Cách Giảm Chi Phí SMS với Passkeys

Sau thông báo của X về việc ngừng xác thực hai yếu tố (2FA) qua SMS cho người dùng không có Twitter Blue từ ngày 20 tháng 3 năm 2023 để đối phó với việc những kẻ gian lận lạm dụng 2FA qua SMS, nhiều câu hỏi đã được đặt ra về các nhược điểm tiềm tàng khác của xác thực qua SMS.

Mặc dù được các công ty áp dụng rộng rãi (xác thực một yếu tố và hai yếu tố) để bảo vệ tài khoản người dùng tốt hơn, phương thức xác thực này thường đi kèm với nhiều nhược điểm ngoài các vấn đề bảo mật.

Trong bài viết này, chúng ta sẽ khám phá những nhược điểm này, bao gồm gian lận và các thách thức về chi phí, độ tin cậy và trải nghiệm người dùng. Để giải quyết chúng, passkeys có thể được sử dụng như một phương thức xác thực tiêu chuẩn mới không cần mật khẩu, vượt trội hơn về nhiều mặt so với các phương thức xác thực qua SMS.

Trước tiềm năng thay thế của passkeys, chúng tôi tại Corbado cung cấp một giải pháp passkey dạng plug-and-play để giúp Internet trở thành một nơi an toàn và tiết kiệm cho doanh nghiệp của bạn những khoản chi phí khổng lồ liên quan đến SMS ngay lập tức.

Trước khi chúng ta khám phá các nhược điểm của xác thực qua SMS, điều cần thiết là phải hiểu khái niệm cơ bản của nó. Xác thực qua SMS bao gồm hai loại chính:

• Xác thực một yếu tố
• Xác thực hai yếu tố

Loại đầu tiên bao gồm các phương thức như mật mã một lần (OTP) được gửi qua SMS, cung cấp một giải pháp đăng nhập không cần mật khẩu thay thế cho mật khẩu truyền thống. Loại thứ hai sử dụng quy trình hai bước để đảm bảo bảo vệ 2FA. Người dùng trước tiên đăng ký/đăng nhập bằng tên người dùng/email và mật khẩu, sau đó xác nhận việc đăng ký/đăng nhập của mình thông qua một mật mã một lần được gửi đến điện thoại di động qua SMS.

Hãy cùng tìm hiểu sâu hơn về các nhược điểm của xác thực qua SMS bằng cách làm sáng tỏ các hình thức gian lận khác nhau liên quan đến phương thức đăng nhập này và khám phá các thách thức về độ tin cậy, trải nghiệm người dùng và chi phí tài chính phát sinh trong việc triển khai, vận hành và duy trì công nghệ xác thực này.

SMS được phát minh cách đây hơn 20 năm và chưa từng có bất kỳ bản cập nhật bảo mật lớn nào kể từ đó. Đó là lý do tại sao gian lận qua SMS là một vấn đề lớn.

Trong xác thực qua SMS, khi người dùng yêu cầu mã xác thực hoặc liên kết qua SMS, nhà cung cấp dịch vụ sẽ gửi mã hoặc liên kết đó đến số điện thoại di động của người dùng thông qua một tin nhắn SMS. Việc bơm lưu lượng SMS lợi dụng quy trình này bằng cách gửi một lượng lớn tin nhắn SMS không mong muốn và thường là lừa đảo đến một số điện thoại cụ thể.

Những kẻ gian lận trong các kế hoạch bơm lưu lượng SMS khai thác các thỏa thuận chia sẻ doanh thu giữa các nhà mạng di động (MNO) và các nhà cung cấp dịch vụ nhắn tin. Chúng nhằm mục đích thổi phồng lưu lượng SMS và tạo ra doanh thu cao hơn cho bản thân, vì các nhà cung cấp dịch vụ nhắn tin trả cho các MNO một khoản phí cho mỗi tin nhắn được gửi đi. Như một nhân viên hiện tại của Stytch đã chỉ ra trên Hacker News, các MNO hợp tác với hacker bằng cách chia sẻ doanh thu ở đây. Mặc dù các biện pháp phòng ngừa cụ thể như vô hiệu hóa số điện thoại nhận SMS (quyền theo vị trí địa lý), thực hiện giới hạn tốc độ và phát hiện bot có thể giúp giảm thiểu bơm lưu lượng SMS, việc loại bỏ hoàn toàn việc lạm dụng là gần như không thể do thiết kế của quy trình gửi.

Kết quả là, các doanh nghiệp và nhà cung cấp dịch vụ thường phải đối mặt với chi phí đáng kể từ sự gia tăng của các tin nhắn đến. Commsrisk cho biết chỉ riêng Twitter đã mất một khoản tiền đáng kinh ngạc là 60 triệu USD mỗi năm do bơm lưu lượng SMS. Ngoài ra, người dùng hợp pháp có thể gặp phải sự chậm trễ trong việc nhận mã xác thực hoặc liên kết của họ.

Trong loại gian lận này, những kẻ lừa đảo khai thác các lỗ hổng trong hạ tầng của MNO để chuyển số điện thoại di động của nạn nhân sang một thẻ SIM mới. Bằng cách đó, những kẻ tấn công giành quyền kiểm soát số điện thoại của nạn nhân, cho phép chúng chặn các tin nhắn SMS đến, bao gồm cả mã xác thực hoặc liên kết. Một khi chúng giành được quyền kiểm soát số điện thoại của người dùng, chúng có thể bỏ qua quy trình xác thực và truy cập trái phép vào tài khoản của họ trên các nền tảng khác nhau. Hoán đổi SIM rất khó bị phát hiện. Những kẻ tấn công thường sử dụng kỹ thuật xã hội để lừa dối bộ phận hỗ trợ khách hàng của MNO, cho phép chúng chuyển số của nạn nhân sang một thẻ SIM mới. Vì các công ty có người dùng bị ảnh hưởng thường không hề hay biết, các cuộc tấn công hoán đổi SIM thường dẫn đến vi phạm dữ liệu, tổn thất tài chính và thiệt hại cho danh tiếng của công ty.

SMS rất tốn kém và không có xu hướng rõ ràng nào cho thấy giá SMS sẽ giảm.

Đối với xác thực qua SMS, có hai lựa chọn để triển khai. Bạn có thể tự xây dựng và duy trì một hệ thống nội bộ hoặc sử dụng một giải pháp xác thực bên ngoài. Mặc dù có thể kết hợp cả hai phương pháp, lựa chọn thứ hai được khuyến nghị vì tính đơn giản. Theo một khảo sát của Messente, việc tự xây dựng một giải pháp 2FA chỉ dùng SMS có thể dễ dàng tốn đến năm con số. Đó là lý do tại sao việc chọn một giải pháp bên ngoài, thường rẻ hơn, lại là một ý tưởng tốt hơn.

Vì việc gửi tin nhắn xác thực qua SMS cho người dùng rất phức tạp, hầu hết mọi công ty đều chọn một nhà cung cấp có kinh nghiệm. Dịch vụ của họ phát sinh chi phí giao dịch thay đổi tùy theo nhà cung cấp được chọn. Các chi phí này phụ thuộc vào các yếu tố như:

• số lượng SMS được gửi
• các quốc gia đích mà SMS được gửi đến
• các tính năng bổ sung.

Một số nhà cung cấp có thể tính thêm phí cho việc xác thực thành công qua SMS, mặc dù điều này thường đã được bao gồm trong giá tổng thể. Theo miniOrange, giá giao dịch thường dao động từ 0,01 đến 0,20 USD mỗi SMS, với các dịch vụ SMS chất lượng cao được liên kết trực tiếp với các nhà cung cấp lớn bắt đầu từ khoảng 0,06 USD. Vì người dùng các sản phẩm kỹ thuật số thường ở các quốc gia khác nhau, việc mua các gói SMS khác nhau sẽ làm tăng chi phí. Theo thông tin của chúng tôi, điều này cho thấy chi phí chỉ riêng cho việc gửi tin nhắn xác thực có thể tăng vọt nhanh chóng như thế nào và tại sao xác thực qua SMS lại tốn của một công ty thương mại điện tử hàng đầu 12 triệu USD mỗi năm. Rõ ràng, bạn có thể chỉ cung cấp xác thực qua SMS cho các quốc gia mục tiêu chính và qua đó tiết kiệm tiền, nhưng đó chỉ là một giọt nước trong đại dương và cũng sẽ ảnh hưởng tiêu cực đến trải nghiệm người dùng của một số người.

Phần lớn chi phí bảo trì thường được bao gồm trong giá giao dịch. Chúng bao gồm các chi phí liên quan đến việc cho phép các nhà cung cấp quản lý khối lượng lớn SMS, tạo điều kiện thuận lợi cho việc gửi SMS quốc tế đến các MNO khác nhau, thực hiện các biện pháp bảo mật cần thiết và đảm bảo tuân thủ các quy định. Tuy nhiên, công ty có thể phát sinh thêm các chi phí khác, chẳng hạn như quản lý mối quan hệ với nhà cung cấp SMS, cung cấp hỗ trợ người dùng và phân bổ nguồn lực để giải quyết thời gian chết và các vấn đề kỹ thuật.

Trong bối cảnh xác thực qua SMS, điều này đề cập đến việc gửi SMS một cách nhất quán và kịp thời cũng như khả năng truy cập không bị gián đoạn vào hệ thống xác thực bằng mã xác thực đã gửi. Tùy thuộc vào hạ tầng địa phương, sự chậm trễ trong việc gửi tin nhắn, tắc nghẽn mạng và thời gian chết tiềm tàng của hệ thống có thể cản trở việc nhận mã xác thực kịp thời. Điều này có thể gây khó chịu cho người dùng và cản trở quá trình xác thực.

Một khía cạnh quan trọng cần xem xét là sự thân thiện với người dùng khác nhau trên các nền tảng khác nhau. Xác thực qua SMS hoạt động xuất sắc trên các thiết bị di động nhờ chức năng tự động điền giúp việc nhập mã xác thực trở nên dễ dàng. Ngược lại, trên máy tính để bàn, bạn phải sử dụng một thiết bị bổ sung, đó là điện thoại di động, để nhập mã xác thực theo cách thủ công, dẫn đến trải nghiệm kém trực quan và tiện lợi hơn. Như đã đề cập trước đó, trải nghiệm người dùng cũng bị ảnh hưởng khi các cuộc tấn công lừa đảo xảy ra, hoặc các vấn đề phát sinh trong việc gửi SMS và lấy mã xác thực.

Cho đến nay, passkeys chủ yếu được xem là giải pháp thay thế không cần mật khẩu chỉ dành cho mật khẩu.

Hơn nữa, vì passkeys cung cấp chức năng 2FA tích hợp sẵn, chúng đóng vai trò là sự thay thế cho mật khẩu và bất kỳ loại xác thực qua SMS nào. Điều này tăng cường bảo mật và tránh được những thách thức về trải nghiệm người dùng do mật mã một lần qua SMS gây ra. Bằng cách thay thế các tin nhắn xác thực, passkeys mang lại những lợi ích đáng kể giúp loại bỏ hiệu quả các nhược điểm của xác thực qua SMS.

Không giống như xác thực qua SMS, vốn có thể bị chặn và thao túng, passkeys cung cấp sự bảo vệ mạnh mẽ chống lại mọi hình thức tấn công gian lận nhờ việc sử dụng hạ tầng khóa công khai. Điều này đảm bảo rằng ngay cả khi xảy ra vi phạm máy chủ, tài khoản người dùng vẫn được bảo vệ vì khóa riêng tư thiết yếu vẫn được bảo mật trong thiết bị của người dùng, được nhúng trong hệ điều hành. Ngoài ra, việc passkeys liên kết với dịch vụ trực tuyến đã đăng ký cụ thể là một biện pháp đối phó với các nỗ lực lừa đảo, làm cho passkeys trở thành phương thức xác thực an toàn nhất hiện có.

Giống như xác thực qua SMS, có những chi phí liên quan đến việc triển khai passkeys. Mặc dù có thể tự xử lý việc triển khai, việc tập trung vào xác thực an toàn thường dẫn đến sự ưu tiên cho các chuyên gia. Chuyên môn của họ có chi phí chỉ bằng một phần nhỏ so với chi phí tự triển khai và tương đương với những gì nhà cung cấp xác thực qua SMS tính phí cho việc triển khai. Từ quan điểm chi phí, lợi thế đáng kể của việc đầu tư vào passkeys là loại bỏ nhu cầu gửi SMS để đăng nhập và đăng ký. Thay vào đó, người dùng có thể đăng nhập an toàn bằng Face ID hoặc Touch ID. Điều này không chỉ giúp tiết kiệm hàng triệu chi phí xác thực hàng năm (đặc biệt đối với các doanh nghiệp lớn hướng đến người tiêu dùng) mà còn loại bỏ tất cả các thách thức có thể phát sinh khi gửi và nhận SMS.

