雙因素驗證的真實成本
雙因素驗證(2FA)已是現代 App 的標配。但「2FA」不是單一產品、單一價格——它涵蓋成本結構差異極大的多種方式。SMS OTP、WhatsApp OTP、驗證器 App(TOTP)、硬體金鑰與通行密鑰都能提供第二因子,但總持有成本天差地遠。
本指南拆解各方式的實際成本,含每則訊息費、平台授權與工程成本——協助你依規模與使用者組成做決策。
四種主要 2FA 方式與成本結構
1. SMS OTP——按則計費
最常見的 2FA:每次登入(或敏感操作)透過 SMS 將一次性密碼送到使用者手機。你依簡訊閘道商每則付費。
成本結構: 變動、按則、持續發生。成本與每月活躍使用者(MAU)及驗證頻率直接連動。
各國 SMS 單價差異大。以下為透過 Twilio 的代表性每則費率(約 2026 年初):
| 國家 | 每則 OTP(Twilio SMS) |
|---|---|
| 美國 | $0.0083 |
| 英國 | $0.0524 |
| 德國 | $0.1120 |
| 印度 | $0.0170 |
| 巴西 | $0.0599 |
| 奈及利亞 | $0.0920 |
| 埃及 | $0.3959 |
| 全球平均 | ~$0.0875 |
別忽略的隱藏成本:
- SMS 詐欺(pumping 攻擊可能帶來意外帳單——見我們的 SMS pumping 攻擊指南)
- 部分設定下,送達失敗仍計費
- 部分市場的 A2P(應用到人)註冊費(美國、印度等)
- 建置速率限制、詐欺偵測與後援流程的工程時間
2. WhatsApp OTP——每則較便宜、模式類似
WhatsApp 驗證訊息使用 Meta 商業平台,以「驗證對話」計價。仍為按則付費,但多數市場費率遠低於 SMS。
成本結構: 變動、按則(最低建置成本略高,但經常性費用較低)。
| 國家 | 每則 WhatsApp OTP | 相較 SMS |
|---|---|---|
| 美國 | $0.0034 | −59% |
| 英國 | $0.0220 | −58% |
| 德國 | $0.0550 | −51% |
| 印度 | $0.0014 | −92% |
| 巴西 | $0.0068 | −89% |
| 奈及利亞 | $0.0067 | −93% |
| 埃及 | $0.0036 | −99% |
| 全球平均 | ~$0.0113 | −87% |
限制:使用者需安裝 WhatsApp。在 WhatsApp 主導的市場,通常仍有約 5–10% 使用者沒有。WhatsApp 為主、SMS 後援 可在維持觸及下省下大部分費用。
3. TOTP(驗證器 App)——邊際成本近乎零
基於時間的一次性密碼(TOTP)——Google Authenticator、Authy、1Password 等——在使用者裝置上以共用密鑰產生代碼。不傳送訊息,無按次費用。
成本結構: 實作工程時間(通常用 speakeasy(Node)或 pyotp(Python)等函式庫數小時可完成)。持續成本近乎零。備援碼儲存僅增加少量資料庫負擔。
取捨:
- 使用者須安裝並管理驗證器 App(消費型 App 摩擦較高、採用率較低)
- 使用者遺失裝置時,帳戶復原流程須審慎設計
- 非釣魚抗性——即時釣魚仍可能騙取代碼
- 最佳實務見 5 個常見 TOTP 錯誤
最適合: B2B SaaS、開發者工具、管理後台——使用者技術程度高、願意使用驗證器 App 的情境。消費型 App 若便利優先,較不適合。
4. 通行密鑰——無傳送成本,實作需投資
通行密鑰以公開金鑰密碼學取代密碼與 OTP。使用者以 Face ID、Touch ID 或裝置 PIN 驗證。不發訊息、不輸入代碼。設計上具釣魚抗性。
成本結構: 無按次費用。工程投資以實作 WebAuthn/FIDO2(複雜度中等——完整實作常需約 1–3 週)。可選驗證平台以縮短工期。
長期而言,通行密鑰是大規模下最便宜的 2FA:每次驗證的邊際成本實質為零。回訪使用者愈多,相對 SMS OTP 省愈多。實作細節見我們的 通行密鑰指南。
不同規模下的每月總成本
以下為全球使用者混合(219 國平均,2026 年 2 月資料)在不同每月 OTP 量下的加總:
| 每月 OTP 則數 | 僅 SMS | WhatsApp + SMS 後援 | TOTP(驗證器 App) | 通行密鑰 |
|---|---|---|---|---|
| 10,000 | $875 | ~$113 | ~$0 | ~$0 |
| 100,000 | $8,750 | ~$1,130 | ~$0 | ~$0 |
| 1,000,000 | $87,500 | ~$11,300 | ~$0 | ~$0 |
註:WhatsApp + SMS 後援假設約 90% 由 WhatsApp 送達、10% 改 SMS。TOTP 與通行密鑰欄位僅為「每則訊息」成本——實作成本為一次性,未列入表內。
驗證平台授權:實際要付多少?
除每則訊息費用外,你可能還要付驗證平台費用(使用者管理、工作階段、MFA 註冊流程、通行密鑰支援等)。常見選項:
自建
工程成本落差極大。基本 SMS OTP 可能數日可成;含 TOTP、通行密鑰、工作階段管理、詐欺防護與帳戶復原的生產級驗證系統常需數月,且維運無上限。
Duo Security(Cisco)
此類最常搜尋到的平台之一。免費層最多 10 位使用者。Essentials 約 $3/使用者/月;Business 約 $6/使用者/月;企業版為客製報價。500 人團隊僅 MFA 平台就可能 $1,500–$3,000/月——尚未含 SMS。Duo 強在員工/工作力 2FA,較不適合大規模消費者驗證。
Auth0/Okta
常見企業驗證平台。Auth0 免費層約至 25,000 MAU;付費方案約自 $23/月起,隨 MAU 遞增。企業方案可達每月數千美元。Okta 多為按席位計價,類似 Duo。兩者皆含 MFA 與廣泛企業功能——價格也反映這點。
Firebase Authentication
多數功能免費,含電話驗證(SMS OTP)在部分區域有免費額度,之後按量計費。與 Google 生態綁较深;客製彈性較有限。
Authgear
內建 WhatsApp OTP、SMS OTP、TOTP、通行密鑰與 SSO 的驗證平台。目標不只是「管理」OTP,而是降低 OTP 成本。含 SMS pumping 防護、生物辨識登入與跨 App 的 SSO。採用量計價並有寬鬆免費額度。平台費 + 較低的每則成本(WhatsApp 對 SMS) 組合下,總成本常低於 Auth0/Okta 另加獨立 SMS 閘道。個人化估算見 SMS 成本優化方案。
成本曲線:為何 2FA 會隨時間變便宜(若規劃得當)
多數 2FA 成本討論忽略一點:隨使用者成熟,你的成本結構應改善。
使用者首次驗證(註冊)時,幾乎一定要發 OTP 驗證電話——別無他法。但回訪使用者若已設定通行密鑰或生物辨識登入,不必每次工作階段都再發 OTP。
成熟的驗證組合大致如下:
- 新使用者註冊: WhatsApp OTP(或 SMS 後援)驗證電話——一次性成本
- 註冊後首次登入: 提示設定通行密鑰或生物辨識登入
- 回訪登入(第 2 個月起): 通行密鑰或生物辨識——零 OTP 成本
- 帳戶復原/新裝置: WhatsApp OTP 作為後援——偶發成本
如此一來,OTP 量成長速度遠低於使用者基數。100 萬 MAU 的企業每月可能僅發 5 萬–10 萬則 OTP(涵蓋新註冊、新裝置與復原),而非每月 100 萬則「每次登入」——訊息量與成本可降 90% 以上。
2FA 預算該抓多少?
依每月 OTP 量與市場的粗略框架:
| 階段 | 每月 OTP | 建議作法 | 粗估月費 |
|---|---|---|---|
| 早期/MVP | <1 萬 | SMS OTP(任一閘道) | 約 $50–$500,視市場而定 |
| 成長期 | 1 萬–10 萬 | WhatsApp + SMS 後援 | 約 $150–$1,200(對照僅 SMS 約 $1K–$9K) |
| 規模化 | 10 萬–100 萬 | WhatsApp + SMS 後援 + 回訪使用者通行密鑰 | 約 $1K–$12K(對照僅 SMS 約 $9K–$88K) |
| 企業 | 100 萬+ | 通行密鑰為主 + 僅新使用者 WhatsApp OTP | 平台費 + 極低 OTP 成本 |
重點整理
- 大規模下 SMS OTP 最貴——每次登入成本都疊加
- WhatsApp OTP 在幾乎所有市場可比 SMS 便宜約 50–99%
- TOTP 與 通行密鑰 邊際成本近乎零,但實作與維護工較高
- 長期最聰明組合:新使用者用 WhatsApp OTP + 回訪用通行密鑰——成本曲線趨近零
- 驗證平台(Auth0、Authgear、Firebase)會增加月費,但降低工程負擔——須兩邊一併評估
若想依你的實際用量與市場組合試算,可使用 Authgear SMS 成本試算。