SMS-верификация: что это, плюсы, минусы и как работает

SMS-верификация: что это, плюсы, минусы и как работает. Фото: из архива компании

Но без паники. Именно поэтому существует верификация с помощью SMS. Вы мгновенно защищаете учётные записи с помощью таких проверочных сообщений.

Пароли относительно легко украсть, а телефоны — нет. Это не значит, что никто никогда не теряет свой телефон. Каждый год люди теряют около 70 млн смартфонов, и только 7% из них находят их вновь. В любом случае эта цифра меньше 2 млрд.

Если включить SMS-верификацию, хакеру потребуется ваше имя пользователя, пароль и доступ к телефону (и ему может даже понадобится пароль для доступа к телефону), чтобы взломать вашу учётную запись.

Это хороший способ защиты данных. Но что внутри, как это работает и как вы можете предложить такую верификацию клиентам?

Что такое SMS-верификация

Такие проверочные SMS позволяют веб-сайтам, приложениям, банкам и социальным сетям дважды проверять личность пользователя.

После ввода имени и пароля компании отправляют на ваш смартфон SMS с проверочным кодом. Этот код идентифицирует вас и помогает завершить вход в систему.

Есть и другие названия этого процесса. Например, аутентификация по SMS, двухфакторная аутентификация по SMS (2FA) или одноразовый пароль по SMS (OTP).

Как работает SMS-верификация

Проверка не такая уж сложная. Несколько быстрых шагов:

• Клиент указывает номер телефона во время процесса регистрации.
• Вводит своё имя пользователя и пароль на сайте или в приложении, чтобы получить одноразовый проверочный код.
• Вводит этот код в приложение или на сайте, чтобы завершить вход в систему.

Плюсы SMS-аутентификации

SMS-аутентификация может быть не совсем безопасной, но у неё есть преимущества:

• Безопасность: хоть метод не столь надёжный, чем одноразовые временные пароли (TOTP), она всё же безопаснее, чем просто пароль.
• Простота: люди уже давно используют SMS-аутентификацию и привыкли вводить эти короткие коды на своих устройствах. Это легко.
• Доступность: SMS 2FA практически ничего не стоит. У большинства потребителей уже есть мобильное устройство, для этого не нужны дополнительное оборудование или ПО.

Минусы SMS-аутентификации

При этих плюсах у SMS-аутентификации есть и несколько недостатков:

• Уязвимости: подмена SIM-карты (мошенничество) и взлом могут скомпрометировать учётную запись (но и здесь можно найти решения).
• Потеря устройства. Люди постоянно теряют свои устройства, что может привести к блокировке аккаунтов или получению доступа к ним третьими лицами.
• Синхронизация между устройствами. Немало пользователей получают сообщения на нескольких устройствах (например, на ноутбуке, ПК, смартфоне или часах). Это облегчает перехват проверочного SMS-кода.

Как выбрать сервис для верификации пользователей

Вот несколько критериев:

• Быстрая и надёжная доставка. Коды доступа критично получить клиенту за короткий промежуток времени, чтобы не сидеть около экрана по пять минут и ввести код до истечения срока его действия. Если отправляете клиентам тысячи SMS-сообщений 2FA, вам точно нужна служба верификации, которая может масштабироваться без ущерба для скорости.
• Безопасность. Такие SMS-сообщения должны быть безопасными. Иначе злоумышленники могут перехватить незащищенные сообщения и использовать код для получения доступа к учётным записям. Проверяйте сервис перед внедрением в компанию.
• Поддержка. Когда что-то пойдёт не так, вам нужен поставщик услуг, который может немедленно помочь.
• Альтернативные каналы. Пользователи могут не захотеть использовать свой телефон для проверки. Это нормально. Используйте провайдера с другими вариантами 2FA, такими как email, push-уведомление или TOTP.

Как сделать свою двухфакторную аутентификацию по SMS

Попробуйте CPaaS-платформу, чтобы проверять своих пользователей с помощью SMS, голоса, email, push-уведомлений и TOTP через единый интерфейс API. Одна из таких платформ — МТС Exolve.

Вы можете гибко настроить шаблоны подобных сообщений, отправлять сообщения по всей России, интегрировать API в процесс регистрации, чтобы собирать (и подтверждать) номера телефонов в процессе регистрации. Это упростит защиту персональных данных с самого начала.

Попробуйте изучить документацию платформы и уже готовые примеры кода, чтобы протестировать работу API. Некоторые сложные вопросы при настройке верификации и аутентификации мы уже разобрали в прошлой статье.