Để xác minh số điện thoại của người dùng, thường được yêu cầu cho mục đích tiếp thị hoặc các mục đích liên lạc khác, việc gửi một tin nhắn SMS ban đầu với mật mã một lần vẫn là một lựa chọn. Điều này cho phép SMS chạy song song với passkeys. Ngoài ra, SMS có thể đóng vai trò là một phương thức dự phòng. Sự khác biệt chính giữa cả hai kịch bản và xác thực qua SMS truyền thống là SMS chỉ được gửi không thường xuyên thay vì được gửi với mỗi lần đăng nhập.

Việc áp dụng sinh trắc học (ví dụ: Face ID, Touch ID, Windows Hello) để mở khóa điện thoại và các thiết bị máy tính để bàn đã nhanh chóng trở nên phổ biến đối với người dùng. Passkeys giờ đây mở rộng trải nghiệm quen thuộc này đến việc mở khóa tài khoản. Với việc hầu hết các điện thoại di động và thiết bị máy tính để bàn đã sẵn sàng cho passkey, chúng cung cấp một sự thay thế một-một cho xác thực qua SMS. Với việc quét vân tay hoặc khuôn mặt cục bộ từ thiết bị, yêu cầu về một thiết bị thứ hai, như vẫn cần thiết cho xác thực SMS trên máy tính xách tay, đã được loại bỏ. Sự cải tiến đáng kể này đơn giản hóa trải nghiệm người dùng và làm cho việc đăng nhập tài khoản trở nên dễ dàng. Một tính năng độc đáo khác của passkeys là Conditional UI. Tính năng này nâng cao sự tiện lợi cho người dùng bằng cách tự động đề xuất và điền trước các passkeys đã lưu khi người dùng tương tác với trường nhập tên người dùng. Điều này loại bỏ nhu cầu tìm kiếm thông tin đăng nhập thủ công, bao gồm cả tên người dùng, vì chúng đã được lưu trữ an toàn trong thiết bị hoặc trình duyệt và được tự động điền trước.

Việc chuyển đổi sang xác thực dựa trên passkey không chỉ là về trải nghiệm đăng nhập mượt mà hơn và MFA (chống lừa đảo) tốt hơn. Passkeys cũng có thể tiết kiệm đáng kể chi phí SMS OTP nếu đạt được hai điều:

• tỷ lệ áp dụng passkey cao
• tỷ lệ đăng nhập bằng passkey cao

Công nghệ passkey và thiết kế thông minh của Corbado tập trung vào việc tối ưu hóa cả hai khía cạnh này để mang lại khả năng tiết kiệm chi phí SMS cao. Chúng tôi đạt được mức tiết kiệm chi phí lên đến 90% với tỷ lệ áp dụng passkey cao hơn 10 lần so với các giải pháp tự làm truyền thống. Hãy cùng xem cách thực hiện.

Bước đầu tiên là chuyển đổi người dùng hiện tại thành người dùng passkey bằng cách cho phép họ tạo passkeys trong cài đặt tài khoản. Tuy nhiên, chỉ điều này thôi là không đủ để tăng tỷ lệ áp dụng passkey trong cơ sở người dùng hiện tại. Corbado cung cấp một số giải pháp:

