Search icon
ReadWrite
see notifications
Notifications
see more
paint-brush
SMSベースの認証に多額の費用をかけすぎている可能性があります@keshiarose
169 測定値

SMSベースの認証に多額の費用をかけすぎている可能性があります

Keshia Rose5m2024/12/06
Read on Terminal Reader
tldt arrow
en-flagENbn-flagBNes-flagEShi-flagHIzh-flagZHja-flagJAti-flagTIne-flagNEgl-flagGLkk-flagKKam-flagAMpl-flagPLth-flagTH
JA

長すぎる; 読むには

頻繁な SMS 認証はコストがかかり、ユーザーを苛立たせる可能性があります。プッシュ通知、認証アプリ、生体認証などの代替手段は SMS への依存度を軽減しますが、認証フローの調整が必要になる可能性があり、広く利用できるものはあまりありません。デバイス フィンガープリンティングは、Cookie や IP アドレスよりも安定した信頼できるデバイスを認識し、SMS コストを削減し、セキュリティを強化し、ユーザー エクスペリエンスを向上させるスマートなソリューションを提供します。これを使用して、SMS の使用を最小限に抑えながら、堅牢なアカウント保護を維持します。
featured image - SMSベースの認証に多額の費用をかけすぎている可能性があります
Keshia Rose HackerNoon profile picture
0-item

SMS 経由で送信する OTP は、予算とユーザーの忍耐力を消耗させます。SMS ベースの認証が、ユーザー認証と不正アクセスのブロックに欠かせないものになっていることは明らかです。しかし、ユーザーがログインしようとするたびにコードを送りつけるのは、ユーザーの支持を得ることにはなりませんし、決して安くはありません。では、必要以上に費用をかけたり、保護しようとしている人々を困らせたりすることなく、ユーザーのアカウントを保護するにはどうすればよいでしょうか。この記事では、SMS 料金を不当に増やすことなくアカウントを保護するための戦略について詳しく説明します。

SMS認証のコスト

企業にとって、送信されるすべての SMS はコストになります。特に、大量のアプリケーションを扱っている場合はそうです。たとえば、人気の通信プロバイダー Twilio の SMS 料金は、送信先とキャリアによって、 1 メッセージあたり 0.0079 ドルから 0.75 ドルの範囲です。コストを増大させているのは正当なユーザーだけではありません。それに加えて、SMS ポンピング詐欺も請求額に上乗せされます。検証はされていませんが、Twitter はSMS ポンピング機能を制限する前は、年間 6,000 万ドルの損失を被っていたと推定されています。SMS への依存を減らし、セキュリティを損なうことなくコストを削減するには、OTP をテキスト送信する代わりに、他のソリューションを使用してユーザーを検証できます。

SMS認証コストを削減する方法

SMS のコストを削減することは、セキュリティを犠牲にすることではありません。さまざまな代替手段を検討することで、企業はすべての検証に SMS のみに頼ることなく、強力なアカウント保護を維持できます。SMS 検証を送信する代わりに、次のことができます。

  • 他のチャネルを使用してコードを送信する: プッシュ通知、メール、WhatsApp などのメッセージング アプリを通じて OTP を配信すると、SMS に代わる安全でコスト効率の高い方法となります。プッシュ通知はモバイル アプリに適していますが、メールの確認リンクは使い慣れていて簡単に実装できます。WhatsApp のメッセージ コストは SMS に比べてはるかに安価です。たとえば、Twilio はWhatsApp の認証会話ごとに 0.0014 ~ 0.0768 ドルの価格を提供しています。これらの各チャネルは、セキュリティを損なうことなく、SMS への依存とコストを削減します。
  • コードの送信をスキップして検証のみ: Google Authenticator や Twilio の Authy などの認証アプリを使用すると、ユーザーは独自の検証コードを生成できるため、SMS が不要になり、多くの場合、よりコスト効率の高いソリューションが提供されます。たとえば、Twilio の TOTP サービスは、検証が成功するたびにわずか 0.05 ドルかかります。この方法を設定すると、ユーザーは不正アクセスに対する強力な保護を維持しながら、ユーザー ID を安全に検証する便利な方法を得ることができます。
  • 他の種類の検証を活用する: コード以外にも、生体認証などの技術は、利用可能な場合は SMS なしでユーザーを認証する効果的な方法を提供します。指紋や顔認識などの生体認証は、特に信頼できるデバイス上でシームレスで安全なエクスペリエンスを提供します。

SMS代替手段の欠点

これらの代替手段は確かにコストを削減できますが、それらに変更するには既存の認証フローを調整する必要があり、すべてのビジネスに最適とは限りません。SMS は広くアクセス可能であり、ユーザーは WhatsApp や Google Authenticator などの特定のアプリをダウンロードしたり設定したりする必要はありません。また、すべてのモバイル デバイスで利用できるため、通常はスマートフォンに限定される生体認証などの方法よりも汎用性があります。


さらに、ユーザーは SMS ベースの認証に慣れていることが多いため、よりスムーズな体験が可能になり、摩擦が少なくなり、コンバージョン率とエンゲージメントが向上します。これらの要素により、SMS は他の認証方法では実現が難しいアクセシビリティと使いやすさを提供する魅力的なオプションとなっています。


では、ユーザー認証に SMS を使い続けたい場合、プロバイダーとより良い料金を交渉する以外に、企業はどのようにしてコストを削減できるのでしょうか?


効果的なアプローチの 1 つは、SMS を送信するタイミングを戦略的に決めて、送信される SMS メッセージの数を減らすことです。ここで、デバイス フィンガープリンティングなどの技術が役立ちます。これにより、企業は信頼できるブラウザーやデバイスを識別し、必要な場合にのみ SMS 検証を求めることができます。

デバイスフィンガープリンティングとは何ですか?

デバイス フィンガープリントとは、ブラウザー設定、オペレーティング システム、画面解像度、言語設定、インストールされているプラグイン、その他の個人を特定しない詳細などの特性の組み合わせに基づいて、固有のデバイスを認識する方法です。各デバイスには、これらの属性で構成された固有の「フィンガープリント」があり、これにより、Cookie などの従来の方法が利用できない場合や削除されている場合でも、再訪ユーザーを識別することができます。


動的で VPN やプロキシによって簡単にマスクされる IP アドレスとは異なり、デバイス フィンガープリンティングは、より信頼性が高く永続的なデバイス認識方法を提供します。ユーザーのデバイスにデータを保存する必要がなく受動的に動作し、回避が困難です。偽造や複製が困難な多様な属性セットに依存しており、個々の要素が時間の経過とともに変化しても有効性を維持します。


これにより、疑わしい行動のパターンやデバイス ID を偽装する試みを発見できるため、アカウント乗っ取り詐欺の検出と防止に特に効果的であり、他の認識方法に比べて強力な追加のセキュリティ層を提供します。さらに、デバイス フィンガープリンティング用に収集された属性を使用して、ヘッドレス ブラウザの使用やタイム ゾーンの不一致など、潜在的にリスクのあるユーザーを知らせる危険信号を検出できます。

デバイス認識がどのように役立つか

返却されたデバイスを確実に認識できるようになれば、ユーザーに繰り返しセキュリティ チェックを行わせることなく、信頼できるデバイスを記憶することができます。この認識には、次のようないくつかの利点があります。

  • コスト削減: 戻ってきたユーザーのデバイスを信頼できるデバイスとして認識すると、アカウント ログイン用の SMS OTP を送信する必要がなくなり、メッセージの頻度が減り、コストが削減されます。
  • より優れたユーザー エクスペリエンス: 信頼できるデバイスを識別することで、正当なユーザーは OTP 検証をスキップでき、サイトやアプリへのアクセスが高速化され、ストレスが軽減されます。
  • より強力なセキュリティ: ログイン時にデバイスの一貫性を確保することで、隠れた検証の層が追加され、詐欺師が正当なユーザーを偽装することが困難になり、顧客のアカウントが保護されます。
  • リスク検出: デバイス属性を分析することで、疑わしいデバイスやリスクの高いデバイスを特定し、潜在的な脅威をブロックしてアカウント全体のセキュリティを強化できます。


ログインフローでデバイス フィンガープリンティングを使用すると、SMS コストが削減されるだけでなく、アカウントのセキュリティが強化され、ユーザー エクスペリエンスが向上します。

高度な技術的実装

大まかに言えば、デバイス認識を統合するということは、ログインまたはユーザー検証フローにデバイス認識を埋め込んで、デバイスとブラウザの特性に基づいてリピーターユーザーを識別することを意味します。

  1. ユーザーを識別する: カスタムビルドのデバイス識別ツールを使用する場合でも、有料サービスを使用する場合でも、まず特性 (デバイスの種類、ブラウザ、IP アドレスなど) を収集し、それらを組み合わせて一意の識別子を作成します。
  2. リスク スコアの割り当て: 各ユーザーに対して、現在のデバイス属性と以前のデバイス属性、およびそれらの特性の一貫性に基づいてリスク スコアを割り当てます。これらの要素には、VPN の使用、予期しない IP ロケーション、回避ツールが使用されている可能性を示す異常な属性などのデータ ポイントが含まれる場合があります。
  3. 条件付き検証を実装する: そのアカウントに対して信頼できると認識され、リスク フラグのないデバイスからログインするユーザーに対しては、SMS 検証をスキップします。SMS 検証は、アカウント上の新しいデバイスまたは認識されていないデバイスに対して、またはログイン試行中にヘッドレス ブラウザ属性などの高リスク特性が検出された場合にのみトリガーされます。

SMSユーザー認証への過剰な支出をやめる

SMS OTP とスマート デバイス認識レイヤーを組み合わせることで、コスト効率、ユーザーの利便性、セキュリティのバランスをとることができます。信頼できるデバイス認識により、頻繁な SMS 検証への依存が軽減され、強力な保護を維持しながらコストを削減できます。


簡単に変更または削除される IP アドレスや Cookie とは異なり、デバイス フィンガープリンティングは、ユーザーを認識するためのより信頼性が高く永続的な方法を提供します。SMS のみではコストがかかり不便であり、検証を省略するとセキュリティが弱まりますが、デバイス フィンガープリンティングを追加すると、SMS コストが削減され、ログイン フローが合理化され、アカウント保護が強化されます。

Miro-Prog
L O A D I N G
. . . comments & more!

About Author

Keshia Rose HackerNoon profile picture
Keshia Rose@keshiarose
Sr. Developer Evangelist at Fingerprint and hobbyist coder with 11 years of experience using tech to solve problems.
Read my stories

ラベル

purcat-imgprogramming #otp #sms-two-factor-authentication #device-fingerprinting #browser-fingerprinting #secure-accounts #fraud-prevention #user-experience #hackernoon-top-story

この記事は...

Read on Terminal Reader Terminal
Read this story w/o Javascript Lite

関連ストーリー

Article Thumbnail
海を航海する: データレイクを使用した本番環境レベルの RAG アプリケーションの開発
by minio
Jan 01, 1970
#minio
Article Thumbnail
Claude Sonnet 3.5 システムプロンプトの漏洩: 法医学的分析
by tyingshoelaces
Jan 01, 1970
#ai
Article Thumbnail
フォーラムからフィードへ: ソーシャル メディア アルゴリズムがデジタル インタラクションを形作る仕組み
by minad21
Jan 01, 1970
#optout
Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas