Сколько стоит двухфакторная аутентификация (2FA)

В этой статье мы расскажем, из чего складывается стоимость двухфакторной аутентификации для сайта, по какой цене вы можете подключить разные виды 2FA и какие есть способы сэкономить.

Содержание

Вы уже знаете, что такое двухфакторная аутентификация и как работает 2FA. Теперь пришло узнать о ценах на двухфакторную аутентификацию и способах ее внедрения на ваш сайт.

Стоимость подключения двухфакторной аутентификации на сайт

Чтобы узнать стоимость, надо понять, из чего она складывается. Есть две основных составляющих:

  1. Подключение 2FA на ваш сайт. Если у вас для создания сайта использовалась популярная CMS, то возможно найти плагины для нее или другие типовые решения, которые добавляют возможность двухфакторной аутентификации на сайт. Если вы решили самостоятельно позаботиться о безопасности и надежности сайта и создали его с нуля на заказ, то доработку процесса аутентификации придется заказывать у тех же или других разработчиков.
  2. Эксплуатация и обслуживание. Под эксплуатацией понимается регулярное использование 2FA функционала. Например, отправка кодов в смс и их проверка при вводе пользователем. Стоимость будет зависеть от выбранного способа передачи кода. Если это смс, то цена одного отправленного кода будет зависеть от стоимости смс. Если вы решили отправлять коды по email, то вы можете либо делать это самостоятельно бесплатно. Под обслуживанием понимается доработка процесса аутентификации на вашем сайте (например, ограничение количества кодов по времени, чтобы пользователь не смог запросить 1000 кодов за 1 минуту). Такая доработка будет аналогична доработке сайта при начальном внедрении 2FA, то есть вам нужно обратиться к вашему разработчику.

Цена 2FA для сайта в зависимости от типа фактора (сравнение)

Рассмотрим популярные способы реализации двухфакторной аутентификации на сайте. Среди них отправка кода по email, по смс, через push уведомления, с использованием мобильного приложения или специальных дополнительных устройств (токенов).

Email

Доставка кода в сообщении на электронную почту пользователя.

2fa email

Подключение для сайта

Программно отправить email достаточно просто. Вам потребуется установка и настройка почтового сервера или подключение к бесплатным или платным почтовым сервисам.

Подключение для пользователя

Если пользователь указывал свой email при регистрации, то больше ничего делать не нужно. Если не указывал, то нужно будет добавить его email в свой профиль на сайте.

Плюсы

Несложное подключение, бесплатное использование. У каждого человека есть email, который обычно указывается при регистрации на вашем сайте. Вам не нужно запрашивать дополнительные данные у пользователей для отправки кодов.

Минусы

Не для всех пользователей удобно проверять почту при каждом входе в свой аккаунт, особенно со смартфона. Письма могут не доходить или попадать в спам.

Цена за один код

Бесплатно.

Sms

Отправка кода в смс на номер телефона.

2fa sms

Подключение для сайта

Если у вас совсем небольшой проект, то вы можете организовать отправку смс с кодами своими руками. Для средних проектов удобнее будет воспользоваться сервисами смс рассылок. Вы можете найти их в поисковике, вот некоторые из них: один, два, три, четыре. Если у вас большая компания, то выгоднее будет работать с каждым сотовым оператором напрямую, рассылая через него только сообщения с кодами для абонентов того же оператора. Тогда стоимость каждого смс будет значительно ниже. Информацию по смс рассылкам вы можете узнать у МТС, Билайн, Мегафон, Теле2 (1, 2).

Подключение для пользователя

Аналогично email. Если телефон уже указан пользователем, то дополнительных действий не требуется. Если не указан, то нужно будет его добавить.

Плюсы

Простой и знакомый почти всем людям способ получения 2FA кодов. Смартфон почти всегда под рукой, поэтому ввод кода не занимает много времени.

Минусы

Достаточно дорогой способ для владельца сайта.

Цена за один код

Около 2-3 рублей, в зависимости от сотового оператора получателя и объема отправляемых смс. Но на отправке смс можно существенно сэкономить, если не отправлять код по смс при каждом входе пользователя в свой аккаунт. Это называется адаптивная двухфакторная аутентификация, подробнее в конце статьи.

Push уведомления

Отправка сообщения на устройство пользователя через интернет.

2fa push

Подключение для сайта

Не самый простой способ интеграции, поскольку вам придется подключить сайт к сервисам уведомлений всех популярных операционных систем (Apple Push Notification Service для iOS и macOS, Firebase Cloud Messaging для Android от Google, HUAWEI Push Kit для Android от HUAWEI, Windows Push Notification Service для Windows). Но вы можете воспользоваться коммерческими сервисами (например: один, два), которые сделали эту интеграцию и за небольшую (по сравнению с смс) плату готовы доставлять ваши пуши пользователям.

Подключение для пользователя

Необходимо разрешить получение push уведомлений в браузере или приложении.

Плюсы

Достаточно недорого. Со стороны пользователя выглядит понятно и похоже на смс.

Минусы

Нужно платить за каждое сообщение сервисам по доставке, либо заниматься сложной интеграцией.

Цена за один код

От 10-15 копеек и ниже за 1 сообщение при использовании коммерческих сервисов доставки push уведомлений. В случае самостоятельной реализации цену будут определять ваши затраты на интеграцию с приведенными выше сервисами операционных систем. Подробнее о push уведомлениях и двух платных сервисах вы можете прочитать в этой статье.

Мобильные приложения

Создание одноразовых кодов внутри мобильного приложения.

2fa mobile app

Подключение для сайта

Вам потребуется создать свое мобильное приложение, либо добавить функционал генерации 2FA кодов в ваше существующее приложение, либо воспользоваться готовыми приложениями для двухфакторной аутентификации. После этого нужно реализовать проверку вводимых на сайте кодов, созданных в мобильном приложении. Есть хорошая статья с обзором готовых мобильных приложений для двухфакторной аутентификации и их преимуществах перед смс кодами.

Подключение для пользователя

Если у вас уже есть мобильное приложение и оно установлено у пользователей, то им потребуется обновить приложение. Если приложения нет, то потребуется его установить и привязать к своему аккаунту на вашем сайте.

Плюсы

Достаточно надежно. При использовании готового проложения для двухфакторной аутентификации вам не потребуется делать его с нуля. Не нужно оплачивать генерацию каждого отдельного кода.

Минусы

Потребуется доработка вашего существующего приложения, либо интеграция с готовыми приложениями для двухфакторной аутентификации. Некоторые из них платные. Пользователям может быть сложно восстановить доступ при потере смартфона.

Цена за один код

Если вы разрабатываете данный функционал сами, то после завершения разработки генерация кодов будет бесплатной. Среди готовых решений есть бесплатные и платные приложения. В платных стоимость зависит от количества активных пользователей (установленных экземпляров приложения) в месяц.

Отдельные устройства, токены

Физическое отдельное устройство с кнопкой для создания одноразовых кодов (One Time Password, OTP Token).

2fa token

Подключение для сайта

Необходимо реализовать алгоритм проверки вводимых кодов.

Подключение для пользователя

Пользователю нужно получить или купить у вашей компании такое устройство.

Плюсы

Очень надежно. Мошенники не могут получить доступ к такому токену, в отличии от вашего компьютера или смартфона.

Минусы

Высокая стоимость для вас (если вы предоставляете устройства клиентам бесплатно), либо для ваших клиентов (если им нужно оплатить получение устройства). Для получения нужно посещать офис вашей компании. Заряд батареи может закончиться в неподходящий момент.

Цена за один код

Цена рассчитывается на одно устройство (одного пользователя). Дальнейшая генерация кодов на каждом устройстве бесплатна. На маркетплейсе Alibaba оптовая (от 1000 штук) цена одного устройства составляет от 3$ до 20$.

WebAuthn, подтверждение владения устройством

Технология поддерживается современными смартфонами, планшетами и компьютерами. Обычно вас просят совершить действие, похожее на разблокировку устройства: ввести PIN, приложить палец или сканировать лицо. Так устройство подтверждает, что оно находится у настоящего владельца. Технически метод основан на криптографических ключах. Для каждого сайта создается собственный ключ при регистрации (или привязке к существующему аккаунту), который проверяется при каждом входе в аккаунт. Демонстрацию работы технологии вы можете протестировать прямо на своем устройстве на этом сайте.

2fa webauthn

Подключение для сайта

Вам понадобится JavaScript библиотека для взаимодействия с WebAuthn API браузера пользователя и серверная часть для хранения и проверки ключей.

Подключение для пользователя

Нужно только привязать свое устройство к аккаунту на вашем сайте. Это простой процесс и занимает всего несколько кликов.

Плюсы

Надежный и удобный для пользователей способ. Доступ невозможно украсть, в том числе с помощью фишинга. Войти в аккаунт становится возможным просто приложив палец к экрану, сканировав свое лицо или введя PIN код устройства. Является заменой классическим паролям.

Минусы

Основной риск — потеря устройства. При потере устройства теряется доступ к аккаунту. Поэтому необходимо оставлять дополнительный способ аутентификации (например, на email или по смс).

Цена за один код

При собственной реализации технологии — бесплатно.

Где купить решение для двухфакторной аутентификации

Если вы не используете готовую CMS, для которой существуют модули для подключения 2FA, то вам придется дорабатывать систему аутентификации вашего проекта. Готового решения для двухфакторной аутентификации в этом случае быть не может, поэтому его нужно будет построить своими силами целиком или частично.

Как было написано выше, вам понадобится разработчик для модификации кода сайта и реализация способа отправки одноразовых кодов. Отправка кодов для некоторых способов может быть создана самостоятельно (например, отправка кодов в email). Для других методов необходимо обратиться к поставщикам соответствующих услуг (например, отправка кодов в смс).

В каких случаях не запрашивать 2FA код у пользователя? Как сэкономить?

адаптивный 2fa

Самый простой способ реализовать 2FA на вашем сайте — отправлять и запрашивать код при каждой попытке входа в аккаунт. Но есть методы, которые позволят отправлять код только в небольшой части случаев и существенно экономить ваши средства. Например, если вы запрашиваете 2FA код у пользователя в 1 случае из 10 входов, то экономия будет 10 раз. Если у вас много пользователей и вы доставляете коды по смс, то сумма экономии может быть значительной.

В каких случаях можно на запрашивать двухфакторную проверку без снижения уровня безопасности аккаунта? Представим, что пользователь со своего компьютера из дома заходит в аккаунт вашего сервиса каждый день на протяжении целого года. Завтра он снова зайдет с того же компьютера. Нужно ли запрашивать у него код? Очевидно, что риски при использовании одного и того же устройства и подключения к интернет минимальны. Но как сайту узнать, что это тот же самый компьютер и то же самое подключение к интернет?

Для этого существуют специальные продукты, которые позволяют вам сделать процесс двухфакторной аутентификации адаптивной. Одним из таких решений является антифрод система WEB ANTIFRAUD. В зависимости от разных условий (устройство пользователя, параметры подключения, поведенческие характеристики) такая система дает вам рекомендацию о необходимости дополнительной проверки пользователя при входе в аккаунт.

В примере выше в аккаунт заходят с одного устройства. В этом случае нет необходимости каждый раз запрашивать код. Но если вдруг в этот аккаунт попытались войти со смартфона вместо компьютера, а IP адрес принадлежит другой стране, то запросить код нужно обязательно. Подобные системы для анализа используют отпечатки устройств, хранение сессий в браузерах, отпечатки соединений, определение геолокации пользователя и его поведенческий профиль. Все это позволяет надежно определить необходимость запроса двухфакторной аутентификации в каждом случае.

Может показаться, что такой функционал достаточно легко реализовать самостоятельно. Но на самом деле существует множество нюансов, которые обеспечивают высокую точность и эффективность адаптивной аутентификации. Рассмотрим некоторые из них. У части пользователей выход в интернет происходит с динамических IP адресов (при каждом подключении он меняется). Будет ли это служить сигналом о смене локации? Следует ли при входе в аккаунт с публичной Wi-Fi точки (которой легко могут воспользоваться мошенники) считать ее доверенной? Является ли изменение версии браузера пользователя обычным обновлением или доказательством входа с другого устройства? Будет ли смена браузера считаться изменением устройства, если этот браузер установлен на том же устройстве, что и предыдущий доверенный браузер?

Вряд ли обычный разработчик сможет уверенно ответить на эти и другие подобные вопросы. Поэтому для создания адаптивной аутентификации на вашем сайте рекомендуем воспользоваться профессиональными решениями.

Для уведомлений о новых статьях и обсуждения:

Поделитесь записью в соцсетях: