OTP عبر SMS أم تطبيقات المصادقة — كيف تختار طريقة المصادقة متعددة العوامل المناسبة

لماذا يتحول اختيار طريقة MFA إلى ألم في الدعم

معظم الناس يلاحظون MFA فقط عندما يفشل. يصل رمز متأخرًا، لا يوجد تغطية للهاتف، أو يُحذف التطبيق أثناء ترقية الجهاز. يتوقف المستخدم عند شاشة تسجيل الدخول، وما كان يشعر به كأمان إضافي يتحول إلى "لا أستطيع أداء عملي".

لهذا السبب فإن المقارنة بين OTP عبر SMS وتطبيقات المصادقة ليست مجرد حجة أمنية. إنها قرار منتجي يغيّر طوابير الدعم، ومخاطر فقدان العملاء، وعدد المرات التي ينتهي فيها فريقك بالتحقق اليدوي من الهوية.

عندما يفشل MFA، biasanya المستخدمون يقومون بأحد ثلاثة أشياء: المحاولة عدة مرات، التخلي عن العملية، أو الاتصال بالدعم بخوف لأنهم يظنون أن حسابهم تم اختراقه. حتى لو كان السبب بسيطًا، النبرة العاطفية غالبًا ما تكون مستعجلة، ما يجعل التذاكر أبطأ وأكثر تكلفة.

لتوقّع عبء الدعم قبل الإطلاق، ركّز على أربعة مجالات: الموثوقية في العالم الحقيقي (التراسل وتغييرات الأجهزة)، مخاطر التصيّد والسيطرة، احتكاك المستخدم (الإعداد وكل تسجيل دخول)، وأنواع التذاكر التي سترىها فعليًا.

رموز SMS شائعة في التطبيقات الاستهلاكية لأنها مألوفة وتتطلب إعدادًا ضئيلًا. تطبيقات المصادقة شائعة في بيئات العمل وأدوات الإدارة لأنها تزيل اعتماد الناقل وتقلل بعض مخاطر شركات الاتصالات.

توصيل SMS OTP: ما الذي ينكسر في الواقع

يبدو SMS بسيطًا، لكن "تم الإرسال" ليس هو نفسه "تم الاستلام وصالح للاستخدام". هنا يفاجأ الفرق بحجم الدعم.

أحيانًا يكون SMS فوريًا: نفس البلد، إشارة قوية، وناقل لا يقيّد حركة التحقق. وأحيانًا يتأخر. الناقلون يؤجلون الرسائل خلال ذروات الاستخدام، يطبقون مرشحات للرسائل المزعجة، أو يقيّدون الإرسالات المتكررة. النتيجة رمز يصل بعد انتهاء صلاحيته، أو وصول عدة رموز دفعة واحدة فيحاول المستخدم الرمز القديم.

الاستخدام الدولي يضيف تعقيدات. بعض الدول لديها تغطية محدودة لمسارات معينة. بعض الناقلين يحظرون رسائل التحقق افتراضيًا. التجوال قد يعيد توجيه المرور بطرق تضيف دقائق. إذا كان مستخدموك يسافرون، سترى تذاكر "يعمل بالمنزل ويفشل بالخارج".

أرقام الهواتف تتغير أكثر مما تفترض الفرق. يغيّر المستخدمون بطاقة SIM، يفقدون الوصول، أو يدخلون رقمًا خاطئًا مرة ولا يلاحظون. الأرقام المعاد تدويرها أسوأ: يُعاد تخصيص رقم مُلغى وقد يصل رمز مستقبلي إلى شخص آخر.

تتفاقم الإحباطات في تدفقات إعادة الإرسال. إذا سمحت للمستخدم بالنقر "إعادة الإرسال" دون قيود واضحة وردود فعل مفهومة، ستنشئ حلقات إعادة إرسال: إرسالات عديدة، وصول متأخر، وارتباك حول أي رمز صحيح.

ما يستحق المراقبة (وعرضه في أدوات الإدارة) بسيط: محاولات الإرسال لكل تسجيل دخول، تأكيدات التسليم عندما يبلغك المزود عنها، الزمن حتى الوصول (وقت الإرسال مقابل وقت الإدخال)، أسباب خطأ المزود (محظور، رقم غير صالح، مقيَّد)، ومحفزات الإعادة/القفل.

