговых или других коммуникационных целей, отправка первоначального SMS с одноразовым паролем остается вариантом. Это позволяет использовать SMS наряду с ключами доступа. Кроме того, SMS может служить резервным методом. Ключевое различие между обоими сценариями и традиционной аутентификацией на основе SMS заключается в том, что SMS отправляются только изредка, а не при каждой попытке входа.

4.3 Удобная аутентификация и улучшенный пользовательский опыт#

Внедрение биометрии (например, Face ID, Touch ID, Windows Hello) для разблокировки телефонов и настольных устройств быстро стало обычным явлением среди пользователей. Ключи доступа теперь распространяют этот знакомый опыт на разблокировку учетных записей. Учитывая, что большинство мобильных телефонов и настольных устройств уже готовы к работе с ключами доступа, они предлагают равноценную замену аутентификации на основе SMS. При использовании локального отпечатка пальца или сканирования лица с устройства отпадает необходимость во втором устройстве, как это все еще требуется для аутентификации по SMS на ноутбуке. Это существенное улучшение упрощает пользовательский опыт и делает вход в учетную запись легким. Еще одной уникальной особенностью ключей доступа является Conditional UI. Эта функция повышает удобство для пользователей, автоматически предлагая и предварительно заполняя сохраненные ключи доступа, когда пользователи взаимодействуют с полем ввода имени пользователя. Это устраняет необходимость ручного поиска учетных данных, включая имена пользователей, так как они уже надежно хранятся в устройстве или браузере и предварительно заполняются автоматически.

5. Как Corbado экономит до 90 % затрат на SMS при 10-кратном увеличении уровня внедрения ключей доступа#

Переход на аутентификацию на основе ключей доступа — это не только более плавный процесс входа и лучшая (устойчивая к фишингу) MFA. Ключи доступа также могут существенно сэкономить затраты на SMS OTP, если достигнуты две цели:

• высокий уровень внедрения ключей доступа
• высокий уровень входа с помощью ключей доступа

Технология ключей доступа Corbado и ее интеллектуальный дизайн направлены на оптимизацию обоих этих аспектов для обеспечения значительной экономии на SMS. Мы добиваемся снижения затрат до 90 % при 10-кратном повышении уровня внедрения ключей доступа по сравнению с традиционными решениями DIY (сделай сам). Давайте посмотрим, как это работает.

5.1 Максимизация уровня внедрения ключей доступа#

Первый шаг — преобразовать существующих пользователей в пользователей ключей доступа, позволив им создавать ключи доступа в настройках учетной записи. Однако этого одного недостаточно для повышения уровня внедрения ключей доступа среди существующей пользовательской базы. Corbado предлагает несколько решений:

• Постепенная автоматическая регистрация: Наша система интеллектуального управления ключами доступа предназначена для оптимизации процесса регистрации ключей доступа, направляя пользователей через внедрение ключей доступа плавно и без трений, когда это возможно (например, во время входа в систему с помощью традиционных методов аутентификации). Этот проактивный подход гарантирует, что пользователи не будут перегружены или сбиты с толку, тем самым снижая процент отказов и повышая общее внедрение.
• Автоматическое создание локальных ключей доступа: Если клиенты входят в систему с помощью межплатформенной аутентификации, им предлагается возможность создать локальный ключ доступа в среде, которую они используют в данный момент, что повышает внедрение ключей доступа на всех их устройствах. В ситуациях, когда текущее настольное устройство не предлагает аутентификатор платформы для создания ключа доступа, можно применить стратегию mobile-first для создания ключа доступа на мобильном телефоне.
• Автоматическое обновление ключей доступа: Система принятия решений Corbado способствует автоматическому переходу пользователей на ключи доступа, что значительно повышает уровень внедрения без необходимости активного участия пользователя. Этот плавный переход обеспечивается нашей системой принятия решений интеллектуального управления ключами доступа, которая автоматически работает на устройствах iOS 18+ (и последующих версиях).

Мы гарантируем, что больше пользователей без труда примут ключи доступа, достигая уровня внедрения в 10 раз выше, чем при самостоятельной реализации ключей доступа.

5.2 Максимизация уровня входа с помощью ключей доступа#

Второй важный шаг — запускать вход с помощью ключей доступа всякий раз, когда это возможно, и активно поощрять повторное использование существующих ключей доступа.

• Подход Identifier-First (Сначала идентификатор): Начало процесса входа в систему с запроса только идентификатора (например, адреса электронной почты) и последующее автоматическое определение возможности входа с помощью ключа доступа упрощает UX и стимулирует более частое использование ключей доступа. Этот метод сокращает количество шагов, необходимых пользователям для входа, делая процесс более быстрым и интуитивно понятным, чем предложение отдельной кнопки «Войти с помощью ключа доступа», которую потребители часто игнорируют.
• Межплатформенная аутентификация и вход с ключом доступа в одно касание (One Tap): Corbado автоматически возвращается к межплатформенной аутентификации WebAuthn (Cross-Device Authentication), когда локальный ключ доступа недоступен. Кроме того, как только вход с помощью ключа доступа был зафиксирован на устройстве, поле идентификатора пользователя автоматически преобразуется в кнопку One Tap Passkey Login, что делает вход в систему еще более удобным.

5.3 Результат: на 90 % меньше затрат на SMS, в 10 раз выше внедрение ключей доступа#

Инновационный подход Corbado к максимизации внедрения ключей доступа и показателей входа в систему предлагает значительные преимущества по сравнению с подходами DIY. Используя этот интеллектуальный дизайн, мы гарантируем, что пользователи не только интегрируют, но и активно внедряют ключи доступа, что приводит к 10-кратному увеличению показателей внедрения и входа в систему. Этот сдвиг не только повышает безопасность и улучшает пользовательский опыт, но и обеспечивает существенную экономию средств, в частности, за счет снижения расходов на SMS OTP до 90 %. В грядущую эру ключей доступа, когда важна эффективная и безопасная аутентификация, Corbado выделяется как лидер в продвижении как внедрения, так и экономической эффективности.

6. Заключение#

Подводя итог, ключи доступа предлагают практичное решение для устранения недостатков аутентификации на основе SMS. Они обеспечивают надежную безопасность, экономичность и высокий пользовательский опыт, что делает их разумной заменой. Благодаря биометрическим технологиям и удобным функциям, таким как Conditional UI, ключи доступа делают безопасность бесшовной, а пользовательский опыт гладким на всех платформах. Для компаний, желающих улучшить свою систему аутентификации, решение Corbado для ключей доступа — это простой способ повысить безопасность, сократить расходы и оставить позади проблемы аутентификации на основе SMS. Свяжитесь с нами для получения индивидуального решения аутентификации с помощью ключей доступа для вашей системы SMS OTP / 2FA.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →