Passkey'ler ile SMS Maliyetlerinizi Nasıl Düşürürsünüz

X'in yaptığı duyurunun ardından, dolandırıcıların SMS tabanlı 2FA kötüye kullanmasına bir yanıt olarak 20 Mart 2023'ten itibaren Twitter Blue kullanıcısı olmayanlar için SMS tabanlı iki faktörlü kimlik doğrulamayı (2FA) durduracağını açıklaması, SMS tabanlı kimlik doğrulamanın diğer potansiyel dezavantajları hakkında soruları gündeme getirdi.

Kullanıcılarına daha iyi hesap koruması sağlamak için şirketler tarafından genel olarak (tek faktörlü ve iki faktörlü) geniş çapta benimsenmesine rağmen, bu kimlik doğrulama yöntemi genellikle güvenlik sorunlarının ötesinde daha fazla dezavantajla birlikte gelir.

Bu makalede, dolandırıcılık ve maliyetler, güvenilirlik ve kullanıcı deneyimi ile ilgili zorluklar da dahil olmak üzere bu dezavantajları inceleyeceğiz. Bunları ele almak için, SMS tabanlı kimlik doğrulama yöntemlerine kıyasla birçok açıdan üstün olan yeni şifresiz standart kimlik doğrulama yöntemi olarak passkey'ler kullanılabilir.

Passkey'lerin potansiyel bir alternatif olarak uygulanması ışığında, Corbado olarak interneti güvenli bir yer haline getirmek ve işletmenizin büyük SMS masraflarından anında tasarruf etmesini sağlamak için tak-çalıştır bir passkey çözümü sunuyoruz.

SMS tabanlı kimlik doğrulamanın dezavantajlarını incelemeden önce, temel konseptini anlamak önemlidir. SMS tabanlı kimlik doğrulama iki ana türden oluşur:

• Tek faktörlü kimlik doğrulama
• İki faktörlü kimlik doğrulama

İlki, SMS yoluyla gönderilen tek kullanımlık şifreler (OTP) gibi yöntemleri içerir ve geleneksel şifrelere şifresiz bir giriş alternatifi sunar. İkincisi ise 2FA koruması sağlamak için iki adımlı bir süreç kullanır. Kullanıcılar önce kullanıcı adları/e-postaları ve şifreleriyle kaydolur/giriş yapar ve ardından cep telefonlarına SMS ile gönderilen tek kullanımlık bir şifre aracılığıyla kayıtlarını/girişlerini onaylarlar.

Bu giriş yöntemiyle ilişkili farklı dolandırıcılık türlerine ışık tutarak ve güvenilirlik, kullanıcı deneyimi ve bu kimlik doğrulama teknolojisinin uygulanması, işletilmesi ve bakımında ortaya çıkan finansal maliyetlerle ilgili zorlukları ortaya çıkararak SMS tabanlı kimlik doğrulamanın dezavantajlarına daha derinlemesine bakalım.

SMS, 20 yıldan daha uzun bir süre önce icat edildi ve o zamandan beri büyük bir güvenlik güncellemesi almadı. Bu yüzden SMS dolandırıcılığı büyük bir sorundur.

SMS tabanlı kimlik doğrulamada, bir kullanıcı SMS yoluyla bir kimlik doğrulama kodu veya bağlantı talep ettiğinde, hizmet sağlayıcı kodu veya bağlantıyı kullanıcının cep telefonu numarasına bir SMS mesajı aracılığıyla gönderir. SMS trafik şişirme, belirli bir telefon numarasına büyük hacimde istenmeyen ve genellikle dolandırıcılık amaçlı SMS mesajları göndererek bu süreçten yararlanır.

SMS trafik şişirme planlarının dolandırıcıları, mobil ağ operatörleri (MNO) ve mesajlaşma hizmeti sağlayıcıları arasındaki gelir paylaşımı anlaşmalarını kötüye kullanır. Mesajlaşma hizmeti sağlayıcıları her mesajın teslimi için MNO'lara bir ücret ödediğinden, SMS trafiğini şişirerek kendileri için daha yüksek gelirler elde etmeyi amaçlarlar. Hacker News'te mevcut bir Stytch çalışanının belirttiği gibi, MNO'lar burada gelirleri paylaşarak hacker ile işbirliği yapar. Telefon numaralarının SMS almasını engelleme (coğrafi izinler), hız limitleri uygulama ve botları tespit etme gibi belirli önleyici tedbirler SMS trafik şişirmeyi azaltmaya yardımcı olsa da, gönderme sürecinin tasarımı nedeniyle kötüye kullanımın tamamen ortadan kaldırılması neredeyse imkansızdır.

Sonuç olarak, işletmeler ve hizmet sağlayıcılar genellikle gelen mesajlardaki artıştan dolayı önemli masraflarla karşı karşıya kalır. Commsrisk, sadece Twitter'ın SMS trafik şişirme nedeniyle yılda 60 milyon dolar gibi inanılmaz bir kayıp yaşadığını söylüyor. Ayrıca, meşru kullanıcılar kimlik doğrulama kodlarını veya bağlantılarını almada gecikmeler yaşayabilir.

Bu tür dolandırıcılıkta, dolandırıcılar MNO altyapısındaki güvenlik açıklarından yararlanarak bir kurbanın cep telefonu numarasını yeni bir SIM karta aktarır. Bunu yaparak, saldırganlar kurbanın telefon numarasının kontrolünü ele geçirir ve kimlik doğrulama kodları veya bağlantıları da dahil olmak üzere gelen SMS mesajlarını ele geçirmelerine olanak tanır. Bir kullanıcının telefon numarasının kontrolünü ele geçirdiklerinde, kimlik doğrulama sürecini atlayabilir ve çeşitli platformlardaki hesaplarına yetkisiz erişim elde edebilirler. SIM takasını tespit etmek zordur. Saldırganlar genellikle MNO müşteri desteğini aldatmak için sosyal mühendislik kullanır ve kurbanın numarasını yeni bir SIM karta aktarmalarını sağlar. İlgili kullanıcıları olan şirketler genellikle durumdan habersiz kaldığından, SIM takası saldırıları genellikle veri ihlallerine, finansal kayıplara ve şirketin itibarının zedelenmesine neden olur.

SMS'ler maliyetlidir ve SMS fiyatlarında bir düşüşe işaret eden gerçek bir eğilim görünmüyor.

SMS tabanlı kimlik doğrulama için iki uygulama seçeneği vardır. Şirket içinde bir sistem kurup bakımını yapabilir veya harici bir kimlik doğrulama çözümü kullanabilirsiniz. Karma bir yaklaşım mümkün olsa da, basitlik için ikinci seçenek önerilir. Bir Messente anketine göre, sadece SMS içeren bir 2FA çözümünü şirket içinde oluşturmak kolayca beş haneli rakamlara mal olabilir. Bu yüzden genellikle daha ucuz olan harici bir çözüme yönelmek daha iyi bir fikirdir.

Kullanıcılara SMS tabanlı kimlik doğrulama mesajları göndermek çok karmaşık olduğundan, neredeyse her şirket deneyimli bir sağlayıcıyla çalışır. Hizmetleri, seçilen sağlayıcıya göre değişen işlem maliyetleri doğurur. Bu maliyetler şu gibi faktörlere bağlıdır:

• gönderilen SMS sayısı
• SMS'in gönderildiği hedef ülkeler
• ek özellikler.

Bazı sağlayıcılar SMS yoluyla başarılı kimlik doğrulama için ek bir ücret talep edebilir, ancak bu genellikle genel fiyata dahildir. miniOrange'a göre, işlem fiyatları genellikle SMS başına 0,01 ila 0,20 ABD doları arasında değişir ve büyük sağlayıcılara doğrudan bağlı yüksek kaliteli SMS hizmetleri yaklaşık 0,06 ABD dolarından başlar. Dijital ürünlerin kullanıcıları genellikle farklı ülkelerde bulunduğundan, çeşitli SMS planları satın almak masrafları artıracaktır. Bizim bilgilerimize göre, bu durum sadece kimlik doğrulama mesajları gönderme maliyetlerinin ne kadar çabuk fırlayabildiğini ve SMS tabanlı kimlik doğrulamanın önde gelen bir e-ticaret şirketine neden yılda 12 milyon dolara mal olduğunu gösteriyor. Açıkçası, SMS tabanlı kimlik doğrulamayı yalnızca kilit hedef ülkeler için sunabilir ve böylece para tasarrufu yapabilirsiniz, ancak bu okyanusta bir damladır ve bazı kullanıcılar için kullanıcı deneyimini de olumsuz etkiler.

