Vienkartinis SMS slaptažodis buvo pagrindinis klientų tapatybės nustatymo įrankis daugiau nei dešimtmetį. Dabar permainos – ir visa tai dėka saugių, pigių ir greitų alternatyvų, tokių kaip duomenų tikrinimas ir greitieji skambučiai. Lee Suker, Sinch autentifikavimo vadovas, tiria pasekmes.
Pandemijos metu daugelis milijonų vartotojų pirmą kartą gavo tokį tekstą: „Štai jūsų saugos kodas, prašome jo su niekuo nesidalyti“. Kiekvienais metais įmonės išsiunčia milijardus šių autentifikavimo pranešimų. Jie turi rimtų priežasčių tai daryti. Dviejų veiksnių teksto kodai (SMS OTP) suteikia patikimą būdą įvesti klientų telefono numerį ir beveik kiekvienam planetos gyventojui suteikia prieigą prie dviejų veiksnių autentifikavimo.
„Kažkas, ką žinote“ (jūsų vartotojo ID / slaptažodis) su „kažkuo, ką turite“ (telefono turėjimas, patvirtintas teisingai įvedus OTP kodą), sukčiams tampa daug sunkiau perimti jūsų internetines paskyras.
Taigi kodėl COVID laikotarpiu apimtys išaugo? Socialiai nutolusiame pasaulyje daugelis žmonių pirmą kartą perėjo prie skaitmeninių paslaugų. Kad galėtų nuotoliniu būdu apsipirkti, bankuoti ir pasiekti vyriausybines paslaugas, šie nauji vartotojai turėjo nuotoliniu būdu įrodyti savo tapatybę. Geriausias būdas tai padaryti? Prisijungimas naudojant dviejų veiksnių tekstą.
Pramonės duomenys atskleidžia šio verslo ir vartotojų pranešimų siuntimo augimo mastą. Pasak prekybos organizacijos MEF, vartotojų 89 proc dabar reguliariai gauna žinutes iš prekių ženklų – dauguma jų gauna nuo dviejų iki 20 per savaitę. Tuo tarpu pramonės analitikas Mobilesquared sako, kad a milijonai įmonių išbandė mobiliųjų pranešimų siuntimą pirmą kartą 2021 m.
Žinoma, įmonės siunčia žinutes dėl įvairiausių priežasčių – rinkodaros, klientų aptarnavimo, įspėjimų. Tačiau autentifikavimas yra pagrindinis naudojimo atvejis. Tiesą sakant, slaptažodžiai gali sudaryti apie 20 procentų viso verslo teksto srauto.
Žiūrėti daugiau: Duomenų saugumo peržiūra per žmogaus poveikį
Telefonas rankoje ir slaptažodis galvoje
Norėdami suprasti spartų šios autentifikavimo technikos augimą, turite suprasti, ką ji pakeitė. Prieš dešimt metų dauguma žmonių prisijungdavo prie internetinių paskyrų naudodami vartotojo vardą ir slaptažodį. Tai buvo (ir vis dar yra) labai ydingas procesas. Blogi aktoriai gali gana lengvai pavogti šias asmeninės informacijos dalis pasitelkdami socialinę inžineriją arba sukčiavimą. Jie netgi gali nusipirkti pavogtų slaptažodžių duomenų bazes tamsiajame internete.
Slaptažodžiai vartotojams netinka arba. Žmonėms sakoma: kiekvienai paslaugai naudokite skirtingą slaptažodį. Padarykite tai tikrai ilgas ir sudėtingas. Niekada nesidalinkite. Ir tikrai to neužsirašyk.
Suprantama, kad dauguma šio patarimo nepaiso, kad ir koks jis būtų protingas ir geranoriškas. Vietoj to, jie elgiasi priešingai. Jie pasirenka paprastus slaptažodžius, kuriuos naudoja keliose paskyrose.
Kaip aptarėme anksčiau, vienkartiniai SMS kodai siūlo daug saugesnę ir patogesnę galimybę. Bet ne tobulas. Laikui bėgant sukčiai sugalvojo, kaip šį metodą nulaužti.
Dažniausia atakos forma yra smishing (SMS phishing). Čia, sukčius siunčia tekstinį pranešimą, kuris, atrodo, yra iš patikimo šaltinio, siekdamas apgauti gavėjus spustelėti nuorodą. Suklastota nuoroda tada atsisiunčia kenkėjišką programą į tikslinį išmanųjį telefoną, eįgalinti nusikaltėlį įvykdyti „žmogaus viduryje“ ataką (perimti OTP, perduoti kodą nusikaltėliams be vartotojo žinios). Tada perimti vienkartiniai slaptažodžiai naudojami kartu su pavogtais slaptažodžiais norint pasiekti privačias paskyras.
Istoriškai internetinė pramonė bandė sušvelninti šią konkrečią problemą, mokydama galutinius vartotojus… nespauskite šios nuorodos!
Kitas atakos būdas yra SIM keitimas. Čia užpuolikas apsimeta MNO klientu ir naudoja socialinės inžinerijos metodus, kad įtikintų telefono skambučių agentą išsiųsti pamesto/pavogto telefono pakaitinę SIM kortelę. Tada jis arba ji gali gauti vienkartinius tekstus ir pakeisti saugos informaciją. Šios atakos yra labai tikslingos ir teisinga pasakyti, kad judriojo ryšio operatoriai sukūrė procesus, kaip užkirsti kelią tokiems incidentams.
Mobilusis autentifikavimas: pagaliau naujos parinktys
Nereikia nė sakyti, kad pranešimų pramonė labai stengiasi kovoti su šiais piktnaudžiavimu. Pavyzdžiui, ji sukūrė oficialius siuntėjo ID registrus ir pradėjo vartotojų švietimo kampanijas.
Dėl šių priežasčių – taip pat ir dėl to, kad metodas yra gerai žinomas – tekstas OTP išlieka numatytasis daugelio skaitmeninių paslaugų teikėjų autentifikavimo pasirinkimas. Tačiau fone pramonė kūrė alternatyvas. Ir dabar šios naujos galimybės pagaliau įgauna pagreitį. Panagrinėkime du geriausius.
Duomenų patikrinimas
Kiekvienas telefonas turi savo IP adresą ir savo viešąjį numerį. Duomenų patvirtinimas išnaudoja šį unikalų derinį, kad būtų užtikrintas saugus autentifikavimas per kelias sekundes. Procesas veikia patvirtinant, kad telefono numeris ir IP adresas sutampa bet kurioje duomenų sesijoje.
Technika labai saugus, nes pašalina su OTP susijusią socialinės inžinerijos riziką. Duomenų patikrinimas Be to, sukčiui beveik neįmanoma įvykdyti „žmogaus viduryje“ atakos dėl autentifikavimo greičio.
Flash skambutis
„Flash“ skambučiui vartotojui patvirtinti naudojamas balsas, o ne tekstas. Įmonė (per žinučių tiekėją) sąmoningai praleido skambutį tiksliniam vartotojui iš atsitiktinio skaičiaus. Paskutiniuose keturiuose gaunamo numerio skaitmenyse yra prieigos kodas, kurį vartotojas naudoja autentifikavimui. Sudėtingiausiu naudojimo atveju priimantis telefonas (tik Android modeliuose) automatiškai atsiliepia į skambutį ir apdoroja kodą be aktyvaus vartotojo įsikišimo.
„Flash“ skambučiai yra labai saugūs: žymiai sumažėja rizika, kad sukčiai perims „žmogus viduryje“. Tačiau toks pat reikšmingas, kad jis yra pigus. Atsitiktinai generuojami IP skambučiai kainuoja nedaug (ypač kai jų neatsiima gavėjas). Tiesą sakant, manome, kad „flash“ skambučiai gali būti bent jau 25 proc autentifikavimo kainos. Bet kuriai įmonei, siunčiančiai milijonus vienkartinių SMS žinučių, tai labai svarbu.
Galiausiai laimi vartotojo patirtis
Nors abu aukščiau pateikti metodai yra aukšti saugumo ir sąnaudų įvertinimai, yra ir trečioji priežastis, kodėl įmonės turėtų juos apsvarstyti: vartotojo patirtis.
Sunku pervertinti UX svarbą. Galų gale, bet kokio autentifikavimo proceso sėkmė, kad ir koks jis būtų saugus ar prieinamas, galiausiai priklauso nuo vartotojų noro juo naudotis.
SMS OTP UX yra gana sudėtinga. Pagalvokite apie tai: vartotojas turi palaukti, kol pasirodys kodas, išeiti iš programos, atidaryti susirašinėjimo programėlę, užsirašyti skaitmenis, grįžti į programą ir jį įvesti. Tai internetinio pasaulio problema, kur dėmesio trukmė yra trumpa. Tiesą sakant, a 2020 m. Yubico tyrimas išsiaiškino, kad 23 procentai respondentų teigė, kad SMS OTP yra labai nepatogūs, o 56 procentai tų, kurie naudojasi išmaniuoju telefonu ar kitu asmeniniu įrenginiu, kad pasiektų su darbu susijusius dalykus, visiškai nenaudoja 2FA.
Taip pat teisinga pasakyti, kad nors SMS žinutės yra sudėtingos, jos taip pat gerai suprantamos. Familiarumas yra vartotojus guodžianti sąvoka. Iš to išplaukia, kad labai svarbu gauti geriausią SMS žinučių naudojimo patirtį. Be to, greitai pristato vienkartinius pranešimus, tam tikromis aplinkybėmis įrenginio OS automatiškai apdoroja vartotojo vienkartinį atmintį, pavyzdžiui, nerasdama pranešimo ir nepažymėdama kodo.
Priešingai, fblakstienų skambinimas ir duomenų tikrinimas siūlo patobulintą UX. Jie vykdomi fone. Kitaip tariant, jie tiesiog įvyksta, vartotojui nieko nedarant.
Įmonės pagaliau atsibunda savo potencialu. Tačiau nemanome, kad tai reiškia SMS OTP pabaigą. Vietoj to, tai tik išplečia galimybes.
Faktas yra tas, kad įmonės turi įvertinti visą autentifikavimo metodų spektrą ir pasirinkti tinkamiausias būdas jų naudojimo atvejui: paskyros registracija, operacijų patvirtinimas, prisijungimai ir tt Ir tai jiems turėtų būti lengva padaryti. Dabar, kai ryšių kanalai persikėlė į debesį, tiekėjai, tokie kaip „Sinch“, pasiūlys vieną vieningą API, kad apimtų visas technologijas. Juk gero UX reikia ne tik vartotojams.
Ar manote, kad duomenų patvirtinimas ir „flash“ skambučiai yra greitesnės ir saugesnės autentifikavimo parinktys? Pasidalinkite su mumis Facebook, Twitterir LinkedIn.