Engångslösenordet för SMS har varit det primära verktyget för kundautentisering i över ett decennium. Nu är förändring i luften – och allt tack vare säkra, billiga och snabba alternativ som dataverifiering och snabbsamtal. Lee Suker, autentiseringsansvarig på Sinch, utforskar konsekvenserna.
Under pandemin fick flera miljoner konsumenter följande text för första gången: “Här är din säkerhetskod, vänligen dela den inte med någon”. Varje år skickar företag miljarder av dessa autentiseringsmeddelanden. De har goda skäl att göra det. Textbaserade tvåfaktorslösenord (SMS OTP) tillhandahålla ett tillförlitligt sätt att bädda in en kunds telefonnummer och ger nästan alla på planeten tillgång till tvåfaktorsautentisering.
Kombinationen av “något du vet” (ditt användar-ID/lösenord) med “något du har” (innehav av din telefon, verifierad genom att korrekt ange OTP-koden) gör det mycket svårare för bedragare att få kontroll över dina onlinekonton.
Så varför har volymen skjutit i höjden under covid-perioden? I en socialt avlägsen värld har många människor gått över till digitala tjänster för första gången. För att handla, bank och få tillgång till statliga tjänster på distans, var dessa nybörjarkonsumenter tvungna att bevisa sin identitet på distans. Det bästa sättet att göra detta? Koppling med tvåfaktorstext.
Branschdata avslöjar omfattningen av denna tillväxt av meddelanden från företag till konsument. Enligt yrkesorganisationen MEF, 89 % av konsumenterna får nu regelbundet sms från varumärken – och de flesta får två till 20 i veckan. Samtidigt säger branschanalytiker Mobilesquared a miljoner företag har provat mobilmeddelanden för första gången 2021.
Naturligtvis skickar företag textmeddelanden av alla möjliga skäl – marknadsföring, kundservice, varningar. Men autentisering är det primära användningsfallet. Faktum är att lösenord kan stå för cirka 20 % av all affärstexttrafik.
Läs mer: Se datasäkerhet genom mänsklig påverkan
Telefonen i handen mot lösenordet i huvudet
För att förstå den snabba uppgången av denna autentiseringsteknik måste man förstå vad den har ersatt. För tio år sedan loggade de flesta in på onlinekonton med ett användarnamn och lösenord. Det var (och är fortfarande) en djupt bristfällig process. Dåliga skådespelare kan mycket enkelt stjäla denna personliga information via social ingenjörskonst eller nätfiske. De kan till och med köpa stulna lösenordsdatabaser från den mörka webben.
Lösenord fungerar inte bra för konsumenter Det är. Människor får veta: använd olika lösenord för varje tjänst. Gör det riktigt långt och komplicerat. Dela den aldrig. Och framför allt, skriv inte ner det.
Förståeligt nog ignorerar de flesta detta råd, hur förnuftigt och välmenande det än är. Istället gör de tvärtom. De väljer enkla lösenord, som de använder på flera konton.
Som vi diskuterade tidigare erbjuder engångs-SMS-lösenord ett mycket säkrare och användarvänligare alternativ. Men inte perfekt. Med tiden kom bedragare på hur man knäcker metoden.
Den vanligaste formen av attack är nätfiske (textnätfiske). Här bedragaren skickar ett textmeddelande som verkar vara från en pålitlig källa för att lura mottagare att klicka på en länk. Den falska länken laddar sedan ner skadlig programvara till målsmarttelefonen, ttillåt brottslingen att utföra en “man-in-the-middle”-attack (avlyssna OTP, leverera koden till brottslingarna utan användarens vetskap). De avlyssnade OTP:erna används sedan tillsammans med stulna lösenord för att komma åt privata konton.
Historiskt sett har onlineindustrin försökt att lindra just detta problem genom utbildning för slutanvändare… klicka inte på den länken!
En annan attackmetod är SIM-byte. Här utger sig angriparen för att vara en ORM-kund och använder social ingenjörsteknik för att övertala en telekomsamtalsagent att skicka ett ersättnings-SIM-kort för en förlorad/stulen telefon. Han eller hon kan sedan ta emot OTP-SMS och redigera säkerhetsdetaljer. Dessa attacker är mycket riktade och det är rimligt att säga att MNO:er har utvecklat processer för att förhindra sådana incidenter.
Mobil autentisering: äntligen nya alternativ
Onödigt att säga att meddelandebranschen arbetar hårt för att bekämpa dessa övergrepp. Till exempel har den utvecklat officiella identifieringsregister för avsändare och lanserat konsumentutbildningskampanjer.
Av dessa skäl – och även på grund av metodens stora förtrogenhet – förblir OTP-text standardvalet för autentisering för de flesta digitala tjänsteleverantörer. Men i bakgrunden har branschen kommit på alternativ. Och nu tar dessa nya alternativ äntligen fart. Låt oss utforska de två första.
Dataverifiering
Varje telefon har sin egen IP-adress och sitt eget offentliga nummer. Dataverifiering utnyttjar denna unika kombination för att möjliggöra säker autentisering på några sekunder. Processen fungerar genom att bekräfta att telefonnumret och IP-adressen är samma i en given datasession.
Tekniken är mycket säker eftersom det tar bort risken för social ingenjörskonst förknippad med OTP:er. Dataverifiering gör det också nästan omöjligt för en bedragare att utföra en man-in-the-midten-attack på grund av autentiseringens hastighet.
blixtsamtal
Ett flashsamtal använder röst snarare än text för att autentisera en användare. Företaget (via en e-postleverantör) ringer ett avsiktligt missat samtal till målanvändaren från ett slumpmässigt nummer. De fyra sista siffrorna i det inkommande numret innehåller lösenordet som konsumenten använder för att autentisera. I det mest sofistikerade användningsfallet svarar den mottagande telefonen (endast Android-modeller) automatiskt på samtalet och bearbetar lösenordet utan användarens aktiva deltagande.
Flash-samtal är mycket säkra: risken för “man in the middle”-avlyssning av bedragare minskar avsevärt. Men lika viktigt är det billigt. Slumpmässigt genererade IP-samtal kostar lite att göra (särskilt när de inte tas upp av mottagaren). Faktum är att vi uppskattar att snabbsamtal kan vara minst 25 procent kostnaden för autentisering. För alla företag som skickar miljontals OTP-sms är detta extremt övertygande.
I slutändan vinner användarupplevelsen
Även om båda metoderna ovan ger höga poäng på säkerhet och kostnad, finns det en tredje anledning till att företag överväger dem: användarupplevelse.
Det är svårt att överskatta vikten av UX. När allt kommer omkring beror framgången för alla autentiseringsprocesser, oavsett hur säker eller prisvärd den är, i slutändan på konsumenternas vilja att använda den.
SMS OTP UX är ganska klumpig. Tänk på det: en användare måste vänta på att koden ska visas, avsluta appen, öppna meddelandeappen, skriva ner siffrorna, gå tillbaka till appen och sedan skriva in den. Detta är ett problem i onlinevärlden, där uppmärksamheten är kort. Faktum är att a Yubico-studie 2020 fann att 23 % av de tillfrågade sa att OTP SMS är mycket obekvämt, medan 56 % av dem som använder en smartphone eller annan personlig enhet för att komma åt arbetsrelaterade saker inte använder 2FA alls.
Det är också rättvist att säga att även om sms är klumpig, är det också väl förstått. Familiaritet är ett tröstande koncept för användarna. Det följer att det är viktigt att få den bästa möjliga SMS-upplevelsen. Förutom att tillhandahålla OTP snabbt, under vissa omständigheter, bearbetar enhetens operativsystem automatiskt OTP för användaren utan att hitta meddelandet eller notera koden, till exempel.
Däremot fögonfranssamtal och dataverifiering erbjuder var och en en förbättrad UX. De springer i bakgrunden. Med andra ord, de bara händer utan att användaren behöver göra något.
Företag inser äntligen sin potential. Men vi tror inte att detta representerar slutet på SMS OTP. Istället utökar det bara alternativen.
Faktum är att företag måste utvärdera hela utbudet av autentiseringstekniker och välja den mest lämpliga metoden för deras användningsfall: kontoöppningar, transaktionsgodkännanden, inloggningar etc. Och det borde vara lätt för dem att göra det. Nu när kommunikationskanalerna har flyttat till molnet kommer leverantörer som Sinch att erbjuda ett enda enhetligt API för att täcka alla tekniker. Det är trots allt inte bara konsumenter som behöver bra UX.
Tycker du att dataverifiering och snabbsamtal är snabbare och säkrare autentiseringsalternativ? Dela med oss på Facebook, Twitteroch LinkedIn.
Bildkälla: Shutterstock