如何使用 Passkeys 降低短信成本

在 X（前身为 Twitter）宣布自 2023 年 3 月 20 日起，停止为非 Twitter Blue 用户提供基于短信的双因素认证 (2FA) 以应对欺诈者滥用基于短信的 2FA 后，人们开始关注基于短信的认证可能存在的其他弊端。

尽管公司普遍采用这种认证方式（单因素和双因素）来为用户提供更好的账户保护，但这种认证方法除了安全问题外，通常还伴随着更多的缺点。

在本文中，我们将探讨这些缺点，包括欺诈以及在成本、可靠性和用户体验方面的挑战。为了解决这些问题，Passkeys 可以作为新的无密码标准认证方法，它在许多方面都优于基于短信的认证方法。

鉴于 Passkeys 的潜在替代应用，我们 Corbado 提供即插即用的 Passkey 解决方案，让互联网变得更安全，并立即为您的企业节省巨额的短信相关费用。

在探讨基于短信的认证的缺点之前，我们有必要了解其基本概念。基于短信的认证主要包括两种类型：

• 单因素认证
• 双因素认证

前者包括通过短信发送一次性密码 (OTP) 等方法，提供一种无需传统密码的登录替代方案。后者则采用两步验证过程来确保 2FA 保护。用户首先使用用户名/邮箱和密码注册/登录，然后通过发送到手机的短信一次性密码来确认注册/登录。

让我们通过揭示与此登录方法相关的不同欺诈形式，深入探讨基于短信认证的缺点，并发现其在可靠性、用户体验以及实施、运营和维护此认证技术所产生的财务成本方面的挑战。

短信发明于 20 多年前，此后从未进行过任何重大的安全更新。这就是为什么短信欺诈是一个巨大的问题。

在基于短信的认证中，当用户请求通过短信发送认证码或链接时，服务提供商会通过短信将代码或链接发送到用户的手机号码。短信流量***利用这一过程，向特定电话号码发送大量不必要的、通常是欺诈性的短信。

短信流量***骗局的欺诈者利用移动网络运营商 (MNO) 和消息服务提供商之间的收入分成协议。他们的目的是夸大短信流量，为自己创造更高的收入，因为消息服务提供商每发送一条消息都要向 MNO 支付费用。正如一位 Stytch 现任员工在 Hacker News 上指出的那样，MNO 在这里通过分享收入与***合作。虽然一些特定的预防措施，如禁用电话号码接收短信（地理权限）、实施速率限制和检测机器人，可以帮助减轻短信流量***的影响，但由于发送过程的设计，几乎不可能完全消除滥用。

结果，企业和服务提供商常常因传入消息的激增而面临巨额开支。Commsrisk 表示，仅 Twitter 一家每年就因短信流量***损失高达 6000 万美元。此外，合法用户在接收认证码或链接时也可能遇到延迟。

在这种类型的欺诈中，欺诈者利用 MNO 基础设施中的漏洞，将受害者的手机号码转移到一张新的 SIM 卡上。通过这样做，攻击者获得了对受害者电话号码的控制权，从而可以拦截收到的短信，包括认证码或链接。一旦他们控制了用户的电话号码，他们就可以绕过认证过程，未经授权地访问用户在各个平台上的账户。SIM 卡交换攻击很难被发现。攻击者通常使用社交工程来欺骗 MNO 客户支持，使他们能够将受害者的号码转移到新的 SIM 卡上。由于相关用户的公司通常对此毫不知情，SIM 卡交换攻击通常会导致数据泄露、财务损失和公司声誉受损。

短信成本高昂，而且没有明显的趋势表明短信价格会下降。

对于基于短信的认证，有两种实施方案。您可以选择构建和维护一个内部系统，或者使用外部认证解决方案。虽然混合搭配的方法是可行的，但为了简单起见，推荐使用后一种方案。根据 Messente 的一项调查，内部构建一个仅限短信的 2FA 解决方案的成本很容易达到五位数。这就是为什么选择通常更便宜的外部解决方案往往是更好的主意。

由于向用户发送基于短信的认证消息非常复杂，几乎所有公司都会选择经验丰富的提供商。他们的服务会产生交易成本，这些成本因所选提供商而异。这些成本取决于以下因素：

• 发送的短信数量
• 短信发送的目标国家
• 附加功能

一些提供商可能会对通过短信成功认证收取额外费用，尽管这通常已包含在总价中。根据 miniOrange 的数据，交易价格通常在每条短信 0.01 到 0.20 美元之间，直接与主要提供商连接的高质量短信服务起价约为 0.06 美元。由于数字产品的用户通常位于不同国家，购买各种短信套餐会增加开支。根据我们的信息，这显示了仅发送认证消息的成本就能迅速飙升，以及为什么基于短信的认证每年让一家领先的电子商务公司花费 1200 万美元。显然，您可以只为关键目标国家提供基于短信的认证，从而节省资金，但这只是杯水车薪，并且还会对某些用户的用户体验产生负面影响。

大部分维护成本通常包含在交易价格中。这些费用包括使提供商能够管理大量短信、促进向各种 MNO 的国际短信发送、实施必要的安全措施以及确保合规性的相关开支。然而，公司可能会产生额外费用，例如处理与短信提供商的供应商关系、提供用户支持以及分配资源来解决停机和技术问题。

在基于短信的认证背景下，这指的是短信的一致和及时送达，以及通过发送的认证码对认证系统的持续可访问性。根据当地的基础设施，消息传递延迟、网络拥塞和潜在的系统停机可能会阻碍认证码的及时接收。这可能导致用户感到沮丧并妨碍认证过程。

需要考虑的一个关键方面是不同平台之间用户友好性的差异。基于短信的认证在移动设备上表现出色，因为自动填充功能使认证码输入变得容易。相反，在桌面上，您必须使用额外的设备——您的手机——来手动输入认证码，导致体验不那么直观和方便。如前所述，当发生欺诈攻击或在短信发送和认证码检索中出现问题时，用户体验也会受到影响。

到目前为止，Passkeys 主要被视为仅替代密码的无密码方案。

此外，由于 Passkeys 提供了内置的 2FA 功能，它们可以作为密码和任何类型的基于短信认证的替代方案。这增强了安全性，并避免了基于短信的一次性密码所带来的用户体验挑战。通过取代认证消息，Passkeys 带来了实质性的好处，有效消除了基于短信认证的缺点。

与可能被拦截和操纵的基于短信的认证不同，由于使用了公钥基础设施，Passkeys 提供了针对所有形式欺诈攻击的强大保护。这确保了即使发生服务器泄露，用户账户仍然受到保护，因为关键的私钥安全地保留在用户的设备内，嵌入在操作系统中。此外，Passkeys 与特定注册在线服务的关联是防范网络钓鱼攻击的对策，使 Passkeys 成为目前最安全的认证方法。

与基于短信的认证类似，实施 Passkeys 也存在相关成本。虽然可以内部处理实施，但专注于安全认证通常会导致人们更倾向于选择专家。他们的专业知识成本仅为内部成本的一小部分，并且与基于短信的认证提供商收取的实施费用相当。从成本角度来看，投资 Passkeys 的显著优势是无需为登录和注册发送短信。相反，用户可以使用 Face ID 或 Touch ID 安全登录。这不仅每年可能为认证节省数百万美元的成本（特别是对于面向消费者的大型企业），而且还消除了发送和接收短信时可能出现的所有挑战。

为了验证用户的电话号码（通常用于营销或其他通信目的），发送带有一次性密码的初始短信仍然是一个选项。这允许短信与 Passkeys 并行运行。此外，短信可以作为备用方法。这两种情况与传统基于短信的认证的关键区别在于，短信只是偶尔发送，而不是每次登录都发送。

采用生物识别技术（例如 Face ID、Touch ID、Windows Hello）来解锁手机和桌面设备已迅速成为用户的常态。Passkeys 现在将这种熟悉的体验扩展到账户解锁。鉴于大多数手机和桌面设备已经支持 Passkeys，它们为基于短信的认证提供了一对一的替代方案。通过设备的本地指纹或面部扫描，消除了像基于笔记本电脑的短信认证那样需要辅助设备的要求。这一重大改进简化了用户体验，使账户登录变得毫不费力。Passkeys 的另一个独特功能是条件化 UI (Conditional UI)。当用户与用户名输入字段交互时，此功能会自动建议并预填充存储的 Passkeys，从而增强了用户便利性。这消除了手动搜索凭据（包括用户名）的需要，因为这些凭据已安全地存储在设备或浏览器中并自动预填充。

向基于 Passkey 的认证过渡不仅是为了更流畅的登录用户体验和更好的（抗网络钓鱼）MFA。如果能实现以下两点，Passkeys 还可以节省大量的短信 OTP 成本：

• 高 Passkey 采用率
• 高 Passkey 登录率

Corbado 的 Passkey 技术和智能设计专注于优化这两个方面，以实现高额的短信成本节省。与传统的 DIY 解决方案相比，我们实现了高达 90% 的成本节省和 10 倍的 Passkey 采用率。让我们看看是如何做到的。

第一步是通过允许现有用户在账户设置中创建 Passkeys，将他们转换为 Passkey 用户。然而，仅此一项不足以提高现有用户群的 Passkey 采用率。Corbado 提供了几种解决方案：

• 渐进式自动注册： 我们的 passkey 智能引擎旨在优化 Passkey 注册流程，在可能的情况下（例如，在使用传统认证方法登录时）以平滑无摩擦的方式引导用户采用 Passkey。这种主动的方法确保用户不会感到不知所措或困惑，从而降低流失率并提高整体采用率。
• 自动创建本地 Passkey： 如果客户通过跨设备认证登录，他们会被提供一个选项，在当前使用的环境中创建本地 Passkey，从而提高其所有设备上的 Passkey 采用率。在当前桌面设备不提供平台认证器来创建 Passkey 的情况下，可以采用移动优先策略在手机上创建 Passkey。
• 自动 Passkey 升级： Corbado 的决策引擎促进用户自动升级到 Passkeys，显著提高采用率，而无需用户主动参与。这一无缝过渡由我们的 passkey 智能引擎提供支持，该引擎在 iOS 18 及以上版本的设备上自动工作（未来将支持更多设备）。

我们确保更多用户能毫不费力地采用 Passkeys，实现比自己动手（DIY）的 Passkey 实施方案高 10 倍的采用率。

第二个重要步骤是尽可能触发 Passkey 登录，并积极鼓励重复使用现有的 Passkeys。

• 标识符优先方法： 通过仅要求输入标识符（例如电子邮件地址）来开始登录过程，然后自动确定是否可以进行 Passkey 登录，这简化了用户体验并鼓励了更高的 Passkey 使用率。这种方法减少了用户登录所需的步骤，使过程比提供一个消费者经常忽略的单独的“使用 Passkey 登录”按钮更快捷、更直观。
• 跨设备认证和一键 Passkey 登录： 当没有本地 Passkey 可用时，Corbado 会自动回退到 WebAuthn 跨设备认证。此外，一旦在设备上记录了 Passkey 登录，用户标识符字段会自动转换为一个一键 Passkey 登录按钮，使登录更加无缝。

Corbado 的最大化 Passkey 采用率和登录率的创新方法比 DIY 方法具有显著优势。通过利用这种智能设计，我们确保用户不仅集成而且积极采用 Passkeys，从而实现高达 10 倍的采用率和登录率。这种转变不仅增强了安全性和用户体验，还带来了可观的成本节省，特别是通过将短信 OTP 费用减少高达 90%。在即将到来的 Passkey 时代，高效和安全的认证至关重要，Corbado 在推动采用率和成本效益方面脱颖而出，成为领导者。

总而言之，Passkeys 提供了一个实用的解决方案来解决基于短信认证的缺点。它们提供了强大的安全性、成本效益和卓越的用户体验，使其成为一个明智的替代方案。凭借生物识别技术和条件化 UI 等用户友好功能，Passkeys 使安全无缝，用户体验在各个平台上都流畅。对于希望提升其认证水平的公司来说，Corbado 的 Passkey 解决方案是增强安全性、削减成本并摆脱基于短信认证挑战的简单方法。请联系我们，为您的短信 OTP / 2FA 设置量身定制 Passkey 认证解决方案。