Como reenviar 2FA de forma realmente eficiente?

Métodos de verificação em duas etapas estão presentes em todos os momentos da nossa vida. Por exemplo: acesso a contas, realização de um cadastro, autorização de uma transação bancária, pedido de uma nova senha.

Mas, com a correria das nossas atuais rotinas, esperar alguns segundos extras por um OTP pode ser agoniante. E isso pode nos fazer clicar incessantemente no botão para enviar um novo código. 

Mas cada novo código PIN enviado se traduz em custos para a sua empresa e um desgaste na experiência oferecida para o seu cliente. Não é incomum, inclusive, que a falta de recebimento eficaz de um OTP possa causar quedas nas taxas de conversão e no lucro de uma empresa.

E é para evitar esses problemas que é muito recomendado a criação de uma lógica de reenvio para 2FA. Esse conjunto de regras auxilia que a sua empresa ofereça a segurança necessária para seus clientes, mas sem gastos desnecessários e sem atrapalhar a experiência dos seus usuários. 

Quer saber mais como essa lógica de reenvio de 2FA funciona e quais são as melhores práticas para implementá-la? Continue lendo e descubra! 

Autenticação em dois fatores é um processo de segurança que exige que o usuário forneça um segundo item de verificação de identidade para que ele possa acessar uma conta ou realizar uma transação.

Normalmente, esse 2FA é feito através da combinação do uso de uma senha e de um código de uso único enviado para algum canal de comunicação, como SMS, WhatsApp, e-mail ou voz.

Essa é uma forma de evitar que dados vazados sejam utilizados para golpes e para oferecer uma camada extra de segurança para as contas e aplicações de clientes.

Nesse guia completo sobre autenticação de dois fatores, você encontra explicações mais detalhadas, as melhores opções do mercado, práticas recomendadas e muito mais.

Uma lógica de reenvio de 2FA é um conjunto de regras para o envio e reenvio de OTPs para a verificação de identidade de um usuário. É através dela que você cria buffers e alternativas para garantir que os códigos serão entregues e como isso acontecerá. 

Por exemplo: de quanto em quanto tempo um usuário pode solicitar um novo PIN de verificação? Todos eles serão enviados pelo mesmo canal? É possível reutilizar o mesmo PIN? Todas essas perguntas são respondidas em uma estratégia de reenvio de 2FA. 

Milhões de códigos de uso único são enviados todos os dias para garantir a segurança dos usuários ao redor do mundo. Mas não são todas as empresas que pensam em lógicas de reenvio para suas estratégias de 2FA. 

E isso é um grande erro! Afinal, a criação de uma estratégia como essa é capaz de:

Convencido? Então confira o passo a passo para criar regras realmente eficientes para sua 2FA!

É muito melhor se seu usuário puder selecionar qual canal deseja receber seu PIN. Isso porque fatores como falta de acesso à rede local ou à internet pode comprometer o recebimento dos códigos.

Ofereça ao menos duas opções entre as mais comuns: SMS, WhatsApp, Voz, E-mail, notificações push em aplicativos relacionados e biometria.

Outra maneira de garantir a entrega da mensagem é configurar alternativas de failover padrão para cada canal. E a, partir da terceira tentativa, é fundamental que você mude o canal de entrega da OTP.

Vamos confessar: as pessoas podem ser bastante impacientes. Por isso, é interessante impedir que seu usuário solicite mais de um código de verificação em um curto espaço de tempo.

Geralmente, as empresas adicionam buffers de 30 a 60 segundos na primeira tentativa e 60 a 90 segundos na segunda tentativa. Depois disso, é possível restringir o pedido por um tempo um pouco maior, por exemplo, 5 minutos.

Uma boa prática é trocar a cor do botão de “Enviar código de verificação”, retirar a possibilidade de cliques por aquele período de tempo e acrescentar um cronômetro para que o usuário saiba quando poderá solicitar um novo código.

É recomendado que você restrinja o número de PINs que seu usuário pode receber/usar ao longo de um dia. O mais comum é que após 5 envios, o serviço seja temporariamente bloqueado por 24 horas.

Isso reduz as chances de pedidos constantes feitos por bots sobrecarreguem a sua API e gerem altas taxas de cobrança por envio de mensagens.

Em casos do serviço ser bloqueado temporariamente, é importante oferecer uma alternativa para o seu usuário tentar resolver seu problema, como um FAQ, um chatbot ou um atendimento telefônico.

Se um cliente digitar o número de telefone errado, ele nunca poderá receber o número PIN necessário para concluir a verificação. Por isso, após uma tentativa de envio de PIN, peça que seu usuário confira ou até mesmo digite novamente o e-mail/ telefone inserido.

Uma outra opção é utilizar uma solução como Number Lookup, que analisa se um número existe, se ele é de um telefone fixo e se está ativo antes mesmo que qualquer tipo de PIN seja enviado. Desta forma, você oferece uma chance dos seus usuários inserirem o número correto para receberem seu PIN.

Se um usuário solicitar um novo código de verificação, é fundamental que você invalide o código enviado anteriormente – mesmo que ele não tenha sido utilizado pelo usuário.

Assim, você garante mais segurança, principalmente se o seu cliente trocou de canal entre o primeiro e o segundo envio.

É muito importante que você restrinja o tempo que um código PIN será válido como forma de 2FA. Para a maioria das empresas, esse tempo varia de 60 segundos a 30 minutos. 

Após esse tempo, mesmo que o usuário não tenha solicitado um novo código ou usado o que foi enviado, ele terá que pedir um novo para concluir sua verificação de identidade.

Lembre-se: você pode modular esse tempo de acordo com o quão crítica é a verificação. Seu usuário está tentando fazer uma transação de alto valor? O tempo deve ser menor. Já se é uma validação simples, ele pode ser um pouco mais extenso. 

Para garantir que você não está desperdiçando recursos em suas estratégias de 2FA, é interessante ficar de olho nas métricas relacionadas ao envio de seus PINs de verificação.

É especialmente importante olhar para a razão entre quantos PINs foram enviados e quantos foram realmente utilizados e separar essa análise por canais. Medir essa taxa de conversão permite que você entenda como seus clientes estão usando o seu serviço 2FA e o quanto ele é conveniente para eles.

Esse insight adicional pode ajudá-lo a otimizar sua estratégia de 2FA, tornando-a mais fácil de usar e mais assertiva.

A Infobip ajuda empresas globais e SMBs a proteger seus clientes e transações. E, recentemente, lançou uma solução para tornar esse processo ainda mais simples.

O Infobip Authenticate é único no mercado, pois incorpora vários canais e analisa diversos fatores, incluindo custo e popularidade, para determinar o melhor canal para cada OTP. Os canais atualmente disponíveis para a entrega otimizada são SMS, RCS, WhatsApp, Voz, Viber, Zalo e KakaoTalk. Isso garante que seus PINs sejam entregues de forma mais rápida e confiável.

A solução foi projetada para se integrar perfeitamente aos seus processos, de modo que seus clientes se beneficiem de uma experiência fácil e consistente que reduz o atrito desde o cadastro, realizaçao de compras e até atualizações de conta.

Quer conhecer algumas das marcas que já confiam na Infobip para suas estratégias de autenticação e segurança?

Fale com um de nossos especialistas e conheça mais sobre o Infobip Authenticate e nossas soluções de segurança.