Bakım maliyetlerinin büyük bir kısmı genellikle işlem fiyatlarına dahildir. Bunlar, sağlayıcıların büyük SMS hacimlerini yönetmelerini, çeşitli MNO'lara uluslararası SMS teslimatını kolaylaştırmalarını, temel güvenlik önlemlerini uygulamalarını ve düzenlemelere uyumu sağlamalarını sağlayan giderleri içerir. Ancak, SMS sağlayıcısıyla satıcı ilişkilerini yönetme, kullanıcı desteği sağlama ve kesinti ve teknik sorunları gidermek için kaynak ayırma gibi ek masraflar şirket için ortaya çıkabilir.

SMS tabanlı kimlik doğrulama bağlamında bu, SMS'in tutarlı ve zamanında teslim edilmesini ve gönderilen kimlik doğrulama koduyla kimlik doğrulama sistemine kesintisiz erişilebilirliği ifade eder. Yerel altyapıya bağlı olarak, mesaj teslimat gecikmeleri, ağ tıkanıklığı ve potansiyel sistem kesintileri, kimlik doğrulama kodlarının anında alınmasını engelleyebilir. Bu, kullanıcıların hayal kırıklığına uğramasına neden olabilir ve kimlik doğrulama sürecini aksatabilir.

Dikkate alınması gereken önemli bir husus, farklı platformlardaki değişen kullanıcı dostu olma durumudur. SMS tabanlı kimlik doğrulama, kimlik doğrulama kodunun girişini kolaylaştıran otomatik doldurma işlevi sayesinde mobil cihazlarda mükemmel çalışır. Buna karşılık, masaüstü bilgisayarlarda, kimlik doğrulama kodunu manuel olarak girmek için ek bir cihaz olan cep telefonunuzu kullanmanız gerekir, bu da daha az sezgisel ve kullanışlı bir deneyime neden olur. Daha önce de belirtildiği gibi, dolandırıcılık saldırıları meydana geldiğinde veya SMS teslimatı ve kimlik doğrulama kodu alımında sorunlar ortaya çıktığında kullanıcı deneyimi de olumsuz etkilenir.

Şimdiye kadar passkey'ler, çoğunlukla sadece şifrelere şifresiz bir alternatif olarak algılandı.

Dahası, passkey'ler yerleşik bir 2FA işlevselliği sağladığından, şifrelere ve her türlü SMS tabanlı kimlik doğrulamaya bir alternatif olarak hizmet ederler. Bu, güvenliği artırır ve SMS tabanlı tek kullanımlık şifrelerin neden olduğu kullanıcı deneyimi zorluklarını ortadan kaldırır. Kimlik doğrulama mesajlarının yerini alarak, passkey'ler SMS tabanlı kimlik doğrulamanın dezavantajlarını etkili bir şekilde ortadan kaldıran önemli faydalar sağlar.

Ele geçirilmeye ve manipülasyona açık olabilen SMS tabanlı kimlik doğrulamanın aksine, passkey'ler açık anahtar altyapısının kullanılması sayesinde her türlü dolandırıcılık saldırısına karşı güçlü bir koruma sunar. Bu, bir sunucu ihlali meydana gelse bile, gerekli olan özel anahtar kullanıcının cihazında, işletim sistemine gömülü olarak güvende kaldığı için kullanıcı hesaplarının korunmasını sağlar. Ek olarak, passkey'lerin belirli kayıtlı çevrimiçi hizmetle bağlantılı olması, oltalama girişimlerine karşı bir önlemdir ve passkey'leri şu anda mevcut olan en güvenli kimlik doğrulama yöntemi haline getirir.

SMS tabanlı kimlik doğrulamaya benzer şekilde, passkey'leri uygulamanın da maliyetleri vardır. Uygulamayı şirket içinde halletmek mümkün olsa da, güvenli kimlik doğrulamaya odaklanmak genellikle uzmanların tercih edilmesine yol açar. Onların uzmanlığı, şirket içi maliyetlerin çok altında bir fiyata gelir ve SMS tabanlı kimlik doğrulama sağlayıcılarının uygulama için talep ettiği ücretlerle aynı hizadadır. Maliyet açısından bakıldığında, passkey'lere yatırım yapmanın önemli avantajı, oturum açma ve kaydolma için SMS gönderme ihtiyacını ortadan kaldırmasıdır. Bunun yerine, kullanıcılar Face ID veya Touch ID kullanarak güvenli bir şekilde oturum açabilir. Bu, yalnızca kimlik doğrulama için yıllık milyonlarca maliyet tasarrufu sağlamakla kalmaz (özellikle daha büyük tüketici odaklı işletmeler için), aynı zamanda SMS gönderirken ve alırken ortaya çıkabilecek tüm zorlukları da ortadan kaldırır.

