Làm thế nào để giảm chi phí SMS với Passkey

1. Giới thiệu#

Sau thông báo của X về việc ngừng cung cấp xác thực hai yếu tố (2FA) dựa trên SMS cho những người dùng không thuộc Twitter Blue bắt đầu từ ngày 20 tháng 3 năm 2023 nhằm đối phó với việc những kẻ lừa đảo lạm dụng 2FA dựa trên SMS, nhiều câu hỏi đã được đặt ra về những nhược điểm tiềm ẩn khác của xác thực bằng SMS.

Mặc dù được các công ty áp dụng rộng rãi (xác thực một yếu tố và hai yếu tố) để cung cấp khả năng bảo vệ tài khoản tốt hơn cho người dùng, phương thức xác thực này thường đi kèm với nhiều nhược điểm ngoài các vấn đề về bảo mật.

Trong bài viết này, chúng ta sẽ khám phá những nhược điểm đó, bao gồm gian lận và những thách thức về chi phí, độ tin cậy cũng như trải nghiệm người dùng. Để giải quyết chúng, passkey có thể được sử dụng làm phương thức xác thực tiêu chuẩn không mật khẩu mới, vượt trội hơn về nhiều mặt so với các phương thức xác thực dựa trên SMS.

Trước khả năng thay thế tiềm năng của passkey, Corbado cung cấp một giải pháp passkey cắm-và-chạy (plug-and-play) để làm cho Internet trở thành một nơi an toàn và giúp doanh nghiệp của bạn tiết kiệm những khoản chi phí khổng lồ liên quan đến SMS ngay lập tức.

2. Xác thực dựa trên SMS là gì?#

Trước khi đi sâu vào những nhược điểm của xác thực dựa trên SMS, việc hiểu khái niệm cơ bản của nó là rất cần thiết. Xác thực dựa trên SMS bao gồm hai loại chính:

• Xác thực một yếu tố
• Xác thực hai yếu tố

Loại đầu tiên bao gồm các phương thức như mã truy cập một lần (OTP) được gửi qua SMS, cung cấp một giải pháp thay thế đăng nhập không cần mật khẩu so với mật khẩu truyền thống. Loại thứ hai sử dụng quy trình hai bước để đảm bảo bảo vệ 2FA. Người dùng đăng ký/đăng nhập bằng tên đăng nhập/email và mật khẩu của họ trước tiên, sau đó xác nhận việc đăng ký/đăng nhập thông qua một mã truy cập một lần được gửi đến điện thoại di động của họ qua SMS.

3. Nhược điểm của xác thực dựa trên SMS#

Hãy đi sâu hơn vào các nhược điểm của xác thực dựa trên SMS bằng cách làm sáng tỏ các hình thức gian lận khác nhau liên quan đến phương thức đăng nhập này và khám phá những thách thức về độ tin cậy, trải nghiệm người dùng và chi phí tài chính phát sinh trong việc triển khai, vận hành và bảo trì công nghệ xác thực này.

3.1 Gian lận: SMS được sử dụng để tấn công tài khoản người dùng#

SMS được phát minh cách đây hơn 20 năm và chưa nhận được bất kỳ bản cập nhật bảo mật lớn nào kể từ đó. Đó là lý do tại sao gian lận SMS là một vấn đề lớn.

3.1.1 Bơm lưu lượng SMS (SMS Traffic Pumping)#

Trong xác thực dựa trên SMS, khi người dùng yêu cầu mã xác thực hoặc một liên kết qua SMS, nhà cung cấp dịch vụ sẽ gửi mã hoặc liên kết đó đến số điện thoại di động của người dùng thông qua một tin nhắn SMS. Bơm lưu lượng SMS lợi dụng quy trình này bằng cách gửi một khối lượng lớn các tin nhắn SMS không mong muốn và thường là gian lận đến một số điện thoại cụ thể.

Những kẻ gian lận trong các kế hoạch bơm lưu lượng SMS lợi dụng các thỏa thuận chia sẻ doanh thu giữa các nhà mạng di động (MNO) và các nhà cung cấp dịch vụ tin nhắn. Mục tiêu của chúng là thổi phồng lưu lượng SMS và tạo ra doanh thu cao hơn cho chính chúng, vì các nhà cung cấp dịch vụ tin nhắn trả cho các MNO một khoản phí để gửi từng tin nhắn. Theo chia sẻ từ một nhân viên hiện tại của Stytch trên Hacker News, các MNO hợp tác với hacker bằng cách chia sẻ doanh thu tại đây. Mặc dù các biện pháp phòng ngừa cụ thể như vô hiệu hóa số điện thoại nhận SMS (quyền vị trí địa lý), áp dụng giới hạn tỷ lệ và phát hiện bot có thể giúp giảm thiểu việc bơm lưu lượng SMS, nhưng việc loại bỏ hoàn toàn sự lạm dụng gần như là không thể do thiết kế của quy trình gửi.

Hậu quả là các doanh nghiệp và nhà cung cấp dịch vụ thường phải đối mặt với những chi phí đáng kể từ sự gia tăng của các tin nhắn đến. Commsrisk cho biết chỉ riêng Twitter đã mất một con số đáng kinh ngạc là 60 triệu USD mỗi năm do việc bơm lưu lượng SMS. Ngoài ra, người dùng hợp pháp có thể bị chậm trễ trong việc nhận mã hoặc liên kết xác thực của họ.

3.1.2 Đánh tráo SIM (SIM Swapping)#

Trong hình thức gian lận này, những kẻ gian lận lợi dụng các lỗ hổng trong cơ sở hạ tầng MNO để chuyển số điện thoại di động của nạn nhân sang một thẻ SIM mới. Bằng cách làm như vậy, những kẻ tấn công giành quyền kiểm soát số điện thoại của nạn nhân, cho phép chúng đánh chặn các tin nhắn SMS đến, bao gồm cả mã hoặc liên kết xác thực. Khi chúng giành được quyền kiểm soát số điện thoại của người dùng, chúng có thể vượt qua quá trình xác thực và truy cập trái phép vào tài khoản của họ trên nhiều nền tảng khác nhau. Đánh tráo SIM rất khó bị phát hiện. Kẻ tấn công thường sử dụng các kỹ thuật xã hội để đánh lừa bộ phận hỗ trợ khách hàng của MNO, cho phép chúng chuyển số của nạn nhân sang một thẻ SIM mới. Vì các công ty có người dùng liên quan thường không biết, các cuộc tấn công đánh tráo SIM thường dẫn đến vi phạm dữ liệu, tổn thất tài chính và thiệt hại về danh tiếng của công ty.

3.2 Chi phí#

SMS đắt đỏ và không có xu hướng thực sự nào cho thấy sự giảm giá SMS.

3.2.1 Việc triển khai xác thực dựa trên SMS tốn rất nhiều tiền#

Đối với xác thực dựa trên SMS, có hai tùy chọn triển khai. Bạn có thể tự xây dựng và bảo trì một hệ thống nội bộ hoặc sử dụng một giải pháp xác thực bên ngoài. Mặc dù có thể kết hợp cả hai, nhưng tùy chọn thứ hai được khuyến nghị vì tính đơn giản. Theo một khảo sát của Messente, việc tự xây dựng giải pháp 2FA chỉ bằng SMS trong nội bộ có thể dễ dàng tốn đến năm con số. Đó là lý do tại sao lựa chọn một giải pháp bên ngoài, thường rẻ hơn, lại là một ý tưởng tốt hơn.

3.2.2 Vận hành: Mỗi tin nhắn SMS được gửi đi có thể có giá lên tới 20 xu#

Vì việc gửi tin nhắn xác thực bằng SMS cho người dùng là rất phức tạp, hầu như mọi công ty đều chọn một nhà cung cấp giàu kinh nghiệm. Dịch vụ của họ phát sinh chi phí giao dịch thay đổi dựa trên nhà cung cấp được chọn. Những chi phí này phụ thuộc vào các yếu tố như:

• số lượng SMS được gửi
• các quốc gia mục tiêu mà SMS được gửi đến
• các tính năng bổ sung.

Một số nhà cung cấp có thể tính thêm phí cho việc xác thực thành công qua SMS, mặc dù điều này thường được bao gồm trong tổng giá. Theo miniOrange, giá giao dịch thường dao động từ 0,01 đến 0,20 USD cho mỗi SMS, với các dịch vụ SMS chất lượng cao liên kết trực tiếp với các nhà cung cấp lớn bắt đầu ở mức khoảng 0,06 USD. Vì người dùng các sản phẩm kỹ thuật số thường ở các quốc gia khác nhau, việc mua các gói SMS khác nhau sẽ làm tăng chi phí. Theo thông tin của chúng tôi, điều này cho thấy chi phí chỉ riêng việc gửi tin nhắn xác thực có thể tăng vọt nhanh chóng như thế nào và tại sao việc xác thực dựa trên SMS lại khiến một công ty thương mại điện tử hàng đầu tiêu tốn 12 triệu USD mỗi năm. Rõ ràng, bạn có thể chỉ cung cấp xác thực bằng SMS cho các quốc gia mục tiêu chính và nhờ đó tiết kiệm tiền, nhưng đó chỉ là muối bỏ bể và cũng sẽ ảnh hưởng tiêu cực đến trải nghiệm người dùng đối với một số người dùng.

3.2.3 Bảo trì: Việc giữ cho hệ thống luôn cập nhật phát sinh thêm chi phí#

Phần lớn chi phí bảo trì thường được chi trả trong giá giao dịch. Chúng bao gồm các chi phí liên quan đến việc cho phép các nhà cung cấp quản lý khối lượng SMS lớn, tạo điều kiện gửi SMS quốc tế đến nhiều MNO khác nhau, triển khai các biện pháp bảo mật thiết yếu và đảm bảo tuân thủ các quy định. Tuy nhiên, các chi phí bổ sung có thể phát sinh cho công ty, chẳng hạn như xử lý quan hệ đối tác với nhà cung cấp SMS, cung cấp hỗ trợ người dùng và phân bổ nguồn lực để giải quyết thời gian ngừng hoạt động và các sự cố kỹ thuật.

3.3 Độ tin cậy: SMS có thể bị thất lạc#

Trong bối cảnh xác thực dựa trên SMS, điều này đề cập đến việc gửi SMS nhất quán và kịp thời cũng như khả năng truy cập không bị gián đoạn của hệ thống xác thực thông qua mã xác thực được gửi. Tùy thuộc vào cơ sở hạ tầng địa phương, sự chậm trễ trong việc gửi tin nhắn, tắc nghẽn mạng và thời gian hệ thống ngừng hoạt động có thể cản trở việc nhận mã xác thực kịp thời. Điều này có thể gây thất vọng cho người dùng và cản trở quá trình xác thực.

3.4 Trải nghiệm người dùng: Trải nghiệm trên máy tính để bàn kém hơn#

Một khía cạnh quan trọng cần xem xét là mức độ thân thiện với người dùng khác nhau trên các nền tảng khác nhau. Xác thực dựa trên SMS hoạt động tuyệt vời trên các thiết bị di động do chức năng tự động điền giúp việc nhập mã xác thực trở nên dễ dàng. Ngược lại, trên máy tính để bàn, bạn phải sử dụng một thiết bị bổ sung, điện thoại di động của mình, để nhập mã xác thực theo cách thủ công, dẫn đến trải nghiệm kém trực quan và kém tiện lợi hơn. Như đã đề cập trước đó, trải nghiệm người dùng cũng bị ảnh hưởng khi các cuộc tấn công gian lận xảy ra, hoặc các sự cố phát sinh trong việc gửi SMS và truy xuất mã xác thực.

