Kami mengganti otentikasi SMS dengan aplikasi email dan otentikator – itu sebabnya – Beragampengetahuan

Di beragampengetahuan, keamanan selalu menjadi keseimbangan: menjaga keamanan akun pelanggan sambil membuat basis pengguna global kami se -sebesar mungkin.

Beberapa bulan yang lalu, kami membuat keputusan mengejutkan yang mungkin-kami menghapus otentikasi dua faktor berbasis SMS (2FA) dan otentikasi berbasis email yang sepenuhnya diadopsi.

Ini bukan perubahan yang kita buat enteng. SMS telah lama dianggap sebagai standar 2FA. Tetapi seiring berjalannya waktu, kekurangan mulai lebih besar daripada minat.

Inilah kisah tentang bagaimana kita sampai di sana, penampilan transisi dan apa yang telah kita lihat sejak saat itu.

Mengapa kita meninggalkan pesan teks

2FA berbasis SMS telah lama dianggap sebagai standar keamanan, tetapi tim kami telah mengidentifikasi beberapa masalah utama yang telah membuat kami mempertimbangkan kembali:

Pelanggaran keamanan lebih umum dari yang diharapkan

Serangan pertukaran kartu SIM menjadi semakin kompleks, memungkinkan penyerang untuk membajak nomor telepon dan memotong keamanan berbasis SMS.

Selain itu, pesan SMS tidak terlampir melalui beberapa operator, menciptakan potensi titik intersepsi.

Biaya tidak dapat ditingkatkan

Setiap SMS otentikasi membutuhkan uang, dan biaya yang tampaknya kecil ini berjumlah ratusan dolar per bulan sebagai basis pengguna kami yang terus bertambah. Tarif SMS internasional membuat ini lebih menantang karena basis pengguna global kami.

Peraturan Internasional dan Persyaratan ID Pengirim

Peraturan SMS bervariasi berdasarkan negara, membuat kepatuhan menjadi tantangan yang berkelanjutan. Setiap negara memiliki persyaratan yang berbeda untuk ID Pengirim (nama pengirim yang ditampilkan sebagai SMS), dan beberapa di antaranya mengharuskan pra-pendaftaran mungkin memakan waktu berminggu-minggu atau berbulan-bulan untuk menyelesaikannya.

Misalnya, Singapura membutuhkan dokumen verifikasi bisnis, India membutuhkan proses pra-persetujuan template, dan UEA memiliki pembatasan konten yang ketat.

Mengelola persyaratan ini di lebih dari 100 negara menciptakan beban administrasi yang sangat besar, dengan setiap peraturan baru meningkat.

Selain itu, kegagalan untuk mematuhi peraturan lokal dapat menyebabkan pesan diblokir dan pada akhirnya tidak dapat masuk ke beragampengetahuan.

Dependensi pihak ketiga membuat titik kegagalan

Kami mengandalkan penyedia gateway SMS dan kadang -kadang memiliki masalah dengan pemadaman listrik, penundaan pengiriman atau masalah pembatas tingkat.

Ketika layanan ini turun, pengguna kami tidak akan dapat mengakses akun mereka, masalah utama untuk alat yang memberi daya strategi media sosial global.

Mengapa email lebih masuk akal

Saat kami mencari alternatif, kami menyadari bahwa kami sudah memiliki opsi yang lebih kuat: email.

Jadi kami tidak akan hanya menghapus SMS dan menyebutnya sehari, kami juga menata ulang aliran otentikasi kami dengan menggabungkan email sebagai tempat lain.

Kami menerapkan kode verifikasi satu kali untuk batas waktu yang dikirim melalui email dan email yang dienkripsi. Infrastruktur email yang telah kami pertahankan untuk pemberitahuan dan pembaruan lebih dapat diandalkan daripada gateway SMS pihak ketiga.

Kami juga menambahkan laju batas dan deteksi anomali untuk mencegah penyalahgunaan.

Manfaat tak terduga dari beralih ke email

Transisi memberikan peningkatan di luar harapan awal kami:

• Keamanan sebenarnya membaik. Akun email sering memiliki opsi keamanan yang lebih andal daripada nomor telepon, termasuk 2FA mereka sendiri, opsi pemulihan, dan pemantauan aktivitas. Pengguna mempertahankan kontrol yang lebih baik atas akun email mereka daripada nomor telepon mereka, yang dapat ditransmisikan tanpa sepengetahuan mereka.
• Mengurangi suara dukungan. Kami melihat penurunan permintaan dukungan yang terkait dengan otentikasi. Pengguna tidak lagi berjuang dengan masalah pengiriman SMS internasional, nomor telepon, atau masalah khusus operator.
• Kecepatan pembangunan meningkat. Tim teknik kami tidak perlu lagi konsisten dengan penyedia SMS, menugaskan masalah pengiriman untuk operator yang berbeda, atau menangani peraturan SMS di negara tertentu.

Bagaimana kami meluncurkan sakelar

Membuat transisi ini membutuhkan perencanaan yang cermat.

Kami mengomunikasikan perubahan kepada pengguna sebelumnya, menjelaskan manfaat keamanan dan menyelesaikan masalah tersebut. Kami memberikan panduan migrasi terperinci dan sementara mendukung kedua pendekatan selama periode transisi.

Untuk pengguna yang sangat suka SMS, kami membantu mereka memahami keamanan email modern, terutama untuk penyedia seperti Gmail atau Outlook yang menawarkan perlindungan kuat, yang memberikan keamanan yang sama atau lebih baik daripada SMS.

Kami juga telah meningkatkan infrastruktur pengiriman email kami untuk memastikan keandalan, mengimplementasikan penyedia layanan email yang berlebihan dan memantau tarif pengiriman.

Pilihan beragampengetahuan yang benar

Keputusan ini tidak cocok untuk setiap perusahaan. Layanan tanpa alamat email pengguna atau akses email yang terbatas ke informasi demografis layanan mungkin memerlukan solusi yang berbeda. Namun, untuk kasus di mana beragampengetahuan (setiap pengguna sudah memiliki akun email yang terkait dengan profilnya), perubahan ini persis sama dengan persyaratan kami.

Tiga bulan setelah transisi, hasilnya diklaim sebagai: Mengurangi tiket dukungan yang terkait dengan otentikasi, dan penghematan bulanan yang signifikan yang kami investasikan kembali dalam peningkatan produk.

Melihat ke Masa Depan

Menghapus otentikasi SMS awalnya terasa seperti berenang dalam situasi saat ini, tetapi memaksa kami untuk berpikir kritis tentang teater yang aman dan keamanan yang sebenarnya. Terkadang solusi “standar” bukan solusi terbaik untuk konteks spesifik Anda.

Kami akan terus mengeksplorasi opsi otentikasi lainnya, termasuk dukungan untuk kunci keamanan perangkat keras. Namun, metode email kami telah membuktikan bahwa lebih sederhana memang bisa lebih aman.

Kami berbagi cerita seperti ini karena kami tahu tim lain menghadapi pertukaran yang sama. Apakah Anda baru -baru ini memikirkan kembali praktik keamanan “standar”? Kami ingin mendengar dari Anda di media sosial kami! Temukan kami di mana saja @beragampengetahuan Ikuti Carlos di LinkedIn di sini.