• Đăng ký tự động theo tiến trình: Công cụ thông minh về passkey của chúng tôi được thiết kế để tối ưu hóa quy trình đăng ký passkey, hướng dẫn người dùng áp dụng passkey một cách mượt mà và không gây trở ngại bất cứ khi nào có thể (ví dụ: trong khi đăng nhập bằng các phương thức xác thực truyền thống). Cách tiếp cận chủ động này đảm bảo rằng người dùng không bị choáng ngợp hoặc bối rối, do đó giảm tỷ lệ bỏ ngang và tăng tỷ lệ áp dụng tổng thể.
• Tự động tạo Passkey cục bộ: Nếu khách hàng đăng nhập qua Xác thực chéo thiết bị, họ sẽ được cung cấp tùy chọn tạo một passkey cục bộ trong môi trường họ đang sử dụng, tăng tỷ lệ áp dụng passkey trên tất cả các thiết bị của họ. Trong các tình huống mà thiết bị máy tính để bàn hiện tại không cung cấp trình xác thực nền tảng để tạo passkey, một chiến lược ưu tiên di động có thể được sử dụng để tạo passkey trên điện thoại di động.
• Tự động nâng cấp Passkey: Công cụ quyết định của Corbado tạo điều kiện cho việc nâng cấp tự động lên passkeys cho người dùng, tăng đáng kể tỷ lệ áp dụng mà không yêu cầu sự tham gia tích cực của người dùng. Quá trình chuyển đổi liền mạch này được cung cấp bởi công cụ quyết định thông minh về passkey của chúng tôi, hoạt động tự động trên các thiết bị iOS 18+ (và sẽ có thêm nhiều thiết bị khác).

Chúng tôi đảm bảo rằng nhiều người dùng áp dụng passkeys một cách dễ dàng, đạt được tỷ lệ áp dụng cao hơn 10 lần so với việc tự triển khai passkeys.

Bước quan trọng thứ hai là kích hoạt đăng nhập bằng passkey bất cứ khi nào có thể và tích cực khuyến khích việc tái sử dụng các passkeys hiện có.

• Phương pháp ưu tiên định danh: Bắt đầu quá trình đăng nhập bằng cách chỉ yêu cầu một định danh (ví dụ: địa chỉ email) và sau đó tự động xác định xem có thể đăng nhập bằng passkey hay không sẽ đơn giản hóa UX và khuyến khích việc sử dụng passkey nhiều hơn. Phương pháp này giảm các bước cần thiết để người dùng đăng nhập, làm cho quá trình nhanh hơn và trực quan hơn so với việc cung cấp một nút "Đăng nhập bằng Passkey" riêng biệt, mà người tiêu dùng thường bỏ qua.
• Xác thực chéo thiết bị và Đăng nhập Passkey một chạm: Corbado tự động chuyển sang Xác thực chéo thiết bị WebAuthn khi không có passkey cục bộ nào. Ngoài ra, một khi đăng nhập bằng passkey đã được ghi lại trên một thiết bị, trường định danh người dùng sẽ tự động được chuyển đổi thành một nút Đăng nhập Passkey một chạm, làm cho việc đăng nhập trở nên liền mạch hơn nữa.

Cách tiếp cận sáng tạo của Corbado để tối đa hóa tỷ lệ áp dụng và đăng nhập passkey mang lại những lợi thế đáng kể so với các phương pháp tự làm. Bằng cách tận dụng thiết kế thông minh này, chúng tôi đảm bảo rằng người dùng không chỉ tích hợp mà còn tích cực áp dụng passkeys, dẫn đến tỷ lệ áp dụng và đăng nhập cao hơn tới 10 lần. Sự thay đổi này không chỉ tăng cường bảo mật và trải nghiệm người dùng mà còn mang lại khoản tiết kiệm chi phí đáng kể, đặc biệt là bằng cách giảm chi phí SMS OTP lên đến 90%. Trong kỷ nguyên passkey sắp tới, nơi xác thực hiệu quả và an toàn là quan trọng, Corbado nổi bật như một nhà lãnh đạo trong việc thúc đẩy cả việc áp dụng và hiệu quả chi phí.

Tóm lại, passkeys cung cấp một giải pháp thiết thực để giải quyết các nhược điểm của xác thực qua SMS. Chúng cung cấp bảo mật mạnh mẽ, hiệu quả về chi phí và trải nghiệm người dùng cao, khiến chúng trở thành một sự thay thế thông minh. Với công nghệ sinh trắc học và các tính năng thân thiện với người dùng như Conditional UI, passkeys giúp bảo mật trở nên liền mạch và trải nghiệm người dùng mượt mà trên các nền tảng. Đối với các công ty đang tìm cách nâng cấp trò chơi xác thực của mình, giải pháp passkey của Corbado là một cách đơn giản để tăng cường bảo mật, cắt giảm chi phí và bỏ lại phía sau những thách thức của xác thực qua SMS. Hãy liên hệ với chúng tôi để có một giải pháp xác thực bằng passkey được thiết kế riêng cho thiết lập SMS OTP / 2FA của bạn.