4. Passkey là giải pháp thay thế cho Xác thực dựa trên SMS#

Cho đến nay, passkey chủ yếu được coi là giải pháp thay thế không cần mật khẩu chỉ dành cho mật khẩu.

Hơn nữa, vì passkey cung cấp chức năng 2FA tích hợp sẵn, chúng đóng vai trò là giải pháp thay thế cho mật khẩu và bất kỳ loại xác thực dựa trên SMS nào. Điều này tăng cường bảo mật và tránh được các thách thức về trải nghiệm người dùng do mã truy cập một lần dựa trên SMS gây ra. Bằng cách thay thế tin nhắn xác thực, passkey mang lại những lợi ích đáng kể, loại bỏ hiệu quả những nhược điểm của xác thực dựa trên SMS.

4.1 MFA chống lừa đảo trực tuyến và bảo mật vững chắc#

Không giống như xác thực dựa trên SMS, có thể dễ bị đánh chặn và thao túng, passkey cung cấp sự bảo vệ vững chắc chống lại mọi hình thức tấn công gian lận do việc sử dụng cơ sở hạ tầng khóa công khai. Điều này đảm bảo rằng ngay cả khi xảy ra vi phạm máy chủ, tài khoản người dùng vẫn được bảo vệ an toàn vì khóa riêng tư thiết yếu vẫn an toàn trong thiết bị của người dùng, được nhúng trong hệ điều hành. Ngoài ra, việc passkey liên kết với dịch vụ trực tuyến đã đăng ký cụ thể là một biện pháp đối phó với các nỗ lực lừa đảo trực tuyến, khiến passkey trở thành phương thức xác thực an toàn nhất hiện có.

4.2 Tránh chi phí (giao dịch) cao#

Tương tự như xác thực dựa trên SMS, có các chi phí liên quan đến việc triển khai passkey. Mặc dù có thể xử lý việc triển khai trong nội bộ, nhưng việc tập trung vào xác thực an toàn thường dẫn đến việc ưu tiên các chuyên gia. Chuyên môn của họ đi kèm với một phần nhỏ so với chi phí tự xây dựng và phù hợp với những gì nhà cung cấp xác thực dựa trên SMS tính phí triển khai. Từ quan điểm chi phí, lợi thế đáng kể của việc đầu tư vào passkey là loại bỏ nhu cầu gửi SMS để đăng nhập và đăng ký. Thay vào đó, người dùng có thể đăng nhập an toàn bằng Face ID hoặc Touch ID. Điều này không chỉ giúp tiết kiệm tiềm năng hàng triệu USD chi phí xác thực mỗi năm (đặc biệt đối với các doanh nghiệp hướng tới người tiêu dùng lớn hơn) mà còn loại bỏ tất cả những thách thức có thể phát sinh khi gửi và nhận SMS.

Để xác minh số điện thoại của người dùng, thường được yêu cầu cho mục đích tiếp thị hoặc giao tiếp khác, việc gửi một tin nhắn SMS ban đầu với mã truy cập một lần vẫn là một tùy chọn. Điều này cho phép SMS hoạt động song song với passkey. Ngoài ra, SMS có thể đóng vai trò là phương pháp dự phòng. Sự khác biệt chính giữa cả hai kịch bản và xác thực dựa trên SMS truyền thống là SMS chỉ được gửi thỉnh thoảng thay vì được gửi đi với mỗi lần thử đăng nhập.

4.3 Xác thực tiện lợi và Trải nghiệm người dùng được nâng cao#

Việc áp dụng sinh trắc học (ví dụ: Face ID, Touch ID, Windows Hello) để mở khóa điện thoại và thiết bị máy tính để bàn đã nhanh chóng trở nên phổ biến đối với người dùng. Passkey giờ đây mở rộng trải nghiệm quen thuộc này sang việc mở khóa tài khoản. Do hầu hết các điện thoại di động và máy tính để bàn đều đã sẵn sàng với passkey, chúng cung cấp sự thay thế một đối một cho xác thực dựa trên SMS. Với tính năng quét vân tay hoặc khuôn mặt cục bộ từ thiết bị, yêu cầu về thiết bị thứ hai, như vẫn cần cho xác thực bằng SMS trên máy tính xách tay, sẽ bị loại bỏ. Sự nâng cao đáng kể này giúp đơn giản hóa trải nghiệm người dùng và làm cho việc đăng nhập tài khoản trở nên dễ dàng. Một tính năng độc đáo khác của passkey là Conditional UI. Tính năng này nâng cao sự tiện lợi cho người dùng bằng cách tự động đề xuất và điền trước các passkey đã lưu khi người dùng tương tác với trường nhập tên đăng nhập. Điều này giúp loại bỏ việc tìm kiếm thông tin xác thực một cách thủ công, bao gồm cả tên đăng nhập, vì những thông tin này đã được lưu trữ an toàn trong thiết bị hoặc trình duyệt và được điền trước tự động.

5. Cách Corbado tiết kiệm tới 90% chi phí SMS với Tỷ lệ áp dụng Passkey cao gấp 10 lần#

Quá trình chuyển đổi sang xác thực dựa trên passkey không chỉ là về UX đăng nhập mượt mà hơn và MFA (chống lừa đảo) tốt hơn. Passkey cũng có thể tiết kiệm đáng kể chi phí SMS OTP nếu đạt được hai điều:

• tỷ lệ áp dụng passkey cao
• tỷ lệ đăng nhập bằng passkey cao

Công nghệ passkey và thiết kế thông minh của Corbado tập trung vào việc tối ưu hóa cả hai khía cạnh này để mang lại khoản tiết kiệm chi phí SMS lớn. Chúng tôi đạt được mức tiết kiệm chi phí lên đến 90% với tỷ lệ áp dụng passkey cao gấp 10 lần so với các giải pháp DIY (tự làm) truyền thống. Hãy xem bằng cách nào.

5.1 Tối đa hóa tỷ lệ áp dụng Passkey#

Bước đầu tiên là chuyển đổi người dùng hiện tại thành người dùng passkey bằng cách cho phép họ tạo passkey trong cài đặt tài khoản. Tuy nhiên, chỉ riêng điều này là không đủ để tăng tỷ lệ áp dụng passkey trong cơ sở người dùng hiện tại. Corbado cung cấp một số giải pháp:

• Đăng ký tự động lũy tiến (Progressive Automatic Enrollment): Công cụ passkey intelligence của chúng tôi được thiết kế để tối ưu hóa quy trình đăng ký passkey, hướng dẫn người dùng thông qua việc áp dụng passkey một cách suôn sẻ và không ma sát bất cứ khi nào có thể (ví dụ: trong quá trình đăng nhập bằng các phương pháp xác thực truyền thống). Cách tiếp cận chủ động này đảm bảo rằng người dùng không bị quá tải hoặc bối rối, do đó làm giảm tỷ lệ bỏ cuộc và tăng cường sự áp dụng tổng thể.
• Tạo Passkey cục bộ tự động: Nếu khách hàng đăng nhập thông qua Xác thực đa thiết bị, họ sẽ được đề nghị tùy chọn tạo passkey cục bộ trong môi trường họ đang sử dụng, làm tăng việc áp dụng passkey trên tất cả các thiết bị của họ. Trong trường hợp thiết bị máy tính để bàn hiện tại không cung cấp nền tảng xác thực (platform authenticator) để tạo passkey, một chiến lược ưu tiên thiết bị di động (mobile-first) có thể được áp dụng để tạo passkey trên điện thoại di động.
• Nâng cấp Passkey tự động: Cỗ máy quyết định của Corbado hỗ trợ việc nâng cấp tự động lên passkey cho người dùng, làm tăng đáng kể tỷ lệ áp dụng mà không cần sự tham gia tích cực của người dùng. Sự chuyển đổi liền mạch này được hỗ trợ bởi công cụ quyết định passkey intelligence của chúng tôi, hoạt động tự động trên các thiết bị iOS 18+ (sẽ còn hỗ trợ nhiều hơn thế).

Chúng tôi đảm bảo rằng có nhiều người dùng tiếp nhận passkey một cách dễ dàng hơn, đạt tỷ lệ áp dụng cao gấp 10 lần so với các giải pháp tự triển khai.

5.2 Tối đa hóa tỷ lệ đăng nhập bằng Passkey#

Bước quan trọng thứ hai là kích hoạt đăng nhập bằng passkey bất cứ khi nào có thể và tích cực khuyến khích việc sử dụng lại các passkey hiện có.

• Phương pháp tiếp cận ưu tiên định danh (Identifier-First Approach): Việc bắt đầu quá trình đăng nhập bằng cách chỉ yêu cầu một mã định danh (ví dụ: địa chỉ email) và sau đó tự động xác định xem có thể đăng nhập bằng passkey hay không sẽ đơn giản hóa UX và khuyến khích việc sử dụng passkey cao hơn. Phương pháp này giảm bớt các bước cần thiết để người dùng đăng nhập, giúp quá trình trở nên nhanh chóng và trực quan hơn so với việc cung cấp nút "Đăng nhập bằng Passkey" riêng biệt mà người tiêu dùng thường xuyên bỏ qua.
• Xác thực đa thiết bị và Đăng nhập Passkey bằng Một chạm (One Tap): Corbado tự động chuyển về Xác thực đa thiết bị WebAuthn khi không có passkey cục bộ nào. Ngoài ra, khi đăng nhập bằng passkey đã được ghi nhận trên một thiết bị, trường mã định danh người dùng sẽ tự động được chuyển đổi thành nút Đăng nhập Passkey bằng Một chạm, giúp việc đăng nhập trở nên liền mạch hơn.

5.3 Kết quả: Chi phí SMS giảm 90%, Tỷ lệ áp dụng Passkey cao gấp 10 lần#

Cách tiếp cận sáng tạo của Corbado nhằm tối đa hóa tỷ lệ áp dụng passkey và tỷ lệ đăng nhập mang lại những lợi thế đáng kể so với các phương pháp DIY. Bằng cách tận dụng thiết kế thông minh này, chúng tôi đảm bảo rằng người dùng không chỉ tích hợp mà còn chủ động áp dụng passkey, dẫn đến tỷ lệ áp dụng và đăng nhập cao gấp 10 lần. Sự thay đổi này không chỉ tăng cường bảo mật và trải nghiệm người dùng mà còn mang lại khoản tiết kiệm chi phí khổng lồ, đặc biệt bằng cách giảm chi phí SMS OTP lên tới 90%. Trong kỷ nguyên passkey sắp tới, nơi xác thực hiệu quả và an toàn là yếu tố quan trọng, Corbado nổi bật như một tổ chức tiên phong trong việc thúc đẩy cả sự áp dụng và hiệu quả chi phí.

6. Kết luận#

Tóm lại, passkey cung cấp một giải pháp thiết thực để giải quyết những nhược điểm của xác thực dựa trên SMS. Chúng mang lại khả năng bảo mật vững chắc, tiết kiệm chi phí và trải nghiệm người dùng vượt trội, khiến chúng trở thành một sự thay thế thông minh. Với công nghệ sinh trắc học và các tính năng thân thiện với người dùng như Conditional UI, passkey giúp bảo mật trở nên liền mạch và trải nghiệm người dùng trở nên suôn sẻ trên mọi nền tảng. Đối với các công ty đang tìm cách nâng cấp quy trình xác thực của mình, giải pháp passkey của Corbado là một cách đơn giản để tăng cường bảo mật, cắt giảm chi phí và bỏ lại những thách thức của xác thực dựa trên SMS ở phía sau. Hãy liên hệ với chúng tôi để có giải pháp xác thực bằng passkey được thiết kế riêng cho hệ thống SMS OTP / 2FA của bạn.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →