SMS-верификация: что это, плюсы, минусы и как работает

SMS-верификация: что это, плюсы, минусы и как работает. Фото: из архива компании
Но без паники. Именно поэтому существует верификация с помощью SMS. Вы мгновенно защищаете учётные записи с помощью таких проверочных сообщений.
Пароли относительно легко украсть, а телефоны — нет. Это не значит, что никто никогда не теряет свой телефон. Каждый год люди теряют около 70 млн смартфонов, и только 7% из них находят их вновь. В любом случае эта цифра меньше 2 млрд.
Если включить SMS-верификацию, хакеру потребуется ваше имя пользователя, пароль и доступ к телефону (и ему может даже понадобится пароль для доступа к телефону), чтобы взломать вашу учётную запись.
Это хороший способ защиты данных. Но что внутри, как это работает и как вы можете предложить такую верификацию клиентам?
Что такое SMS-верификация
Такие проверочные SMS позволяют веб-сайтам, приложениям, банкам и социальным сетям дважды проверять личность пользователя.
После ввода имени и пароля компании отправляют на ваш смартфон SMS с проверочным кодом. Этот код идентифицирует вас и помогает завершить вход в систему.
Есть и другие названия этого процесса. Например, аутентификация по SMS, двухфакторная аутентификация по SMS (2FA) или одноразовый пароль по SMS (OTP).
Как работает SMS-верификация
Проверка не такая уж сложная. Несколько быстрых шагов:
- Клиент указывает номер телефона во время процесса регистрации.
- Вводит своё имя пользователя и пароль на сайте или в приложении, чтобы получить одноразовый проверочный код.
- Вводит этот код в приложение или на сайте, чтобы завершить вход в систему.
Плюсы SMS-аутентификации
SMS-аутентификация может быть не совсем безопасной, но у неё есть преимущества:
- Безопасность: хоть метод не столь надёжный, чем одноразовые временные пароли (TOTP), она всё же безопаснее, чем просто пароль.
- Простота: люди уже давно используют SMS-аутентификацию и привыкли вводить эти короткие коды на своих устройствах. Это легко.
- Доступность: SMS 2FA практически ничего не стоит. У большинства потребителей уже есть мобильное устройство, для этого не нужны дополнительное оборудование или ПО.
Минусы SMS-аутентификации
При этих плюсах у SMS-аутентификации есть и несколько недостатков:
- Уязвимости: подмена SIM-карты (мошенничество) и взлом могут скомпрометировать учётную запись (но и здесь можно найти решения).
- Потеря устройства. Люди постоянно теряют свои устройства, что может привести к блокировке аккаунтов или получению доступа к ним третьими лицами.
- Синхронизация между устройствами. Немало пользователей получают сообщения на нескольких устройствах (например, на ноутбуке, ПК, смартфоне или часах). Это облегчает перехват проверочного SMS-кода.
Как выбрать сервис для верификации пользователей
Вот несколько критериев:
- Быстрая и надёжная доставка. Коды доступа критично получить клиенту за короткий промежуток времени, чтобы не сидеть около экрана по пять минут и ввести код до истечения срока его действия. Если отправляете клиентам тысячи SMS-сообщений 2FA, вам точно нужна служба верификации, которая может масштабироваться без ущерба для скорости.
- Безопасность. Такие SMS-сообщения должны быть безопасными. Иначе злоумышленники могут перехватить незащищенные сообщения и использовать код для получения доступа к учётным записям. Проверяйте сервис перед внедрением в компанию.
- Поддержка. Когда что-то пойдёт не так, вам нужен поставщик услуг, который может немедленно помочь.
- Альтернативные каналы. Пользователи могут не захотеть использовать свой телефон для проверки. Это нормально. Используйте провайдера с другими вариантами 2FA, такими как email, push-уведомление или TOTP.
Как сделать свою двухфакторную аутентификацию по SMS
Попробуйте CPaaS-платформу, чтобы проверять своих пользователей с помощью SMS, голоса, email, push-уведомлений и TOTP через единый интерфейс API. Одна из таких платформ — МТС Exolve.
Вы можете гибко настроить шаблоны подобных сообщений, отправлять сообщения по всей России, интегрировать API в процесс регистрации, чтобы собирать (и подтверждать) номера телефонов в процессе регистрации. Это упростит защиту персональных данных с самого начала.
Попробуйте изучить документацию платформы и уже готовые примеры кода, чтобы протестировать работу API. Некоторые сложные вопросы при настройке верификации и аутентификации мы уже разобрали в прошлой статье.
Упомянутый сервис
