如何使用通行密钥降低短信成本

1. 简介#

在 X 宣布从 2023 年 3 月 20 日起针对非 Twitter Blue 用户停止基于短信的双因素身份验证 (2FA) 以应对欺诈者滥用基于短信的 2FA 之后，人们开始质疑基于短信的身份验证的其他潜在缺点。

尽管一般公司广泛采用这种身份验证方法（单因素和双因素）来为用户提供更好的账户保护，但除了安全问题之外，它通常还伴随着更多缺点。

在本文中，我们将探讨这些缺点，包括欺诈以及在成本、可靠性和用户体验方面面临的挑战。为了解决这些问题，可以将通行密钥用作新的无密码标准身份验证方法，在许多方面，它都优于基于短信的身份验证方法。

鉴于通行密钥具有作为替代方案的潜力，我们在 Corbado 提供即插即用的通行密钥解决方案，以使互联网成为一个安全的地方，并立即为您的企业节省巨额的短信相关费用。

2. 什么是基于短信的身份验证？#

在探讨基于短信的身份验证的缺点之前，了解其基本概念至关重要。基于短信的身份验证主要包括两种类型：

• 单因素身份验证
• 双因素身份验证

前者包括通过短信发送一次性密码 (OTP) 等方法，提供替代传统密码的无密码登录选择。后者采用两步流程来确保 2FA 保护。用户首先使用用户名/电子邮件和密码注册/登录，然后通过发送到其手机的短信一次性密码确认其注册/登录。

3. 基于短信的身份验证的缺点#

让我们更深入地了解基于短信的身份验证的缺点，重点说明与这种登录方法相关的不同形式的欺诈，并揭示在实施、运营和维护这种身份验证技术方面面临的可靠性、用户体验和财务成本挑战。

3.1 欺诈：短信被用于黑客攻击用户账户#

短信是 20 多年前发明的，此后从未进行过任何重大的安全更新。这就是为什么短信欺诈是一个巨大的问题。

3.1.1 短信流量注水 (SMS Traffic Pumping)#

在基于短信的身份验证中，当用户通过短信请求身份验证代码或链接时，服务提供商会通过短信将代码或链接发送到用户的手机号码。短信流量注水利用这一流程，通过向特定电话号码发送大量不受欢迎且往往具有欺诈性质的短信。

短信流量注水计划的欺诈者利用移动网络运营商 (MNO) 和消息服务提供商之间的收入分成协议。他们的目的是夸大短信流量并为自己创造更高的收入，因为消息服务提供商需要向 MNO 支付发送每条消息的费用。正如一名前 Stytch 员工在 Hacker News 上指出的那样，MNO 通过在此分享收入与黑客合作。虽然禁用电话号码接收短信（地理权限）、实施速率限制和检测机器人等具体的预防措施可以帮助缓解短信流量注水问题，但由于发送流程的设计，几乎不可能完全消除滥用行为。

结果，企业和服务提供商往往面临因传入消息激增而产生的巨额费用。Commsrisk 表示，仅 Twitter 一家每年就因短信流量注水损失了惊人的 6000 万美元。此外，合法用户在接收其身份验证代码或链接时可能会遇到延迟。

3.1.2 SIM 卡交换 (SIM Swapping)#

在这种类型的欺诈中，欺诈者利用 MNO 基础设施中的漏洞将受害者的手机号码转移到新的 SIM 卡上。通过这样做，攻击者可以控制受害者的电话号码，使他们能够拦截收到的短信，包括身份验证代码或链接。一旦他们控制了用户的电话号码，他们就可以绕过身份验证过程，并获得对各种平台上账户的未经授权的访问权限。SIM 卡交换很难被发现。攻击者经常使用社会工程学来欺骗 MNO 客户支持，使他们能够将受害者的号码转移到新的 SIM 卡上。由于相关用户的公司往往对此毫不知情，SIM 卡交换攻击通常会导致数据泄露、财务损失以及对公司声誉的损害。

3.2 成本#

短信成本高昂，而且没有明显趋势表明短信价格会下降。

3.2.1 实施基于短信的身份验证成本高昂#

对于基于短信的身份验证，有两种实施选项。您可以建立并维护内部系统，也可以使用外部身份验证解决方案。虽然可以采用混合搭配的方法，但为了简单起见，建议采用后者。根据 Messente 的一项调查，内部构建仅使用短信的 2FA 解决方案很容易花费五位数。因此，选择通常更便宜的外部解决方案通常是个更好的主意。

3.2.2 运营：每发送一条短信可能花费高达 20 美分#

由于向用户发送基于短信的身份验证消息非常复杂，几乎每家公司都会选择经验丰富的提供商。他们的服务会产生交易成本，具体取决于所选的提供商。这些成本取决于以下因素：

• 发送的短信数量
• 短信发送的目标国家/地区
• 附加功能。

一些提供商可能会对通过短信成功进行身份验证收取额外费用，尽管这通常包含在总价格中。根据 miniOrange 的数据，交易价格通常在每条短信 0.01 到 0.20 美元之间，直接连接主要提供商的优质短信服务起价约为 0.06 美元。由于数字产品的用户通常位于不同的国家/地区，购买各种短信套餐会增加费用。根据我们的信息，这显示了仅发送身份验证消息的成本能多快飙升，以及为什么基于短信的身份验证每年会让一家领先的电子商务公司花费 1200 万美元。显然，您可以只为主要目标国家/地区提供基于短信的身份验证从而节省资金，但这只是杯水车薪，也会对某些用户的用户体验产生负面影响。

3.2.3 维护：保持系统更新会产生额外成本#

大部分维护成本通常包含在交易价格中。这些包括使提供商能够管理大量短信、促进向各种 MNO 交付国际短信、实施基本安全措施以及确保合规性相关的费用。然而，公司可能会产生额外费用，例如处理与短信提供商的供应商关系、提供用户支持以及分配资源以解决停机和技术问题。

3.3 可靠性：短信可能会丢失#

在基于短信的身份验证背景下，这指的是短信的一致和及时交付，以及发送的身份验证代码对身份验证系统的不间断可访问性。根据当地的基础设施，消息传递延迟、网络拥塞和潜在的系统停机可能会阻碍身份验证代码的及时接收。这会导致用户产生挫败感，并阻碍身份验证过程。

3.4 用户体验：桌面体验较差#

需要考虑的一个关键方面是不同平台上不同的用户友好程度。由于自动填充功能使身份验证代码的输入变得容易，基于短信的身份验证在移动设备上效果极佳。相反，在桌面上，您必须使用额外的设备（即您的手机）手动输入身份验证代码，导致体验不够直观和方便。如前所述，当发生欺诈攻击或在短信交付和检索身份验证代码方面出现问题时，用户体验也会受到影响。

4. 通行密钥作为基于短信的身份验证的替代方案#

到目前为止，通行密钥主要被仅仅视为密码的无密码替代方案。

此外，由于通行密钥提供了内置的 2FA 功能，它们可作为密码和任何类型的基于短信的身份验证的替代方案。这增强了安全性，并避免了基于短信的一次性密码带来的用户体验挑战。通过取代身份验证消息，通行密钥带来了巨大的好处，有效消除了基于短信的身份验证的缺点。

4.1 抗网络钓鱼的 MFA 和强大的安全性#

与容易受到拦截和操纵的基于短信的身份验证不同，由于使用了公钥基础设施，通行密钥为防止各种形式的欺诈攻击提供了强大的保护。这确保了即使发生服务器漏洞，由于关键的私钥安全地保留在用户的设备内，嵌入在操作系统中，用户账户仍然受到保护。此外，通行密钥与特定注册在线服务的关联是防止网络钓鱼尝试的对策，使通行密钥成为目前可用的最安全的身份验证方法。

4.2 避免高昂的（交易）成本#

与基于短信的身份验证类似，实施通行密钥也存在相关成本。虽然在内部处理实施是可能的，但专注于安全身份验证通常会导致对专家的偏好。他们的专业知识成本只是内部成本的一小部分，并且与基于短信的身份验证提供商收取的实施费用一致。从成本的角度来看，投资通行密钥的显著优势是无需发送短信进行登录和注册。相反，用户可以使用 Face ID 或 Touch ID 安全登录。这不仅能每年节省数百万的身份验证成本（特别是对于以消费者为导向的大型企业而言），还能消除在发送和接收短信时可能出现的所有挑战。

对于通常用于营销或其他通信目的的用户电话号码验证，发送包含一次性密码的初始短信仍然是一种选择。这允许短信与通行密钥并行运行。此外，短信可以作为后备方法。这两种情况与传统的基于短信的身份验证之间的主要区别在于，短信只是偶尔发送，而不是在每次登录尝试时发送。

4.3 便捷的身份验证和增强的用户体验#

采用生物识别技术（例如 Face ID、Touch ID、Windows Hello）解锁手机和桌面设备已迅速成为用户的家常便饭。现在，通行密钥将这种熟悉的体验扩展到了账户解锁。鉴于大多数手机和桌面设备已经支持通行密钥，它们为基于短信的身份验证提供了一对一的替代方案。通过设备本地的指纹或面部扫描，消除了基于笔记本电脑的短信身份验证仍然需要的对辅助设备的需求。这种实质性的增强简化了用户体验，并使账户登录变得毫不费力。通行密钥的另一个独特功能是条件 UI (Conditional UI)。此功能通过在用户与用户名输入字段交互时自动建议并预填存储的通行密钥，提高了用户的便利性。这消除了手动搜索凭据（包括用户名）的需要，因为它们已经安全地存储在设备或浏览器中并会自动预填。

5. Corbado 如何以 10 倍的通行密钥采用率节省高达 90% 的短信成本#

向基于通行密钥的身份验证过渡不仅是为了获得更顺畅的登录用户体验和更好的（抗网络钓鱼）MFA。如果实现以下两点，通行密钥还可以节省大量短信 OTP 成本：

• 高通行密钥采用率
• 高通行密钥登录率

Corbado 的通行密钥技术和智能设计专注于优化这两个方面，以提供巨额的短信成本节省。与传统的 DIY 解决方案相比，我们实现了高达 90% 的成本节省，并将通行密钥的采用率提高了 10 倍。让我们看看是如何做到的。

5.1 最大化通行密钥采用率#

第一步是通过允许现有用户在账户设置中创建通行密钥，将他们转化为通行密钥用户。然而，仅靠这一点还不足以提高现有用户群中通行密钥的采用率。Corbado 提供了几种解决方案：

• **渐进式自动注册：**我们的通行密钥智能 (passkey intelligence) 引擎旨在优化通行密钥注册流程，尽可能引导用户以顺畅无阻的方式采用通行密钥（例如，在使用传统身份验证方法登录期间）。这种主动的方法可确保用户不会感到不知所措或困惑，从而降低流失率并提高整体采用率。
• **自动创建本地通行密钥：**如果客户通过跨设备身份验证登录，他们可以选择在当前使用的环境中创建本地通行密钥，从而提高通行密钥在其所有设备上的采用率。在当前桌面设备不提供平台身份验证器来创建通行密钥的情况下，可以采用移动优先的策略在手机上创建通行密钥。
• **自动通行密钥升级：**Corbado 的决策引擎促进了用户自动升级到通行密钥，在无需用户积极参与的情况下显着提高了采用率。这种无缝过渡由我们的通行密钥智能 (passkey intelligence) 决策引擎提供支持，该引擎在 iOS 18+ 设备（更多设备即将推出）上自动运行。

我们确保更多用户毫不费力地采用通行密钥，实现比自己动手 (DIY) 实施通行密钥高出 10 倍的采用率。

5.2 最大化通行密钥登录率#

第二个重要的步骤是在可能的情况下触发通行密钥登录，并积极鼓励重复使用现有的通行密钥。

• **标识符优先方法：**首先仅要求提供标识符（例如电子邮件地址），然后自动确定是否可以进行通行密钥登录，从而简化登录过程，这种方法简化了用户体验并鼓励了更高的通行密钥使用率。此方法减少了用户登录所需的步骤，使该过程比提供一个消费者经常忽略的单独“使用通行密钥登录”按钮更快捷、更直观。
• **跨设备身份验证和一键通行密钥登录 (One Tap Passkey Login)：**当没有可用的本地通行密钥时，Corbado 会自动回退到 WebAuthn 跨设备身份验证。此外，一旦设备上记录了通行密钥登录，用户标识符字段就会自动转换为一键通行密钥登录按钮，使登录更加无缝。

5.3 结果：短信成本降低 90%，通行密钥采用率提高 10 倍#

Corbado 最大化通行密钥采用率和登录率的创新方法与 DIY 方法相比具有显著优势。通过利用这种智能设计，我们确保用户不仅集成而且积极采用通行密钥，从而使采用率和登录率提高多达 10 倍。这种转变不仅增强了安全性和用户体验，而且带来了显著的成本节省，特别是将短信 OTP 费用降低了高达 90%。在即将到来的通行密钥时代，高效和安全的身份验证非常重要，Corbado 作为推动采用和成本效益的领导者脱颖而出。

6. 结论#

总而言之，通行密钥为解决基于短信的身份验证的缺点提供了实用的解决方案。它们提供强大的安全性、成本效益和出色的用户体验，使其成为智能的替代方案。凭借生物识别技术和条件 UI 等用户友好的功能，通行密钥使安全性变得无缝，并跨平台提供顺畅的用户体验。对于希望提升其身份验证水平的公司，Corbado 的通行密钥解决方案是一种简单的方法，可以增强安全性、削减成本并抛开基于短信的身份验证的挑战。联系我们，为您的短信 OTP / 2FA 设置量身定制通行密钥身份验证解决方案。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。 与 Passkey 专家交谈 →