Genellikle pazarlama veya diğer iletişim amaçları için gerekli olan kullanıcıların telefon numaralarını doğrulamak için, tek kullanımlık bir şifre içeren bir başlangıç SMS'i göndermek bir seçenek olmaya devam etmektedir. Bu, SMS'in passkey'lerle birlikte çalışmasına olanak tanır. Ek olarak, SMS bir geri dönüş yöntemi olarak hizmet edebilir. Her iki senaryo ile geleneksel SMS tabanlı kimlik doğrulama arasındaki temel fark, SMS'lerin her oturum açma denemesinde gönderilmek yerine yalnızca ara sıra gönderilmesidir.

Biyometrik verilerin (ör. Face ID, Touch ID, Windows Hello) telefonların ve masaüstü cihazların kilidini açmak için kullanılması, kullanıcılar arasında hızla yaygınlaştı. Passkey'ler şimdi bu tanıdık deneyimi hesap kilidini açmaya da taşıyor. Çoğu cep telefonu ve masaüstü cihazın zaten passkey'e hazır olduğu göz önüne alındığında, SMS tabanlı kimlik doğrulama için birebir bir alternatif sunarlar. Cihazdan yerel parmak izi veya yüz taramaları ile, dizüstü bilgisayar tabanlı SMS kimlik doğrulaması için hala gerekli olan ikincil bir cihaza olan ihtiyaç ortadan kalkar. Bu önemli geliştirme, kullanıcı deneyimini basitleştirir ve hesap girişini zahmetsiz hale getirir. Passkey'lerin bir diğer benzersiz özelliği de Conditional UI'dır. Bu özellik, kullanıcılar kullanıcı adı giriş alanıyla etkileşime girdiğinde depolanan passkey'leri otomatik olarak önerip önceden doldurarak kullanıcı rahatlığını artırır. Bu, kullanıcı adları da dahil olmak üzere kimlik bilgilerinin manuel olarak aranması ihtiyacını ortadan kaldırır, çünkü bunlar zaten cihaz veya tarayıcı içinde güvenli bir şekilde saklanır ve otomatik olarak önceden doldurulur.

Passkey tabanlı kimlik doğrulamaya geçiş, sadece daha sorunsuz bir oturum açma kullanıcı deneyimi ve daha iyi (oltalama saldırılarına dayanıklı) MFA ile ilgili değildir. İki şey başarılırsa passkey'ler önemli ölçüde SMS OTP maliyetlerinden tasarruf sağlayabilir:

• yüksek bir passkey benimseme oranı
• yüksek bir passkey ile oturum açma oranı

Corbado'nun passkey teknolojisi ve akıllı tasarımı, yüksek SMS maliyet tasarrufu sağlamak için bu iki unsuru da optimize etmeye odaklanmıştır. Geleneksel kendin yap çözümlerine kıyasla 10 kat daha yüksek passkey benimseme oranları ile %90'a varan maliyet tasarrufu sağlıyoruz. Nasıl olduğuna bakalım.

İlk adım, mevcut kullanıcıların hesap ayarlarında passkey oluşturmalarına izin vererek onları passkey kullanıcılarına dönüştürmektir. Ancak, bu tek başına mevcut kullanıcı tabanı arasında passkey benimseme oranlarını artırmak için yeterli değildir. Corbado birkaç çözüm sunar:

• Aşamalı Otomatik Kayıt: Passkey zeka motorumuz, passkey kayıt sürecini optimize etmek için tasarlanmıştır ve mümkün olduğunda (örneğin geleneksel kimlik doğrulama yöntemleriyle oturum açma sırasında) kullanıcıları sorunsuz ve sürtünmesiz bir şekilde passkey benimsemeye yönlendirir. Bu proaktif yaklaşım, kullanıcıların bunalmamasını veya kafalarının karışmamasını sağlayarak vazgeçme oranlarını düşürür ve genel benimsemeyi artırır.
• Otomatik Yerel Passkey Oluşturma: Müşteriler Cihazlar Arası Kimlik Doğrulama yoluyla oturum açarsa, o anda kullandıkları ortamda yerel bir passkey oluşturma seçeneği sunulur, bu da tüm cihazlarında passkey benimsemesini artırır. Mevcut masaüstü cihazının bir platform kimlik doğrulayıcısı sunmadığı durumlarda, bir mobil telefonda bir passkey oluşturmak için mobil öncelikli bir strateji kullanılabilir.
• Otomatik Passkey Yükseltme: Corbado'nun karar motoru, kullanıcılar için passkey'lere otomatik bir yükseltmeyi kolaylaştırır ve aktif kullanıcı katılımı gerektirmeden benimseme oranlarını önemli ölçüde artırır. Bu sorunsuz geçiş, iOS 18+ cihazlarda (daha fazlası gelecek) otomatik olarak çalışan passkey zeka motorumuz tarafından desteklenmektedir.

Kullanıcıların passkey'leri zahmetsizce benimsemesini sağlayarak, kendin yap passkey uygulamalarına göre 10 kat daha yüksek benimseme oranları elde ediyoruz.

İkinci önemli adım, mümkün olduğunda passkey ile oturum açmayı tetiklemek ve mevcut passkey'lerin yeniden kullanımını aktif olarak teşvik etmektir.

• Önce Tanımlayıcı Yaklaşımı: Oturum açma sürecini yalnızca bir tanımlayıcı (ör. e-posta adresi) isteyerek başlatmak ve ardından bir passkey ile oturum açmanın mümkün olup olmadığını otomatik olarak belirlemek, kullanıcı deneyimini basitleştirir ve daha yüksek passkey kullanımını teşvik eder. Bu yöntem, kullanıcıların oturum açması için gereken adımları azaltır, süreci tüketicilerin sık sık görmezden geldiği ayrı bir "Passkey ile Oturum Aç" düğmesi sunmaktan daha hızlı ve daha sezgisel hale getirir.
• Cihazlar Arası Kimlik Doğrulama ve Tek Dokunuşla Passkey ile Oturum Açma: Corbado, yerel bir passkey bulunmadığında otomatik olarak WebAuthn Cihazlar Arası Kimlik Doğrulamaya geri döner. Ek olarak, bir cihazda bir passkey ile oturum açma kaydedildiğinde, kullanıcı tanımlayıcı alanı otomatik olarak Tek Dokunuşla Passkey ile Oturum Açma düğmesine dönüştürülür, bu da oturum açmayı daha da sorunsuz hale getirir.

Corbado'nun passkey benimseme ve oturum açma oranlarını en üst düzeye çıkarma konusundaki yenilikçi yaklaşımı, kendin yap yaklaşımlarına göre önemli avantajlar sunar. Bu akıllı tasarımdan yararlanarak, kullanıcıların passkey'leri yalnızca entegre etmelerini değil, aynı zamanda aktif olarak benimsemelerini de sağlıyoruz, bu da 10 kata kadar daha yüksek benimseme ve oturum açma oranları ile sonuçlanıyor. Bu geçiş, yalnızca güvenliği ve kullanıcı deneyimini artırmakla kalmaz, aynı zamanda özellikle SMS OTP masraflarını %90'a kadar azaltarak önemli maliyet tasarrufları da sağlar. Verimli ve güvenli kimlik doğrulamanın önemli olduğu yaklaşan passkey çağında, Corbado hem benimsemeyi hem de maliyet etkinliğini artırmada bir lider olarak öne çıkıyor.

Özetlemek gerekirse, passkey'ler SMS tabanlı kimlik doğrulamanın dezavantajlarını gidermek için pratik bir çözüm sunar. Güçlü güvenlik, maliyet etkinliği ve yüksek kullanıcı deneyimi sağlayarak akıllı bir alternatif haline gelirler. Biyometrik teknoloji ve Conditional UI gibi kullanıcı dostu özelliklerle passkey'ler, güvenliği sorunsuz ve kullanıcı deneyimini platformlar arasında akıcı hale getirir. Kimlik doğrulama oyununu bir üst seviyeye taşımak isteyen şirketler için Corbado'nun passkey çözümü, güvenliği artırmanın, maliyetleri düşürmenin ve SMS tabanlı kimlik doğrulamanın zorluklarını geride bırakmanın basit bir yoludur. SMS OTP / 2FA kurulumunuz için size özel bir passkey kimlik doğrulama çözümü için bizimle iletişime geçin.