คุณอาจใช้จ่ายมากเกินไปกับการยืนยันผ่าน SMS

ทุกๆ OTP ที่คุณส่งผ่าน SMS จะทำให้เงินในกระเป๋าของคุณหมดไป และผู้ใช้ของคุณก็หมดความอดทนไปด้วย เห็นได้ชัดว่าการยืนยันผ่าน SMS กลายเป็นวิธีหลักในการยืนยันผู้ใช้และบล็อกการเข้าถึงโดยไม่ได้รับอนุญาต แต่การส่งรหัสสแปมให้ผู้ใช้ทุกครั้งที่ต้องการเข้าสู่ระบบไม่ได้ทำให้คุณได้รับความนิยมแต่อย่างใด และแน่นอนว่าไม่ใช่วิธีที่ถูกเลย ดังนั้น คุณจะปกป้องบัญชีผู้ใช้ของคุณได้อย่างไรโดยไม่ต้องเสียเงินเกินความจำเป็นหรือสร้างความรำคาญให้กับผู้ใช้ที่คุณพยายามปกป้อง ในโพสต์นี้ ฉันจะอธิบายกลยุทธ์ต่างๆ เพื่อปกป้องบัญชีโดยไม่ต้องเสียค่า SMS มากเกินไป

ค่าธรรมเนียมการยืนยันทาง SMS

สำหรับธุรกิจ การส่ง SMS แต่ละครั้งนั้นมีค่าใช้จ่าย โดยเฉพาะอย่างยิ่งเมื่อคุณต้องจัดการกับแอปพลิเคชันที่มีปริมาณการใช้งานสูง ตัวอย่างเช่น ผู้ให้บริการการสื่อสารยอดนิยมอย่าง Twilio คิดค่าบริการ SMS ตั้งแต่ 0.0079 ถึง 0.75 ดอลลาร์ต่อข้อความ ขึ้นอยู่กับปลายทางและผู้ให้บริการ! และไม่ใช่แค่ผู้ใช้ที่ถูกกฎหมายเท่านั้นที่ต้องเสียค่าใช้จ่าย นอกจากนี้ การหลอกลวงในการส่ง SMS ยังทำให้ค่าใช้จ่ายเพิ่มขึ้นอีกด้วย แม้ว่าจะยังไม่ได้ตรวจสอบ แต่คาดว่า Twitter จะ สูญเสียเงิน 60 ล้านดอลลาร์ต่อปีจากการส่งข้อความ SMS ก่อนที่จะจำกัดฟีเจอร์นี้ หากต้องการลดการพึ่งพา SMS และลดต้นทุนโดยไม่กระทบต่อความปลอดภัย คุณสามารถใช้โซลูชันอื่นในการยืนยันผู้ใช้เป็นทางเลือกแทนการส่ง OTP

วิธีการลดต้นทุนการยืนยันทาง SMS

การลดต้นทุน SMS ไม่ได้หมายความว่าต้องเสียสละความปลอดภัย ด้วยการใช้แนวทางผสมผสาน ธุรกิจต่างๆ สามารถรักษาการป้องกันบัญชีที่แข็งแกร่งได้โดยไม่ต้องพึ่งพา SMS เพียงอย่างเดียวสำหรับการยืนยันทุกครั้ง แทนที่จะส่งการยืนยันทาง SMS คุณสามารถ:

• ใช้ช่องทางอื่นในการส่งรหัส : การส่งรหัส OTP ผ่านการแจ้งเตือนแบบพุช อีเมล หรือแอปส่งข้อความ เช่น WhatsApp เป็นทางเลือกที่ปลอดภัยและคุ้มต้นทุนแทน SMS การแจ้งเตือนแบบพุชใช้ได้ดีกับแอปมือถือ ในขณะที่ลิงก์ยืนยันอีเมลนั้นคุ้นเคยและใช้งานง่าย ต้นทุนข้อความ WhatsApp ถูกกว่า SMS มาก ตัวอย่างเช่น Twilio เสนอราคาตั้งแต่ $0.0014 ถึง $0.0768 ต่อการสนทนายืนยันตัวตนสำหรับ WhatsApp ช่องทางเหล่านี้แต่ละช่องทางช่วยลดการพึ่งพา SMS และต้นทุนโดยไม่กระทบต่อความปลอดภัย
• ข้ามการส่งรหัส เพียงแค่ยืนยันรหัสเท่านั้น : แอป Authenticator เช่น Google Authenticator หรือ Authy ของ Twilio ช่วยให้ผู้ใช้สร้างรหัสยืนยันของตัวเองได้ ช่วยลดความจำเป็นในการใช้ SMS และมักเป็นโซลูชันที่คุ้มต้นทุนกว่า ตัวอย่างเช่น บริการ TOTP ของ Twilio มีค่าใช้จ่ายเพียง 0.05 ดอลลาร์ต่อการยืนยันที่สำเร็จ เมื่อตั้งค่าแล้ว วิธีนี้จะช่วยให้ผู้ใช้สามารถตรวจสอบตัวตนของผู้ใช้ได้อย่างปลอดภัยในขณะที่ยังคงการป้องกันที่แข็งแกร่งต่อการเข้าถึงโดยไม่ได้รับอนุญาต
• ใช้ประโยชน์จากการตรวจสอบประเภทอื่น ๆ : นอกเหนือจากรหัส เทคนิคเช่นไบโอเมตริกส์ยังเป็นวิธีที่มีประสิทธิภาพในการยืนยันตัวตนของผู้ใช้โดยไม่ต้องใช้ SMS เมื่อทำได้ ไบโอเมตริกส์ เช่น ลายนิ้วมือหรือการจดจำใบหน้า มอบประสบการณ์ที่ราบรื่นและปลอดภัย โดยเฉพาะอย่างยิ่งบนอุปกรณ์ที่เชื่อถือได้

ข้อเสียของทางเลือก SMS

แม้ว่าทางเลือกเหล่านี้อาจช่วยลดต้นทุนได้ แต่การเปลี่ยนไปใช้ทางเลือกเหล่านี้ต้องปรับกระบวนการยืนยันตัวตนที่มีอยู่ ซึ่งอาจไม่เหมาะสำหรับทุกธุรกิจ SMS ยังคงเข้าถึงได้อย่างกว้างขวางและผู้ใช้ไม่จำเป็นต้องดาวน์โหลดหรือตั้งค่าแอปเฉพาะ เช่น WhatsApp หรือ Google Authenticator นอกจากนี้ยังใช้ได้กับอุปกรณ์พกพาทุกประเภท ทำให้มีความคล่องตัวมากกว่าวิธีการเช่นไบโอเมตริกส์ ซึ่งปกติจะจำกัดอยู่แค่สมาร์ทโฟนเท่านั้น

นอกจากนี้ ผู้ใช้มักคุ้นเคยกับการยืนยันผ่าน SMS มากกว่า ซึ่งทำให้ประสบการณ์ใช้งานราบรื่นขึ้นและเกิดความยุ่งยากน้อยลง ส่งผลให้มีอัตราการแปลงที่สูงขึ้นและการมีส่วนร่วมที่มากขึ้น ปัจจัยเหล่านี้ทำให้ SMS เป็นตัวเลือกที่น่าสนใจ เนื่องจากให้การเข้าถึงและใช้งานง่าย ซึ่งยากที่จะเปรียบเทียบกับวิธีการยืนยันอื่นๆ

แล้วธุรกิจต่างๆ จะสามารถลดต้นทุนได้อย่างไรหากต้องการใช้ SMS เพื่อยืนยันผู้ใช้ นอกเหนือจากการเจรจาอัตราที่ดีกว่ากับผู้ให้บริการของตน?

แนวทางที่มีประสิทธิผลวิธีหนึ่งคือการลดจำนวนข้อความ SMS ที่ส่งโดยวางแผนอย่างมีกลยุทธ์ว่าจะส่งข้อความเมื่อใด นี่คือจุดที่เทคนิคต่างๆ เช่น การตรวจสอบลายนิ้วมืออุปกรณ์เข้ามามีบทบาท วิธีนี้ช่วยให้ธุรกิจสามารถระบุเบราว์เซอร์หรืออุปกรณ์ที่เชื่อถือได้ และแจ้งให้ยืนยันด้วย SMS เมื่อจำเป็นเท่านั้น

Device Fingerprinting คืออะไร?

ลายนิ้วมืออุปกรณ์เป็นวิธีการระบุอุปกรณ์เฉพาะโดยพิจารณาจากลักษณะเฉพาะต่างๆ เช่น การตั้งค่าเบราว์เซอร์ ระบบปฏิบัติการ ความละเอียดหน้าจอ การตั้งค่าภาษา ปลั๊กอินที่ติดตั้ง และรายละเอียดอื่นๆ ที่ไม่สามารถระบุตัวตนได้ อุปกรณ์แต่ละชิ้นจะมี "ลายนิ้วมือ" เฉพาะตัวซึ่งประกอบด้วยคุณลักษณะเหล่านี้ ซึ่งทำให้สามารถระบุผู้ใช้ที่กลับมาได้แม้ว่าจะไม่มีวิธีการแบบเดิม เช่น คุกกี้ หรือถูกลบไปแล้วก็ตาม

ซึ่งแตกต่างจากที่อยู่ IP ซึ่งเป็นแบบไดนามิกและถูกปกปิดได้ง่ายโดย VPN หรือพร็อกซี ลายนิ้วมืออุปกรณ์เป็นวิธีที่เชื่อถือได้และต่อเนื่องมากกว่าในการจดจำอุปกรณ์ โดยทำงานแบบพาสซีฟโดยไม่ต้องจัดเก็บข้อมูลบนอุปกรณ์ของผู้ใช้ และหลบเลี่ยงได้ยากกว่า โดยอาศัยชุดแอตทริบิวต์ที่หลากหลายซึ่งยากต่อการปลอมแปลงหรือจำลอง แต่ยังคงมีประสิทธิภาพแม้ว่าองค์ประกอบแต่ละส่วนจะเปลี่ยนแปลงไปตามกาลเวลา

ซึ่งทำให้มีประสิทธิภาพอย่างยิ่งในการตรวจจับและป้องกันการฉ้อโกงการยึดบัญชี เนื่องจากสามารถเปิดเผยรูปแบบของพฤติกรรมที่น่าสงสัยและพยายามปกปิดตัวตนของอุปกรณ์ ทำให้มีระดับความปลอดภัยที่แข็งแกร่งขึ้นเมื่อเทียบกับวิธีการจดจำอื่นๆ นอกจากนี้ คุณลักษณะที่รวบรวมไว้สำหรับการพิมพ์ลายนิ้วมืออุปกรณ์ยังสามารถใช้เพื่อตรวจจับสัญญาณเตือนที่บ่งชี้ผู้ใช้ที่อาจมีความเสี่ยง เช่น การใช้เบราว์เซอร์แบบไม่มีหน้าจอหรือเขตเวลาที่ไม่ตรงกัน

การจดจำอุปกรณ์สามารถช่วยได้อย่างไร

เมื่อคุณสามารถจดจำอุปกรณ์ที่กลับมาได้อย่างน่าเชื่อถือแล้ว คุณก็จะจดจำอุปกรณ์ที่เชื่อถือได้โดยไม่ต้องให้ผู้ใช้ผ่านการตรวจสอบความปลอดภัยซ้ำๆ กัน การจดจำนี้มีประโยชน์หลายประการ:

• การประหยัดต้นทุน : การยอมรับอุปกรณ์ของผู้ใช้ที่กลับมาว่าเชื่อถือได้ ทำให้ไม่จำเป็นต้องส่ง SMS OTP เพื่อเข้าสู่ระบบบัญชี ช่วยลดความถี่ของข้อความและลดต้นทุน
• ประสบการณ์ผู้ใช้ที่ดีขึ้น : โดยการระบุอุปกรณ์ที่เชื่อถือได้ ผู้ใช้ที่ถูกต้องสามารถข้ามการยืนยัน OTP ทำให้เข้าถึงไซต์หรือแอปของคุณได้รวดเร็วยิ่งขึ้นและลดความหงุดหงิดลง
• ความปลอดภัยที่แข็งแกร่งยิ่งขึ้น : การรับประกันความสอดคล้องของอุปกรณ์ในการเข้าสู่ระบบจะเพิ่มชั้นการตรวจสอบที่ซ่อนอยู่เพิ่มเติม ซึ่งจะปกป้องบัญชีของลูกค้าโดยทำให้ผู้ฉ้อโกงเลียนแบบผู้ใช้ที่ถูกต้องตามกฎหมายได้ยากขึ้น
• การตรวจจับความเสี่ยง : การวิเคราะห์คุณลักษณะของอุปกรณ์สามารถระบุอุปกรณ์ที่น่าสงสัยหรือมีความเสี่ยงสูง ทำให้คุณสามารถบล็อกภัยคุกคามที่อาจเกิดขึ้นและปรับปรุงความปลอดภัยบัญชีโดยรวมได้

การใช้ลายนิ้วมืออุปกรณ์ในการเข้าสู่ระบบไม่เพียงช่วยลดต้นทุน SMS แต่ยังเพิ่มความปลอดภัยให้กับบัญชีและปรับปรุงประสบการณ์ผู้ใช้อีกด้วย

การดำเนินการทางเทคนิคขั้นสูง

การบูรณาการการจดจำอุปกรณ์ในระดับสูงหมายถึงการฝังอุปกรณ์ดังกล่าวเข้าในกระบวนการเข้าสู่ระบบหรือการยืนยันผู้ใช้เพื่อระบุผู้ใช้ที่กลับมาใช้งานอีกครั้งโดยอิงจากคุณลักษณะของอุปกรณ์และเบราว์เซอร์ของพวกเขา

1. ระบุผู้ใช้ : ไม่ว่าจะใช้เครื่องมือระบุอุปกรณ์ที่สร้างขึ้นเองหรือบริการแบบชำระเงิน ให้เริ่มต้นด้วยการรวบรวมคุณลักษณะต่างๆ (เช่น ประเภทอุปกรณ์ เบราว์เซอร์ ที่อยู่ IP เป็นต้น) และรวมเข้าด้วยกันเพื่อสร้างตัวระบุที่ไม่ซ้ำกัน
2. กำหนดคะแนนความเสี่ยง : สำหรับผู้ใช้แต่ละราย ให้กำหนดคะแนนความเสี่ยงโดยอิงตามคุณลักษณะของอุปกรณ์ในปัจจุบันและก่อนหน้า และความสม่ำเสมอในลักษณะของอุปกรณ์ ปัจจัยเหล่านี้อาจรวมถึงจุดข้อมูล เช่น การใช้งาน VPN ตำแหน่ง IP ที่ไม่คาดคิด หรือคุณลักษณะที่ผิดปกติซึ่งบ่งชี้ถึงการใช้เครื่องมือหลบเลี่ยงที่อาจเกิดขึ้น
3. ใช้การยืนยันแบบมีเงื่อนไข : ข้ามการยืนยันทาง SMS สำหรับผู้ใช้ที่เข้าสู่ระบบจากอุปกรณ์ที่ได้รับการยอมรับว่าเชื่อถือได้สำหรับบัญชีนั้นและไม่มีสถานะความเสี่ยง การยืนยันทาง SMS จะถูกเรียกใช้งานเฉพาะสำหรับอุปกรณ์ใหม่หรืออุปกรณ์ที่ไม่รู้จักในบัญชีหรือเมื่อตรวจพบลักษณะความเสี่ยงสูง เช่น แอตทริบิวต์ของเบราว์เซอร์แบบไม่มีส่วนหัวระหว่างความพยายามเข้าสู่ระบบ

หยุดการใช้จ่ายเกินตัวสำหรับการยืนยันผู้ใช้ SMS

การรวม SMS OTP เข้ากับเลเยอร์การจดจำอุปกรณ์อัจฉริยะจะช่วยให้คุณรักษาสมดุลระหว่างความคุ้มทุน ความสะดวกของผู้ใช้ และความปลอดภัยได้ การจดจำอุปกรณ์ที่เชื่อถือได้ช่วยลดการพึ่งพาการยืนยัน SMS บ่อยครั้ง ลดต้นทุนในขณะที่ยังคงการป้องกันที่แข็งแกร่ง

ซึ่งแตกต่างจากที่อยู่ IP และคุกกี้ ซึ่งสามารถเปลี่ยนแปลงหรือลบได้ง่าย ลายนิ้วมืออุปกรณ์เป็นวิธีที่เชื่อถือได้และต่อเนื่องมากกว่าในการจดจำผู้ใช้ แม้ว่า SMS เพียงอย่างเดียวจะมีค่าใช้จ่ายสูงและไม่สะดวก และการข้ามขั้นตอนการยืนยันจะทำให้ความปลอดภัยลดลง แต่การเพิ่มลายนิ้วมืออุปกรณ์จะช่วยลดค่าใช้จ่าย SMS ทำให้ขั้นตอนการเข้าสู่ระบบราบรื่นขึ้น และเสริมความแข็งแกร่งให้กับการป้องกันบัญชี