مثال: عميل في سنغافورة يحاول تسجيل الدخول أثناء التجوال في ألمانيا. يضغط "إعادة الإرسال" مرتين، تصل ثلاث رسائل دفعة واحدة، ويدخل المستخدم الرمز الأول. إذا سجّلت زمن الوصول وعدد الإعادات، تصبح التذكرة تشخيصًا سريعًا بدلًا من مراوغات طويلة.

موثوقية تطبيقات المصادقة: أين يتعثر المستخدمون

تطبيقات المصادقة عادةً أكثر اتساقًا من SMS لأنها تولّد رموزًا زمنية على الجهاز، حتى دون اتصال. لا تأخيرات للناقل، لا حظر للرسائل، ولا مفاجآت التجوال.

الفرضية أن الإعداد بسيط: مسح رمز QR مرة واحدة، ثم كتابة رمز من 6 أرقام عند تسجيل الدخول. في الواقع، يتعثر الناس في الدقيقة الأولى، خاصة عند الانتقال بين الحاسوب والهاتف ولا يعرفون ماذا يبحثون عنه.

معظم المشاكل ليست في التطبيق نفسه، بل في الهاتف وتوقعات المستخدم:

• وقت الهاتف خاطئ، لذا الرموز لا تتطابق (إعداد الوقت يدويًا سبب شائع).
• تطبيق المصادقة حُذف أثناء تنظيف الجهاز، فيشعر المستخدم بأن الحساب "مقفل".
• الهاتف ضائع أو مَمسوح ولا يوجد طريقة احتياطية.
• ترقّى المستخدم الهاتف وظنّت أن الرموز ستنتقل تلقائيًا.
• مستخدم سجل على هاتف العمل ولم يعد يستطيع الوصول بعد تغيير وظيفته.

قابلية الاستخدام تهم أكثر مما تتوقع الفرق. التبديل بين التطبيقات أثناء تسجيل الدخول، نسخ الرموز، والسباق مع العد التنازلي قد يكون مجهدًا. إشعارات واضحة تساعد: قل بالضبط أين تجد الرمز، وما الذي تفعله إذا فشل، وادعم الملء التلقائي حيثما توفره المنصة.

توقعات الأجهزة المتعددة وما الذي يجب تتبعه

المستخدمون غالبًا يطلبون أجهزة متعددة (هاتف + جهاز لوحي، شخصي + عمل). إذا لم تسمح بذلك، أخبرهم أثناء التسجيل، لا بعد أن يُحرموا من الدخول.

بعض الإشارات التي تكشِف الاحتكاك مبكرًا: معدل إكمال التسجيل (من يبدأ ولا يكمل)، فشل الرموز المتكرر (غالبًا تزامن الوقت)، مسارات الاسترداد المستخدمة (هاتف مفقود، جهاز جديد، تطبيق محذوف)، الانسحاب بعد موجه MFA، وتسميات الدعم حسب السبب.

مقاومة التصيّد ومخاطر الاستيلاء على الحساب

هنا يظهر الفارق الحقيقي.

مع SMS OTP، هجوم شائع هو إعادة الإرسال في الوقت الحقيقي. يدخل المستخدم إلى صفحة تسجيل دخول مزيفة، يكتب كلمة المرور، ثم يستلم رمز SMS. يستخدم المهاجم نفس الرمز على الموقع الحقيقي بينما المستخدم ما يزال على الصفحة المزيفة. الرمز صحيح، لذا ينجح تسجيل الدخول.

يحمل SMS أيضًا مخاطر اتصالاتية. هجمات تبديل الشريحة (SIM swap) ونقل الرقم تسمح لشخص بالحصول على رقم هاتف والتحكّم في رسائل OTP دون علم المستخدم حتى فوات الأوان. للحسابات ذات القيمة العالية، هذا مدمر: يستطيع المهاجم إعادة تعيين كلمات المرور والمحاولة حتى يدخل.

تطبيقات المصادقة أفضل ضد تبديل الشريحة لأنه لا يوجد رقم هاتف للاستيلاء عليه. لكن الرموز يمكن أن تُصاد بنفس نمط إعادة الإرسال في الوقت الحقيقي إذا قبل تسجيل الدخول أي رمز صالح دون فحص السياق.

إذا أردت حماية أقوى من الرموز المكتوبة، فالموافقات الدفعية قد تساعد، خاصة مع مطابقة الأرقام أو تفاصيل واضحة مثل اسم التطبيق والمدينة. لا يزال بالإمكان إساءة استخدام الدفع عبر الموافقة بالتعب، لكنّه يرفع مستوى الصعوبة مقارنةً بكتابة رمز من 6 أرقام.

طرق عملية لتقليل خطر الاستيلاء بأي طريقة:

• استخدم قواعد رفع مستوى للإجراءات الحساسة (تغيير البريد، تفاصيل الدفع، جهاز جديد).
• أعد التحقق من MFA عند تغير عنوان IP أو الجهاز، ولا تجعل الجلسات عالية المخاطر تدوم للأبد.
• حافظ على شاشات تسجيل دخول متسقة مع مؤشرات منتج واضحة حتى يلاحظ المستخدمون الصفحات المزيفة أسرع.
• حدّ من المحاولات المشبوهة وواجه أنماط غير عادية (سفر مستحيل، فشلات سريعة).
• صعّب عملية الاسترداد كي لا تُستغل بسهولة، خصوصًا للمستخدمين ذوي القيمة العالية.

احتكاك المستخدم: أين يتخلى الناس عن العملية

نادراً ما يتخلى الناس لأنهم "يكرهون الأمان". يتخلّون لأن تسجيل الدخول بطيء، مربك، أو غير متوقع.

أكبر فرق في الاحتكاك هو التوقيت. SMS يجعل المستخدمين ينتظرون. تطبيقات المصادقة تطلب من المستخدمين إعدادًا ما.

مع SMS، يكون تدفق المرة الأولى مألوفًا: أدخل رقم الهاتف، استلم رمزًا، اكتبَه. يحتد الاحتكاك عندما لا يصل الرسالة بسرعة، تصل إلى رقم قديم، أو تصل على جهاز لا يحمله المستخدم.

مع تطبيق المصادقة، تدفق المرة الأولى يتضمن خطوات أكثر: تثبيت تطبيق، مسح رمز QR، حفظ خيار احتياطي، ثم كتابة رمز. أثناء التسجيل أو إتمام عملية شراء، قد يبدو ذلك كثيرًا.

أكثر لحظات الانسحاب شيوعًا متوقعة: الانتظار 30–90 ثانية لرسالة SMS ثم وصول عدة رموز؛ أخطاء الكتابة أثناء التبديل بين التطبيقات؛ تبديل الأجهزة (هاتف جديد، هاتف مُمسوح، هاتف العمل الذي لا يمكن تثبيت التطبيقات عليه)؛ مشاكل السفر (التجوال، شريحة جديدة، رقم لا يستقبل رسائل في الخارج)؛ وحالات لا يملك فيها المستخدم السيطرة على جهاز العامل الثاني.

خيار "تذكر هذا الجهاز" يقلّ الاحتكاك، لكن من السهل المبالغة. إذا لم تطلب المصادقة مجددًا أبدًا، يرتفع خطر الاستيلاء عند سرقة جهاز. إذا طلبتها كثيرًا، يتخلّى المستخدمون أو يختارون خيارات استرداد أضعف. الوسط العملي هو إعادة المطالبة على الأجهزة الجديدة، بعد الإجراءات الحساسة، أو بعد إطار زمني معقول.

راقب القُمع. إذا بدا الخطوة 1 (إدخال الهاتف) جيدة لكن الخطوة 2 (إدخال الرمز) بها هبوط حاد، اشتبه في تأخيرات SMS أو خلْط الرموز. إذا حدث الانسحاب بعد شاشة QR مباشرة، فالإعداد ثقيل جدًا لذلك اللحظة.

تذاكر الدعم المتوقعة (وكيف تصفيتها)

معظم أعمال دعم MFA ليست عن "الأمن". إنها عن أشخاص عالقين في أسوأ لحظة: تسجيل دخول أثناء تبديل الشفتات، إعادة تعيين كلمة مرور قبل عرض تقديمي، أو مسؤول يحاول إضافة موظف جديد.

إذا كنت تقارن بين SMS OTP وتطبيقات المصادقة، خطط صف الدعم حول أوضاع الفشل، لا حول السيناريو المثالي.

موضوعات التذاكر الشائعة

سترى أنماطًا متكررة.

لـ SMS: "الرمز لم يصل أبدًا"، "وصل متأخرًا"، "وصل مرتين"، رقم خاطئ، أرقام مبدلة، حظر من الناقل، مشاكل التجوال، والرموز القصيرة المفلترة.

لتطبيقات المصادقة: هاتف مفقود، جهاز جديد، إعادة تثبيت التطبيق، "الرموز لا تتطابق"، ارتباك حول أي تطبيق/حساب يحمل الرمز.

سيفتح المسؤولون أيضًا تذاكر تتعلق بالسياسات والتدقيق: "المستخدم مقفل، أعد تفعيل MFA"، و"من أعاد تفعيل MFA لهذا الحساب؟". هذه تحتاج عملية واضحة ومسار تدقيق.

ماذا تجمع قبل التشخيص

نموذج تصفية جيد يوفر وقتًا في كل تذكرة. اطلب معرّف الحساب وطريقة MFA، الطابع الزمني والمنطقة الزمنية للمحاولة الأخيرة (وما إذا استلم أي رمز)، آخر تسجيل دخول ناجح والزمن والطريقة، تفاصيل الجهاز (الطراز وإصدار النظام)، وما إذا تغير الجهاز مؤخرًا. بالنسبة لـ SMS بالتحديد، التقط بلد الهاتف والناقل إن وُرد.

بذلك، يختار الدعم الخطوة التالية بسرعة: إعادة الإرسال (بقيود)، التحقق من رقم الهاتف، الانتظار لحدود المعدل، أو بدء إعادة ضبط MFA آمنة.

ردود الدعم التي تقلل المراجعات المتكررة

حافظ على الردود بسيطة وغير ملقبة. ماكرو بسيط يغطي معظم الحالات:

"يرجى تأكيد الوقت الذي جرّبت فيه (مع منطقتك الزمنية) وما إذا استلمت أي SMS على الإطلاق. إذا غيّرت هاتفك أو أعدت تثبيت تطبيق المصادقة مؤخرًا، أخبرني متى. إذا كنت مقفولًا، نقدر نعيد ضبط MFA بعد التحقق من هويتك."

خطوة بخطوة: اختيار وإطلاق MFA الصحيح

ابدأ بسؤال صريح واحد: ماذا تحمي ومن؟ رسالة إخبارية للمستهلك لها ملف خطر مختلف عن كشوف الرواتب، بيانات الرعاية الصحية، أو لوحة إدارة.

اكتب أيضًا قيود المستخدمين مبكرًا: البلدان التي تخدمها، عدد مرات سفر المستخدمين، ما إذا كانوا يحملون جهازًا ثانويًا، وما إذا سُمح لهم بتثبيت التطبيقات.

خطة إطلاق تتجنب حرائق الدعم:

1. حدد نموذج التهديد والقيود. إن كان التصيّد والاستيلاء مخاوف رئيسية، فضّل طرقًا أصعب للخداع. إن كان كثير من المستخدمين بلا هواتف ذكية أو لا يمكنهم تثبيت تطبيقات، خطط لبدائل.

2. اختر طريقة افتراضية واحدة زائد احتياطي. يجب أن تعمل الافتراضية لمعظم الناس من اليوم الأول. الاحتياطات هي ما ينقذ الدعم عندما تُفقد الهواتف أو تتغير الأرقام أو يسافر المستخدمون.

3. صمّم التسجيل والاسترداد قبل الإطلاق. لا ينبغي أن يعتمد الاسترداد على نفس شيء يمكن أن يفشل (مثلاً SMS فقط). قرّر كيف ستتعامل مع جهاز مفقود، رقم هاتف جديد، و"لم أستلم رمزًا".

4. أطلق تدريجيًا وفسّر السبب بكلمات بسيطة. ابدأ بالأدوار عالية الخطورة (المسؤولون، المالية) أو بنسبة صغيرة من المستخدمين.

5. درّب الدعم وتابع الفشلات. أعطِ الوكلاء شجرة قرار بسيطة وقواعد واضحة لفحوصات الهوية. راقب فشلات التسليم، حالات القفل، زمن التسجيل، وطلبات الاسترداد.

أخطاء شائعة وفخاخ تتجنبها

تفشل معظم عمليات طرح MFA لأسباب بسيطة: السياسة صارمة جدًا، الاسترداد ضعيف، أو واجهة المستخدم تترك المستخدمين في حيرة.

فخ متكرر هو جعل SMS الطريقة الوحيدة للعودة إلى الحساب. الأرقام تتغير، وتُستبدل شرائح SIM، وبعض المستخدمين لا يتلقون نصوصًا أثناء السفر. إن كان SMS هو العامل الثاني وطريقة الاسترداد معًا، فستنشئ حسابات "مقفولة للأبد".

خطأ شائع آخر هو السماح بتغيير رقم الهاتف بالاعتماد فقط على كلمة مرور ورمز SMS مرسل إلى الرقم الجديد. هذا يحوّل كلمة المرور المسروقة إلى استيلاء نظيف. للتغييرات الحساسة (الهاتف، البريد، إعدادات MFA)، أضِف خطوة أقوى: تحقق من العامل الموجود، اطلب إعادة تحقق جلسة حديثة، أو استخدم مراجعة يدوية للحالات عالية الخطورة.

الفخاخ التي تولد معظم ألم الدعم الذي يمكن تجنبه عادةً هي:

• قواعد إعادة الإرسال وتحديد المعدل التي تعاقب المستخدمين الحقيقيين (صارمة جدًا) أو تساعد المهاجمين (رخوة جدًا). هدفك تبريد قصير، نص عدّ تنازلي واضح، وحدود صارمة مع مسار احتياطي آمن.
• لا توجد خيارات استرداد بخلاف العامل الأساسي. رموز احتياطية، جهاز مصدق ثانٍ، أو إعادة ضبط بمساعدة الدعم تمنع النهايات الميتة.
• لا أدوات إدارية لإعادة الضبط، ولا أثر تدقيق. يحتاج الدعم لرؤية متى تم تمكين MFA، ماذا تغيّر، ومن فعل ذلك.
• رسائل خطأ تُلقي باللوم على المستخدم. "رمز غير صالح" بدون سياق يؤدي إلى محاولات متكررة. قل ما الذي يجب المحاولة به بعد ذلك.
• التعامل مع الفشلات المتكررة على أنها "خطأ مستخدم" بدلًا من مشكلة منتج. إن كان مزوّد معين، بلد، أو طراز جهاز مرتبطًا بالفشل، فهذه أنماط قابلة للإصلاح.

قائمة فحص سريعة قبل الالتزام

اختبر تدفق تسجيل الدخول بالطريقة التي سيستخدمها المستخدمون فعلاً: متعبون، مسافرون، يبدّلون الهواتف، أو مغلقون قبل اجتماع بخمس دقائق. أفضل طريقة هي التي يكملها مستخدموك بثقة وفريقك يدعمها دون حلول مخاطرة.

اطرح هذه الأسئلة:

• هل يستطيع المستخدم إكمال MFA بدون خدمة خلوية أو أثناء السفر (وضع الطيران، التجوال المحظور، تبديل الشريحة، تغيير الرقم)؟
• هل لديك مسار استرداد آمن وبسيط (رموز احتياطية، أجهزة موثوقة، استرداد زمني محدود، أو إعادة ضبط موثوقة عبر الدعم)؟
• هل يمكن للدعم التحقق من الهوية بسرعة دون طلب بيانات حساسة (لا كلمات مرور كاملة، لا أرقام بطاقات كاملة)، وهل هناك دليل إجراءات موثق لإعادة الضبط؟
• هل تسجل محاولات MFA الفاشلة وتنبه على أنماط الإساءة (محاولات كثيرة، حسابات كثيرة من IP واحد، فشلات متكررة بعد إعادة تعيين كلمة المرور)؟
• هل النص على الشاشة واضح بشأن مصدر الرمز وماذا تفعل بعد ذلك؟

إذا كان جوابك "ربما" لمسار الاسترداد، توقف. معظم استيلاءات الحساب تحدث أثناء إعادة الضبط، ومعظم المستخدمين الغاضبين يظهرون عندما يكون الاسترداد مربكًا.

اختبار عملي: اطلب من شخص خارج فريقك إعداد MFA، ثم فقد هاتفه وحاول استعادة الدخول باستخدام خطواتك الموثقة فقط. إن تحولت إلى دردشة مع الهندسة، سترى نفس الشيء في التذاكر الحقيقية.

سيناريو مثالي: بوابة عملاء مع مستخدمين عالميين

فريق من 6 أفراد يشغّل بوابة عملاء بها 1,200 مستخدم نشط عبر الولايات المتحدة، الهند، المملكة المتحدة، والبرازيل. كما يمنحون وصولًا لـ 40 متعاقدًا يترددون ويغادرون. إعادة تعيين كلمات المرور تخلق ضجيجًا، لذا أضافوا MFA على أمل تقليل الاستيلاءات دون إغراق الدعم.

بدأوا بـ SMS OTP كإعداد افتراضي. في الأسبوع الأول، بدا كل شيء على ما يرام حتى ضرب تأخير لدى أحد الناقلين منطقة خلال ساعات الذروة. يطلب المستخدمون رمزًا، ينتظرون، يطلبون مرة أخرى، ثم تصل ثلاث رسائل دفعة واحدة. بعضهم يجرب أقدم رمز، يفشل، ويقفل نفسه. يتلقى الدعم موجة من التذاكر: "لم يصل الرمز"، "الرمز دائمًا خطأ"، "أسافر ورقمي تغير". حتى بدون انقطاع، تظهر مشاكل التوصيل لأرقام VoIP، المستخدمين في التجوال، ومرشحات الرسائل الصارمة.

أضافوا تطبيقات المصادقة كخيار ولاحظوا نمطًا مختلفًا. معظم تسجيلات الدخول سلسة، لكن الفشلات كانت أكثر حدة: مستخدم يرقّي هاتفه والتطبيق لا ينقل الرموز، أحدهم يحذف التطبيق، أو متعاقد يفوت خطوة "مسح QR" ويعلق. تبدو التذاكر هكذا: "هاتف جديد، لا أستطيع الدخول"، "الرموز لا تتطابق"، و"فقدت جهازي".

إعداد يقلل المفاجآت غالبًا يشبه:

• اجعل تطبيق المصادقة افتراضيًا للمستخدمين الجدد، وSMS كنسخة احتياطية (ليس الطريقة الوحيدة).
• قدم رموز استرداد ومسار فقدان جهاز واضحًا يطلق فحوصات يدوية.
• اطلب رفع مستوى للإجراءات الحساسة مثل تغيير تفاصيل الدفع أو إضافة مسؤول جديد.
• للمتعاقدين، استخدم زمن جلسة أقصر وأعد التحقق على الأجهزة الجديدة.

الخطوات التالية: تنفيذ MFA دون إبطاء المنتج

اختر طريقة افتراضية تناسب معظم مستخدميك، ثم أضف احتياطيًا.

لجمهور استهلاكي، غالبًا ما يكون SMS الأسهل افتراضيًا، مع إتاحة تطبيق المصادقة للمسافرين، مستخدمي VoIP، أو من يريدون أمانًا أعلى. لبيئة عمل أو منتج ثقيل الإدارة، غالبًا ما يكون تطبيق المصادقة الافضل، مع استخدام SMS كاسترداد.

قبل الإطلاق، اكتب دليل دعم بسيط وقرّر ما الذي ستسجّله. لا تحتاج لجبل من البيانات. تحتاج ما يكفي للإجابة: هل أرسلنا التحدي، هل استلمه المستخدم، وماذا حدث أثناء التحقق.

السجلات التي تدفع عادةً عوائد: طريقة MFA والطابع الزمني، استجابة مزود التوصيل (مقبول، في الطابور، فشل)، عدد محاولات التحقق مع سبب الخطأ الأخير، وآخر طريقة MFA ناجحة وتاريخها.

سّرّع الدعم بشاشة صغيرة واحدة: حالة MFA للمستخدم، الفشلات الأخيرة، وسير إعادة ضبط مُتحكّم مع أثر تدقيق.

إذا كنت تبني بوابة دون برمجة ثقيلة، AppMaster (appmaster.io) يمكن أن يساعدك في تجميع الخلفية، تطبيق الويب، والتطبيق المحمول حول هذه التدفقات، بما في ذلك عروض الإدارة وسجل الأحداث الذي يقلل التخمين عند ورود التذاكر.

أطلق في نسخة تجريبية أولًا، راقب مقاييس الفشل لأسبوع، ثم وسّع النطاق. تتبع معدل الإكمال، معدل الإعادة، الزمن لإتمام MFA، وحجم التذاكر لكل 1,000 تسجيل دخول. حسّن التدفق، حدّث دليل الدعم، ثم وسّع.