Como reenviar 2FA de forma realmente eficiente?
Métodos de verificação em duas etapas estão presentes em todos os momentos da nossa vida. Por exemplo: acesso a contas, realização de um cadastro, autorização de uma transação bancária, pedido de uma nova senha.
Mas, com a correria das nossas atuais rotinas, esperar alguns segundos extras por um OTP pode ser agoniante. E isso pode nos fazer clicar incessantemente no botão para enviar um novo código.
Mas cada novo código PIN enviado se traduz em custos para a sua empresa e um desgaste na experiência oferecida para o seu cliente. Não é incomum, inclusive, que a falta de recebimento eficaz de um OTP possa causar quedas nas taxas de conversão e no lucro de uma empresa.
E é para evitar esses problemas que é muito recomendado a criação de uma lógica de reenvio para 2FA. Esse conjunto de regras auxilia que a sua empresa ofereça a segurança necessária para seus clientes, mas sem gastos desnecessários e sem atrapalhar a experiência dos seus usuários.
Quer saber mais como essa lógica de reenvio de 2FA funciona e quais são as melhores práticas para implementá-la? Continue lendo e descubra!
Antes, um resumo: o que é 2FA?
Autenticação em dois fatores é um processo de segurança que exige que o usuário forneça um segundo item de verificação de identidade para que ele possa acessar uma conta ou realizar uma transação.
Normalmente, esse 2FA é feito através da combinação do uso de uma senha e de um código de uso único enviado para algum canal de comunicação, como SMS, WhatsApp, e-mail ou voz.
Essa é uma forma de evitar que dados vazados sejam utilizados para golpes e para oferecer uma camada extra de segurança para as contas e aplicações de clientes.
Nesse guia completo sobre autenticação de dois fatores, você encontra explicações mais detalhadas, as melhores opções do mercado, práticas recomendadas e muito mais.
O que é uma lógica de reenvio de 2FA?
Uma lógica de reenvio de 2FA é um conjunto de regras para o envio e reenvio de OTPs para a verificação de identidade de um usuário. É através dela que você cria buffers e alternativas para garantir que os códigos serão entregues e como isso acontecerá.
Por exemplo: de quanto em quanto tempo um usuário pode solicitar um novo PIN de verificação? Todos eles serão enviados pelo mesmo canal? É possível reutilizar o mesmo PIN? Todas essas perguntas são respondidas em uma estratégia de reenvio de 2FA.
Quais os benefícios da criação de uma estratégia de reenvio?
Milhões de códigos de uso único são enviados todos os dias para garantir a segurança dos usuários ao redor do mundo. Mas não são todas as empresas que pensam em lógicas de reenvio para suas estratégias de 2FA.
E isso é um grande erro! Afinal, a criação de uma estratégia como essa é capaz de:
- Entregar uma experiência melhor e mais transparente para o seu cliente;
- Reduzir os custos relacionados ao envio de PINs;
- Diminuir o risco de ser entendido como spam por servidores de e-mail e operadoras;
- Reduzir a sobrecarga na sua API e garantir que os limites de disparos diários não sejam alcançados;
Convencido? Então confira o passo a passo para criar regras realmente eficientes para sua 2FA!
Como criar uma lógica de reenvio de 2FA eficiente?
1. Permita que seu usuário escolha seu método preferido logo na primeira tentativa de envio
É muito melhor se seu usuário puder selecionar qual canal deseja receber seu PIN. Isso porque fatores como falta de acesso à rede local ou à internet pode comprometer o recebimento dos códigos.
Ofereça ao menos duas opções entre as mais comuns: SMS, WhatsApp, Voz, E-mail, notificações push em aplicativos relacionados e biometria.
Outra maneira de garantir a entrega da mensagem é configurar alternativas de failover padrão para cada canal. E a, partir da terceira tentativa, é fundamental que você mude o canal de entrega da OTP.
2. Imponha um limite de tempo antes de permitir um segundo envio
Vamos confessar: as pessoas podem ser bastante impacientes. Por isso, é interessante impedir que seu usuário solicite mais de um código de verificação em um curto espaço de tempo.
Geralmente, as empresas adicionam buffers de 30 a 60 segundos na primeira tentativa e 60 a 90 segundos na segunda tentativa. Depois disso, é possível restringir o pedido por um tempo um pouco maior, por exemplo, 5 minutos.
Uma boa prática é trocar a cor do botão de “Enviar código de verificação”, retirar a possibilidade de cliques por aquele período de tempo e acrescentar um cronômetro para que o usuário saiba quando poderá solicitar um novo código.
3. Restrinja a quantidade de PINs possíveis de serem enviados por dia
É recomendado que você restrinja o número de PINs que seu usuário pode receber/usar ao longo de um dia. O mais comum é que após 5 envios, o serviço seja temporariamente bloqueado por 24 horas.
Isso reduz as chances de pedidos constantes feitos por bots sobrecarreguem a sua API e gerem altas taxas de cobrança por envio de mensagens.
Em casos do serviço ser bloqueado temporariamente, é importante oferecer uma alternativa para o seu usuário tentar resolver seu problema, como um FAQ, um chatbot ou um atendimento telefônico.
4. A partir da 2ª tentativa, peça para seu usuário verificar o e-mail/telefone digitado
Se um cliente digitar o número de telefone errado, ele nunca poderá receber o número PIN necessário para concluir a verificação. Por isso, após uma tentativa de envio de PIN, peça que seu usuário confira ou até mesmo digite novamente o e-mail/ telefone inserido.
Uma outra opção é utilizar uma solução como Number Lookup, que analisa se um número existe, se ele é de um telefone fixo e se está ativo antes mesmo que qualquer tipo de PIN seja enviado. Desta forma, você oferece uma chance dos seus usuários inserirem o número correto para receberem seu PIN.
5. Invalide seus PINs assim que um novo envio for realizado
Se um usuário solicitar um novo código de verificação, é fundamental que você invalide o código enviado anteriormente – mesmo que ele não tenha sido utilizado pelo usuário.
Assim, você garante mais segurança, principalmente se o seu cliente trocou de canal entre o primeiro e o segundo envio.
6. Imponha um limite de tempo para que seu PIN seja válido
É muito importante que você restrinja o tempo que um código PIN será válido como forma de 2FA. Para a maioria das empresas, esse tempo varia de 60 segundos a 30 minutos.
Após esse tempo, mesmo que o usuário não tenha solicitado um novo código ou usado o que foi enviado, ele terá que pedir um novo para concluir sua verificação de identidade.
Lembre-se: você pode modular esse tempo de acordo com o quão crítica é a verificação. Seu usuário está tentando fazer uma transação de alto valor? O tempo deve ser menor. Já se é uma validação simples, ele pode ser um pouco mais extenso.
7. Analise suas métricas relacionadas à entrega de PINs
Para garantir que você não está desperdiçando recursos em suas estratégias de 2FA, é interessante ficar de olho nas métricas relacionadas ao envio de seus PINs de verificação.
É especialmente importante olhar para a razão entre quantos PINs foram enviados e quantos foram realmente utilizados e separar essa análise por canais. Medir essa taxa de conversão permite que você entenda como seus clientes estão usando o seu serviço 2FA e o quanto ele é conveniente para eles.
Esse insight adicional pode ajudá-lo a otimizar sua estratégia de 2FA, tornando-a mais fácil de usar e mais assertiva.
Descubra o futuro da autenticação
A Infobip ajuda empresas globais e SMBs a proteger seus clientes e transações. E, recentemente, lançou uma solução para tornar esse processo ainda mais simples.
O Infobip Authenticate é único no mercado, pois incorpora vários canais e analisa diversos fatores, incluindo custo e popularidade, para determinar o melhor canal para cada OTP. Os canais atualmente disponíveis para a entrega otimizada são SMS, RCS, WhatsApp, Voz, Viber, Zalo e KakaoTalk. Isso garante que seus PINs sejam entregues de forma mais rápida e confiável.
A solução foi projetada para se integrar perfeitamente aos seus processos, de modo que seus clientes se beneficiem de uma experiência fácil e consistente que reduz o atrito desde o cadastro, realizaçao de compras e até atualizações de conta.
Quer conhecer algumas das marcas que já confiam na Infobip para suas estratégias de autenticação e segurança?
- Uber: proteção de clientes através de anonimização de 90% das chamadas e mascaramento de números
- PicPay: mais de 7 milhões de PINs mensais enviados com mais de 90% de entregabilidade
- LeanPay: crescimento de 20% mês a mês de usuários cadastrados com 2FA
- Yousign: Aumento das taxas de entrega de OTP para mais de 97% via SMS e failover de conversão de texto em fala (TTS).
Fale com um de nossos especialistas e conheça mais sobre o Infobip Authenticate e nossas soluções de segurança.