你可能在短信验证上花费太多了

您通过短信发送的每一个 OTP 都在消耗您的预算和用户的耐心。显然，基于短信的验证已成为验证用户和阻止未经授权访问的首选。但是，每次用户想要登录时向他们发送代码不会为您赢得任何粉丝，而且绝对不便宜。那么，您如何保护用户的帐户，而不会花费过多或惹恼您想要保护的人？在这篇文章中，我将分解保护帐户的策略，而不会过度增加您的短信费用。

短信验证费用

对于企业来说，每发送一条短信都会产生成本，尤其是在处理大容量应用程序时。例如，热门通信提供商 Twilio 的短信定价根据目的地和运营商不同，从每条短信 0.0079 美元到 0.75 美元不等！而且，不仅仅是合法用户在增加成本。除此之外，短信欺诈也会增加成本。虽然未经证实，但据估计，在限制该功能之前，Twitter 每年因短信欺诈而损失 6000 万美元。为了减少对短信的依赖并在不影响安全性的情况下降低成本，您可以使用其他解决方案来验证用户，作为发送 OTP 短信的替代方案。

降低短信验证成本的方法

降低短信成本并不意味着牺牲安全性。通过探索多种替代方法，企业可以保持强大的帐户保护，而无需仅依靠短信进行每次验证。除了发送短信验证外，您还可以：

• 使用其他渠道发送验证码：通过推送通知、电子邮件或 WhatsApp 等消息应用程序发送 OTP 是一种安全、经济高效的 SMS 替代方案。推送通知适用于移动应用程序，而电子邮件验证链接则很常见且易于实现。与 SMS 相比，WhatsApp 消息费用要便宜得多 — 例如，Twilio为 WhatsApp 提供的价格从每次身份验证对话 0.0014 美元到 0.0768 美元不等。这些渠道中的每一个都可以减少对 SMS 的依赖和成本，而不会影响安全性。
• 无需发送验证码，只需验证即可：身份验证器应用（例如 Google Authenticator 或 Twilio 的 Authy）可让用户生成自己的验证码，从而有效地消除了对 SMS 的需求，并且通常提供更具成本效益的解决方案。例如，Twilio 的 TOTP 服务每次成功验证仅需 0.05 美元。设置完成后，此方法为用户提供了一种方便的方式来安全地验证用户身份，同时保持对未经授权访问的强大保护。
• 利用其他类型的验证：除了代码之外，生物识别等技术也提供了有效的方法，可以在没有短信的情况下验证用户身份。指纹或面部识别等生物识别技术可提供无缝且安全的体验，尤其是在受信任的设备上。

短信替代方案的缺点

虽然这些替代方案确实可以降低成本，但要改用它们就需要调整现有的身份验证流程，这可能并不适合每家企业。短信仍然广泛可用，不需要用户下载或设置特定应用程序，例如 WhatsApp 或 Google Authenticator。它也适用于所有移动设备，这使得它比通常仅限于智能手机的生物识别等方法更加通用。

此外，用户通常更熟悉基于短信的验证，这可以使验证体验更顺畅、更顺畅，从而提高转化率和参与度。这些因素使短信成为一种有吸引力的选择，它提供了其他验证方法难以比拟的可访问性和易用性。

那么，如果企业想继续使用短信进行用户验证，除了与提供商协商更优惠的费率外，还有什么其他方法可以削减成本呢？

一种有效的方法是通过制定触发短信的策略来减少发送短信的数量。这就是设备指纹识别等技术发挥作用的地方。它允许企业识别受信任的浏览器或设备，并且仅在必要时提示短信验证。

什么是设备指纹？

设备指纹识别是一种根据设备特征（例如浏览器设置、操作系统、屏幕分辨率、语言偏好、已安装的插件和其他不可识别个人身份的详细信息）的组合来识别特定设备的方法。每台设备都有一个由这些属性组成的独特“指纹”，即使 Cookie 等传统方法不可用或被删除，也可以识别回访用户。

与动态且容易被 VPN 或代理掩盖的 IP 地址不同，设备指纹识别提供了一种更可靠、更持久的设备识别方式。它被动运行，无需在用户设备上存储数据，而且更难规避。它依赖于一组难以伪造或复制的多样化属性，即使个别元素随时间发生变化，它仍能保持有效。

这使得它在检测和预防账户盗用欺诈方面特别有效，因为它可以发现可疑行为模式和伪装设备身份的企图，与其他识别方法相比，可以提供更强大的额外安全层。此外，设备指纹识别所收集的属性可用于检测危险信号，发出潜在危险用户的信号，例如使用无头浏览器或时区不匹配。

设备识别如何提供帮助

一旦您能够可靠地识别返回的设备，您就可以记住受信任的设备，而无需让用户进行反复的安全检查。这种识别具有以下几个优点：

• 节省成本：将回访用户的设备识别为可信设备，无需发送 SMS OTP 进行帐户登录，从而减少了消息的频率并降低了成本。
• 更好的用户体验：通过识别受信任的设备，合法用户可以跳过 OTP 验证，确保更快地访问您的网站或应用程序，同时减少挫败感。
• 更强的安全性：确保登录时的设备一致性增加了一层隐藏的验证，使欺诈者更难模仿合法用户，从而保护客户帐户。
• 风险检测：分析设备属性可以识别可疑或高风险设备，让您阻止潜在威胁并增强整体帐户安全性。

在登录流程中使用设备指纹不仅可以降低短信成本，还可以增强帐户安全性并改善用户体验。

高级技术实施

从高层次上讲，集成设备识别意味着将其嵌入到您的登录或用户验证流程中，以根据回访用户的设备和浏览器特征识别回访用户。

1. 识别用户：无论是使用定制的设备识别工具还是付费服务，首先要收集特征（例如设备类型、浏览器、IP 地址等）并将它们组合起来以创建唯一的标识符。
2. 分配风险评分：根据当前和以前的设备属性及其特征的一致性为每个用户分配风险评分。这些因素可能包括 VPN 使用情况、意外 IP 位置或表明可能使用规避工具的异常属性等数据点。
3. 实施条件验证：对于从被识别为该帐户可信且无风险标记的设备登录的用户，跳过短信验证。仅当帐户上有新设备或无法识别的设备，或者在登录尝试期间检测到无头浏览器属性等高风险特征时，才会触发短信验证。

停止在短信用户验证上过度支出

通过将 SMS OTP 与智能设备识别层相结合，您可以平衡成本效率、用户便利性和安全性。可信设备识别减少了对频繁短信验证的依赖，在降低成本的同时保持强大的保护。

与 IP 地址和 Cookie 不同，设备指纹识别是一种更可靠、更持久的识别用户的方法，因为 IP 地址和 Cookie 很容易被更改或删除。虽然单纯使用短信既昂贵又不方便，而且跳过验证会削弱安全性，但添加设备指纹识别可以降低短信成本、简化登录流程并加强帐户保护。