Prawdopodobnie wydajesz zbyt dużo na weryfikację opartą na SMS-ach

Każde OTP, które wysyłasz za pośrednictwem SMS-a, zużywa Twój budżet i cierpliwość Twoich użytkowników. Oczywiste jest, że weryfikacja oparta na SMS-ach stała się sposobem weryfikacji użytkowników i blokowania nieautoryzowanego dostępu. Jednak spamowanie użytkowników kodami za każdym razem, gdy chcą się zalogować, nie przysparza Ci żadnych fanów i zdecydowanie nie jest tanie. Jak więc chronić konta użytkowników, nie wydając więcej niż to konieczne lub nie irytując osób, które próbujesz chronić? W tym poście przedstawię strategie ochrony kont bez nadmiernego zwiększania rachunku za SMS-y.

Koszt weryfikacji SMS

Dla firm każda wysłana wiadomość SMS oznacza koszt, szczególnie gdy masz do czynienia z aplikacjami o dużej liczbie wiadomości. Na przykład popularny dostawca usług komunikacyjnych Twilio może kosztować od 0,0079 do 0,75 USD za wiadomość w zależności od miejsca docelowego i operatora! I nie tylko legalni użytkownicy generują koszty. Ponadto, oszustwa związane z pompowaniem wiadomości SMS również zwiększają rachunek. Chociaż nie jest to zweryfikowane, szacuje się, że Twitter tracił 60 milionów dolarów rocznie na pompowaniu wiadomości SMS przed ograniczeniem tej funkcji. Aby zmniejszyć zależność od wiadomości SMS i obniżyć koszty bez narażania bezpieczeństwa, możesz użyć innych rozwiązań do weryfikacji użytkowników jako alternatywy dla wysyłania SMS-ów z OTP.

Metody obniżania kosztów weryfikacji SMS

Zmniejszenie kosztów SMS-ów nie oznacza poświęcenia bezpieczeństwa. Poprzez eksplorację mieszanki alternatywnych metod, firmy mogą utrzymać silną ochronę konta bez polegania wyłącznie na SMS-ach przy każdej weryfikacji. Zamiast wysyłać weryfikacje SMS-owe, możesz:

• Użyj innych kanałów do wysyłania kodów : Dostarczanie OTP za pośrednictwem powiadomień push, wiadomości e-mail lub aplikacji do przesyłania wiadomości, takich jak WhatsApp, zapewnia bezpieczną i niedrogą alternatywę dla wiadomości SMS. Powiadomienia push dobrze sprawdzają się w przypadku aplikacji mobilnych, a linki weryfikacyjne e-mail są znane i łatwe do wdrożenia. Koszty wiadomości WhatsApp są znacznie niższe w porównaniu do SMS — na przykład Twilio oferuje ceny od 0,0014 do 0,0768 USD za rozmowę uwierzytelniającą dla WhatsApp . Każdy z tych kanałów zmniejsza zależność od wiadomości SMS i koszty bez narażania bezpieczeństwa.
• Pomiń wysyłanie kodów; po prostu je zatwierdź : Aplikacje uwierzytelniające, takie jak Google Authenticator lub Authy firmy Twilio, umożliwiają użytkownikom generowanie własnych kodów weryfikacyjnych, skutecznie eliminując potrzebę wiadomości SMS i często zapewniając bardziej opłacalne rozwiązanie. Na przykład usługa TOTP firmy Twilio kosztuje tylko 0,05 USD za pomyślną weryfikację . Po skonfigurowaniu ta metoda oferuje użytkownikom wygodny sposób na bezpieczną weryfikację tożsamości użytkownika, jednocześnie utrzymując solidną ochronę przed nieautoryzowanym dostępem.
• Wykorzystaj inne rodzaje weryfikacji : Oprócz kodów, techniki takie jak biometria oferują skuteczne sposoby uwierzytelniania użytkowników bez SMS-ów, gdy są dostępne. Biometria, taka jak odcisk palca lub rozpoznawanie twarzy, zapewnia płynne i bezpieczne działanie, szczególnie na zaufanych urządzeniach.

Wady alternatyw dla SMS-ów

Chociaż te alternatywy mogą z pewnością obniżyć koszty, zmiana na nie wymaga dostosowania istniejącego przepływu uwierzytelniania, co może nie być idealne dla każdej firmy. SMS pozostaje szeroko dostępny i nie wymaga od użytkowników pobierania ani konfigurowania określonej aplikacji, takiej jak WhatsApp lub Google Authenticator. Jest również dostępny na wszystkich urządzeniach mobilnych, co czyni go bardziej wszechstronnym niż metody takie jak biometria, które są zwykle ograniczone do smartfonów.

Ponadto użytkownicy często są bardziej zaznajomieni z weryfikacją opartą na SMS-ach, co może sprawić, że będzie to płynniejsze doświadczenie z mniejszym tarciem, co prowadzi do wyższych współczynników konwersji i większego zaangażowania. Te czynniki sprawiają, że SMS jest atrakcyjną opcją, zapewniającą dostępność i łatwość użytkowania, które mogą być trudne do dopasowania do innych metod weryfikacji.

W jaki więc inny sposób firmy mogą obniżyć koszty, jeśli chcą nadal używać wiadomości SMS do weryfikacji użytkowników, poza negocjowaniem lepszych stawek z operatorem?

Jednym ze skutecznych podejść jest zmniejszenie liczby wysyłanych wiadomości SMS poprzez strategiczne podejście do tego, kiedy je wywołać. W tym miejscu wchodzą w grę techniki takie jak odcisk palca urządzenia. Umożliwia to firmom identyfikację zaufanych przeglądarek lub urządzeń i monitowanie o weryfikację SMS tylko wtedy, gdy jest to konieczne.

Czym jest odcisk palca urządzenia?

Odcisk palca urządzenia to metoda rozpoznawania unikalnych urządzeń na podstawie kombinacji ich cech, takich jak ustawienia przeglądarki, system operacyjny, rozdzielczość ekranu, preferencje językowe, zainstalowane wtyczki i inne nieosobowe szczegóły identyfikacyjne. Każde urządzenie ma charakterystyczny „odcisk palca” składający się z tych atrybutów, co umożliwia identyfikację powracających użytkowników, nawet gdy tradycyjne metody, takie jak pliki cookie, nie są dostępne lub są usuwane.

W przeciwieństwie do adresów IP, które są dynamiczne i łatwo maskowane przez VPN-y lub serwery proxy, odcisk palca urządzenia oferuje bardziej niezawodny i trwały sposób rozpoznawania urządzeń. Działa pasywnie, bez konieczności przechowywania danych na urządzeniu użytkownika i trudniej go uniknąć. Opiera się na zróżnicowanym zestawie atrybutów, które są trudne do sfałszowania lub powielenia, a jednocześnie pozostają skuteczne, nawet gdy poszczególne elementy zmieniają się w czasie.

Dzięki temu jest szczególnie skuteczny w wykrywaniu i zapobieganiu oszustwom związanym z przejęciem konta, ponieważ może odkrywać wzorce podejrzanego zachowania i próby ukrycia tożsamości urządzenia, zapewniając dodatkową warstwę zabezpieczeń w porównaniu z innymi metodami rozpoznawania. Ponadto atrybuty zebrane do odcisku palca urządzenia mogą być używane do wykrywania czerwonych flag, sygnalizujących potencjalnie ryzykownych użytkowników, takich jak korzystanie z przeglądarek bezgłowych lub niezgodnych stref czasowych.

W jaki sposób rozpoznawanie urządzeń może pomóc

Gdy będziesz w stanie niezawodnie rozpoznać powracające urządzenie, będziesz mógł zapamiętać zaufane urządzenia bez konieczności przeprowadzania przez użytkowników powtarzających się kontroli bezpieczeństwa. To rozpoznanie przynosi kilka korzyści:

• Oszczędność kosztów : rozpoznanie urządzenia powracającego użytkownika jako zaufanego eliminuje potrzebę wysyłania jednorazowego hasła SMS w celu zalogowania się na konto, co zmniejsza częstotliwość wysyłania wiadomości i obniża koszty.
• Lepsze doświadczenie użytkownika : dzięki identyfikacji zaufanych urządzeń uprawnieni użytkownicy mogą pominąć weryfikację OTP, co zapewnia im szybszy dostęp do Twojej witryny lub aplikacji i zmniejsza frustrację.
• Lepsze zabezpieczenia : zapewnienie spójności urządzenia podczas logowania zapewnia dodatkową warstwę ukrytej weryfikacji, chroniąc konta klientów poprzez utrudnienie oszustom podszywania się pod legalnych użytkowników.
• Wykrywanie ryzyka : Analiza atrybutów urządzenia umożliwia identyfikację podejrzanych lub wysokiego ryzyka urządzeń, co pozwala blokować potencjalne zagrożenia i zwiększać ogólne bezpieczeństwo konta.

Korzystanie z odcisku palca urządzenia w procesie logowania nie tylko obniża koszty wiadomości SMS, ale także zwiększa bezpieczeństwo konta i poprawia komfort użytkowania.

Wdrażanie techniczne na wysokim poziomie

Ogólnie rzecz biorąc, integracja rozpoznawania urządzeń oznacza osadzenie go w procesie logowania lub weryfikacji użytkownika w celu identyfikacji powracających użytkowników na podstawie ich urządzenia i cech przeglądarki.

1. Zidentyfikuj użytkownika : Niezależnie od tego, czy korzystasz ze specjalnych narzędzi do identyfikacji urządzeń, czy z płatnej usługi, zacznij od zebrania danych o użytkowniku (takich jak typ urządzenia, przeglądarka, adres IP itp.) i połącz je w celu utworzenia unikalnego identyfikatora.
2. Przypisz wyniki ryzyka : Każdemu użytkownikowi przypisz wynik ryzyka na podstawie bieżących i poprzednich atrybutów urządzenia oraz spójności ich cech. Czynniki te mogą obejmować punkty danych, takie jak użycie VPN, nieoczekiwane lokalizacje IP lub nietypowe atrybuty, które wskazują na możliwe użycie narzędzi do unikania zabezpieczeń.
3. Wdróż weryfikację warunkową : Pomiń weryfikację SMS dla użytkowników logujących się z urządzeń uznanych za zaufane dla danego konta i oznaczonych flagami wolnego od ryzyka. Weryfikacja SMS jest wyzwalana tylko dla nowych lub nierozpoznanych urządzeń na koncie lub gdy podczas prób logowania zostaną wykryte cechy wysokiego ryzyka, takie jak atrybuty przeglądarki bezgłowej.

Przestań wydawać za dużo na weryfikację użytkowników za pomocą SMS-ów

Łącząc SMS OTP z warstwą rozpoznawania inteligentnych urządzeń, możesz zrównoważyć efektywność kosztową, wygodę użytkownika i bezpieczeństwo. Zaufane rozpoznawanie urządzeń zmniejsza zależność od częstej weryfikacji SMS, obniżając koszty przy jednoczesnym zachowaniu silnej ochrony.

W przeciwieństwie do adresów IP i plików cookie, które można łatwo zmienić lub usunąć, odcisk palca urządzenia oferuje bardziej niezawodny i trwały sposób rozpoznawania użytkowników. Podczas gdy sam SMS jest kosztowny i niewygodny, a pomijanie weryfikacji osłabia bezpieczeństwo, dodanie odcisku palca urządzenia zmniejsza koszty SMS, usprawnia przepływy logowania i wzmacnia ochronę konta.