SMS 経由で送信する OTP は、予算とユーザーの忍耐力を消耗させます。SMS ベースの認証が、ユーザー認証と不正アクセスのブロックに欠かせないものになっていることは明らかです。しかし、ユーザーがログインしようとするたびにコードを送りつけるのは、ユーザーの支持を得ることにはなりませんし、決して安くはありません。では、必要以上に費用をかけたり、保護しようとしている人々を困らせたりすることなく、ユーザーのアカウントを保護するにはどうすればよいでしょうか。この記事では、SMS 料金を不当に増やすことなくアカウントを保護するための戦略について詳しく説明します。  SMS認証のコスト 企業にとって、送信されるすべての SMS はコストになります。特に、大量のアプリケーションを扱っている場合はそうです。たとえば、人気の通信プロバイダー Twilio の SMS 料金は、送信先とキャリアによって、  の範囲です。コストを増大させているのは正当なユーザーだけではありません。それに加えて、SMS ポンピング詐欺も請求額に上乗せされます。検証はされていませんが、Twitter は と推定されています。SMS への依存を減らし、セキュリティを損なうことなくコストを削減するには、OTP をテキスト送信する代わりに、他のソリューションを使用してユーザーを検証できます。 1 メッセージあたり 0.0079 ドルから 0.75 ドル SMS ポンピング機能を制限する前は、年間 6,000 万ドルの損失を被っていた  SMS認証コストを削減する方法 SMS のコストを削減することは、セキュリティを犠牲にすることではありません。さまざまな代替手段を検討することで、企業はすべての検証に SMS のみに頼ることなく、強力なアカウント保護を維持できます。SMS 検証を送信する代わりに、次のことができます。 : プッシュ通知、メール、WhatsApp などのメッセージング アプリを通じて OTP を配信すると、SMS に代わる安全でコスト効率の高い方法となります。プッシュ通知はモバイル アプリに適していますが、メールの確認リンクは使い慣れていて簡単に実装できます。WhatsApp のメッセージ コストは SMS に比べてはるかに安価です。たとえば、Twilio は の価格を提供しています。これらの各チャネルは、セキュリティを損なうことなく、SMS への依存とコストを削減します。 他のチャネルを使用してコードを送信する WhatsApp の認証会話ごとに 0.0014 ～ 0.0768 ドル : Google Authenticator や Twilio の Authy などの認証アプリを使用すると、ユーザーは独自の検証コードを生成できるため、SMS が不要になり、多くの場合、よりコスト効率の高いソリューションが提供されます。たとえば、Twilio の TOTP サービスは かかります。この方法を設定すると、ユーザーは不正アクセスに対する強力な保護を維持しながら、ユーザー ID を安全に検証する便利な方法を得ることができます。 コードの送信をスキップして検証のみ 、検証が成功するたびにわずか 0.05 ドル : コード以外にも、生体認証などの技術は、利用可能な場合は SMS なしでユーザーを認証する効果的な方法を提供します。指紋や顔認識などの生体認証は、特に信頼できるデバイス上でシームレスで安全なエクスペリエンスを提供します。 他の種類の検証を活用する   SMS代替手段の欠点 これらの代替手段は確かにコストを削減できますが、それらに変更するには既存の認証フローを調整する必要があり、すべてのビジネスに最適とは限りません。SMS は広くアクセス可能であり、ユーザーは WhatsApp や Google Authenticator などの特定のアプリをダウンロードしたり設定したりする必要はありません。また、すべてのモバイル デバイスで利用できるため、通常はスマートフォンに限定される生体認証などの方法よりも汎用性があります。 さらに、ユーザーは SMS ベースの認証に慣れていることが多いため、よりスムーズな体験が可能になり、摩擦が少なくなり、コンバージョン率とエンゲージメントが向上します。これらの要素により、SMS は他の認証方法では実現が難しいアクセシビリティと使いやすさを提供する魅力的なオプションとなっています。 では、ユーザー認証に SMS を使い続けたい場合、プロバイダーとより良い料金を交渉する以外に、企業はどのようにしてコストを削減できるのでしょうか? 効果的なアプローチの 1 つは、SMS を送信するタイミングを戦略的に決めて、送信される SMS メッセージの数を減らすことです。ここで、デバイス フィンガープリンティングなどの技術が役立ちます。これにより、企業は信頼できるブラウザーやデバイスを識別し、必要な場合にのみ SMS 検証を求めることができます。 デバイスフィンガープリンティングとは何ですか? デバイス フィンガープリントとは、ブラウザー設定、オペレーティング システム、画面解像度、言語設定、インストールされているプラグイン、その他の個人を特定しない詳細などの特性の組み合わせに基づいて、固有のデバイスを認識する方法です。各デバイスには、これらの属性で構成された固有の「フィンガープリント」があり、これにより、Cookie などの従来の方法が利用できない場合や削除されている場合でも、再訪ユーザーを識別することができます。 動的で VPN やプロキシによって簡単にマスクされる IP アドレスとは異なり、デバイス フィンガープリンティングは、より信頼性が高く永続的なデバイス認識方法を提供します。ユーザーのデバイスにデータを保存する必要がなく受動的に動作し、回避が困難です。偽造や複製が困難な多様な属性セットに依存しており、個々の要素が時間の経過とともに変化しても有効性を維持します。 これにより、疑わしい行動のパターンやデバイス ID を偽装する試みを発見できるため、アカウント乗っ取り詐欺の検出と防止に特に効果的であり、他の認識方法に比べて強力な追加のセキュリティ層を提供します。さらに、デバイス フィンガープリンティング用に収集された属性を使用して、ヘッドレス ブラウザの使用やタイム ゾーンの不一致など、潜在的にリスクのあるユーザーを知らせる危険信号を検出できます。 デバイス認識がどのように役立つか 返却されたデバイスを確実に認識できるようになれば、ユーザーに繰り返しセキュリティ チェックを行わせることなく、信頼できるデバイスを記憶することができます。この認識には、次のようないくつかの利点があります。 : 戻ってきたユーザーのデバイスを信頼できるデバイスとして認識すると、アカウント ログイン用の SMS OTP を送信する必要がなくなり、メッセージの頻度が減り、コストが削減されます。 コスト削減 : 信頼できるデバイスを識別することで、正当なユーザーは OTP 検証をスキップでき、サイトやアプリへのアクセスが高速化され、ストレスが軽減されます。 より優れたユーザー エクスペリエンス : ログイン時にデバイスの一貫性を確保することで、隠れた検証の層が追加され、詐欺師が正当なユーザーを偽装することが困難になり、顧客のアカウントが保護されます。 より強力なセキュリティ : デバイス属性を分析することで、疑わしいデバイスやリスクの高いデバイスを特定し、潜在的な脅威をブロックしてアカウント全体のセキュリティを強化できます。 リスク検出 ログインフローでデバイス フィンガープリンティングを使用すると、SMS コストが削減されるだけでなく、アカウントのセキュリティが強化され、ユーザー エクスペリエンスが向上します。 高度な技術的実装 大まかに言えば、デバイス認識を統合するということは、ログインまたはユーザー検証フローにデバイス認識を埋め込んで、デバイスとブラウザの特性に基づいてリピーターユーザーを識別することを意味します。 : カスタムビルドのデバイス識別ツールを使用する場合でも、有料サービスを使用する場合でも、まず特性 (デバイスの種類、ブラウザ、IP アドレスなど) を収集し、それらを組み合わせて一意の識別子を作成します。 ユーザーを識別する : 各ユーザーに対して、現在のデバイス属性と以前のデバイス属性、およびそれらの特性の一貫性に基づいてリスク スコアを割り当てます。これらの要素には、VPN の使用、予期しない IP ロケーション、回避ツールが使用されている可能性を示す異常な属性などのデータ ポイントが含まれる場合があります。 リスク スコアの割り当て : そのアカウントに対して信頼できると認識され、リスク フラグのないデバイスからログインするユーザーに対しては、SMS 検証をスキップします。SMS 検証は、アカウント上の新しいデバイスまたは認識されていないデバイスに対して、またはログイン試行中にヘッドレス ブラウザ属性などの高リスク特性が検出された場合にのみトリガーされます。 条件付き検証を実装する  SMSユーザー認証への過剰な支出をやめる SMS OTP とスマート デバイス認識レイヤーを組み合わせることで、コスト効率、ユーザーの利便性、セキュリティのバランスをとることができます。信頼できるデバイス認識により、頻繁な SMS 検証への依存が軽減され、強力な保護を維持しながらコストを削減できます。 簡単に変更または削除される IP アドレスや Cookie とは異なり、デバイス フィンガープリンティングは、ユーザーを認識するためのより信頼性が高く永続的な方法を提供します。SMS のみではコストがかかり不便であり、検証を省略するとセキュリティが弱まりますが、デバイス フィンガープリンティングを追加すると、SMS コストが削減され、ログイン フローが合理化され、アカウント保護が強化されます。

The is an opinion piece based on the author’s POV and does not necessarily reflect the views of HackerNoon.

Read My Stories

このオーディオは、ストーリーの元の言語で制作されています。

SMSベースの認証に多額の費用をかけすぎている可能性があります

About Author

コメント

ラベル

この記事は

Related Stories

目に見えない層: ユーザーインタビューがかけがえのない資産である理由

デジタルノマドの皆さん、タイの新しい DTV ビザについて知っておくべきこと

ユニークなエコシステムを支えるビットコインUTXOのモデル

Telegram: クリプト島と本土を結ぶ橋

目に見えない層: ユーザーインタビューがかけがえのない資産である理由

デジタルノマドの皆さん、タイの新しい DTV ビザについて知っておくべきこと

ユニークなエコシステムを支えるビットコインUTXOのモデル

Telegram: クリプト島と本土を結ぶ橋

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps