Защита пользовательских аккаунтов — одна из важнейших задач современного IT. За 2022 год компании потеряли около 150 млн долларов на возмещении ущерба от утечек данных. О том, как построить надёжную систему киберзащиты и обезопасить профили своих клиентов от взлома, рассказывает Анастасия Иванова, технический писатель МТС Exolve (входит в экосистему МТС).
Что такое SMS-аутентификация без пароля
Это форма авторизации пользователей приложения без использования пароля. Проверка в этом случае проводится по телефонному номеру, на который высылается одноразовый код.
SMS-идентификация проводится на основании двух факторов:
фактор знания (наличие кода)
вещественный фактор (телефон с нужным номером)
Этот метод авторизации намного безопаснее однофакторного аналога (например, логин + пароль), поэтому его всё чаще выбирают крупные компании, к примеру Payme.
Внедрение беспарольной SMS-идентификации выгодно по двум причинам:
Удобство пользователей. В среднем один человек использует от 70 до 80 паролей — и каждый из них нужно записывать или постоянно держать в голове. Всё это занимает время и раздражает до 75% пользователей.
Поэтому большинство из них предпочли бы аутентификацию без ввода кода. Такая SMS-идентификация поможет управлять аккаунтом без задержек — это не только улучшит общий UX приложения (от регистрации до проведения оплат), но и повысит конверсию онлайн-сервиса до 200%.
Снижение затрат компании. Использование многоразовых кодов требует вложений: на содержание техотдела, контроль безопасности системы аутентификации, приобретение спецоборудования, софта и так далее. Согласно Forrester, такие расходы могут превысить 1 млн долларов.
Отказ от паролей поможет бизнесу сэкономить в долгосрочной перспективе и одновременно извлечь выгоду из других особенностей беспарольной аутентификации. Так, исследование Secret Double Octopus и Ponemon Institute показало, что бренды, которые перестали применять пароли, за два года сэкономили около 1,9 млн долларов.
Но основное преимущество беспарольной SMS-авторизации — это продвинутая киберзащита, которая намного лучше обходит хакерские ловушки.
В случае кибератаки можно сильно сократить затраты на исправление, судебные издержки и в целом ущерб для репутации. С помощью аутентификации без пароля можно снизить вероятность и влияние таких инцидентов.
Лучшая масштабируемость. Аутентификация без пароля более масштабируема, чем традиционная на основе пароля. Это связано с тем, что не нужно хранить учётные данные пользователей и управлять ими. По мере роста числа пользователей беспарольная аутентификация помогает контролировать расходы и упрощать весь процесс аутентификации.
Снижение затрат на привлечение и удержание клиентов. Пароли — общеизвестная причина оттока и ухода пользователей. В исследовании Baymard Institute более 18% пользователей Amazon и ASOS отказались от своей корзины из-за забытых паролей или неуклюжих процессов их сброса. Аутентификация без пароля повышает вероятность того, что пользователи вернутся в приложение: им не понадобится запоминать свой пароль.
Почему SMS-идентификация надёжнее простых паролей
По статистике, до 80% данных крадут из-за «слабых» кодов, а в 2 из 5 случаев — из-за повторяющихся паролей. «Нетология» выяснила, что 41% респондентов хотя бы раз подвергались взлому паролей.
Вместе с этим исследования LastPass от LogMeIn показали, что 59% пользователей дублируют свои пароли, притом что 91% юзеров понимают опасность таких действий.
Взломать многоразовый пароль несложно — обычно для этого используют:
Метод «грубой силы». Уже неоднократно писали, что миллионы пользователей защищают свои аккаунты комбинацией 123456. Кто-то просто вписывает названия продуктов. Такие пароли легко «ломаются» генератором случайных чисел и служат настоящим подарком для мошенников.
Вброс учётных записей. Тип кибератак, когда данные профиля (имя, пароль, email) используются для несанкционированного доступа к другим учётным записям одного и того же пользователя. Отсюда и опасность повторяющихся кодов.
Фишинг. Использование фейковых сообщений, ответы на которые раскрывают реквизиты аккаунта — например, письмо из банка о подтверждении номера карты.
Кейлоггинг. Установка на компьютер вредоносного ПО, отслеживающего порядок нажатия клавиш при вводе пароля.
Схема «Человек посередине». Более сложная форма взлома, которая перехватывает учётные данные через Wi-Fi, подмену HTTPS, отправку DNS и ARP-кеша.
SMS-авторизация сильно усложняет задачу мошенникам, поскольку ограниченный временем одноразовый код отследить практически невозможно. Единственный шанс добраться до SMS-идентификатора — взломать SMS API или украсть телефонный номер абонента (что намного сложнее стандартных хакерских уловок).
Как работает SMS-аутентификация без пароля
Чтобы пройти беспарольную авторизацию, человеку нужно:
Записать в предлагаемое поле свой номер телефона.
Получить текстовое сообщение с одноразовым паролем.
Ввести идентификатор в соответствующее приложение.
Если пользователь входит в систему впервые, под его номер создаётся новая учётная запись. Если телефон совпадает с уже существующим аккаунтом, человек проходит проверку и допускается в свой профиль.
Как внедрить SMS-аутентификацию без пароля
Шаг 1. Интегрируйте одноразовые пароли (OTP) в свою платформу. Для отправки нужен безопасный инструмент аутентификации. Например, SMS API от МТС Exolve.
Ниже — ещё ряд инструментов, которые вы можете изучить:
Вам, конечно, потребуются навыки разработки для интеграции механизма в вашу программу. И, возможно, стоит предусмотреть связку данных с CRM, будь это Битрикс24 или EnvyCRM, чтобы вы далее смогли работать с зарегистрированными пользователями.
Шаг 2. Настройте отправку одноразовых SMS-сообщений.
Как только ваш инструмент сгенерирует одноразовый пароль, вы сможете отправить SMS-сообщение на номер телефона клиента с помощью запроса SendSMS.
Просмотрите документацию по SMS API, чтобы точнее понять, как интегрировать SMS непосредственно в вашу платформу. Пример с 2FA мы уже описали в предыдущей статье, в ближайших материалах мы ещё покажем пример регистрации личного кабинета по SMS и использования SMS вместо пароля.
Шаг 3. Клиент входит в систему с помощью OTP.
Когда клиент получает свою SMS OTP, ему нужно только ввести его при входе в систему, чтобы подтвердить свою личность и получить доступ к своей учётной записи.
Почему не все компании перешли на беспарольные SMS
Несмотря на все преимущества, внедрение SMS-аутентификации — ответственный и трудоёмкий процесс, который требует:
Повышенный контроль безопасности. 100% защиты пользовательских данных не гарантирует ни одна из существующих систем — и беспарольная SMS-идентификация не исключение.
К примеру, если кибератаке подвергнется SMS API, под угрозой окажутся все телефонные номера пользователей, на которые мошенники смогут отправлять сообщения от имени приложения. Отчёт Solt за 2022 год показал, что у 95% компаний наблюдались проблемы с безопасностью API, а число кибератак за этот период выросло на 681%.
Кроме того, 40% опрашиваемых посчитали киберуязвимость главной проблемой API, хотя стратегия защиты от хакеров была только у 11% компаний.
Понимание строения API. Чтобы создать полноценный SMS API, необходимы сервисы для проектирования, разработки, размещения, тестирования и прочих операций с программным интерфейсом. Для управления этой инфраструктурой потребуется минимум один IT-специалист — и желательно штатный (чтобы своевременно реагировать на сбои программного интерфейса).
Кроме того, для обеспечения надёжной связи разработчикам нужно контактировать с мобильными операторами по всему миру, а это ставит перед выбором между повышенными затратами и ограниченным географическим охватом своего соединения.
Поскольку создание собственного API сопряжено с дополнительными затратами и рисками, многие компании используют CPaaS-платформы, например МТС Exolve. Такие сервисы уже имеют инструменты коммуникаций и опыт в API, поэтому могут помочь:
внедрить в приложение SMS-аутентификацию без пароля
настроить и обезопасить SMS-канал
интегрировать работающие решения в другие системы
Это помогает предприятиям избежать потенциальных проблем, связанных с обслуживанием и защитой аккаунтов своих пользователей.
Заключение
Таким образом, SMS-аутентификация без пароля — это не только высокоуровневая защита, но и способ оптимизировать опыт пользователей.
Переход на одноразовые пароли в несколько раз снижает риск утечки данных с аккаунтов приложения, поможет избежать лишних расходов и повысит общую конверсию онлайн-сервиса.