AnastasiaIvanova8 Aug 16 2023 at 15:16

Как сделать двухфакторную аутентификацию через SMS в своём приложении

9 min

7.9K

МТС corporate blogInformation Security*Programming*Cloud services*

+13

Comments 11

hogstaberg Aug 16 2023 at 15:29

SMS - самый дырявый метод двухфакторки. Всё что угодно лучше, чем SMS.

Heggi Aug 16 2023 at 16:35

Если нужно подтвердить владение определенным номером телефона (или доступ к нему) то сойдет. Помня о рисках, конечно же.

Ну и дорого. Стоимость смс сейчас около 2.5-3 рублей за штуку.

olegtsss Aug 16 2023 at 18:15

Там цены год назад выросли колоссально. До 16 рублей за смс, примерно. Я об этом писал в своей статье "Hotspot-авторизация за копейки и никаких SMS". Пришлось отказаться от смс в пользу звонков. Но теперь новые неприятности от большой тройки. Теперь они не просто блокируют входящие от IP телефонии, а снимают трубку (за твой счет) и разговаривают роботом (причем наглым тоном). Вот думаю, какие цифры отправить в тональном наборе, чтобы провалиться в сервисное меню (вспоминая книгу К. Митника "Искусство обмана").

Кстати, автор не подскажет, случайно?
P.s. код надо вставить кодом, а не картинками, иначе получается не по-настоящему честно.

Heggi Aug 16 2023 at 18:20

Сейчас глянул актуальные цены у агрегатора terasms. От 2.25 до 4.90 (в зависимости от оператора и выбранного тарифа)

olegtsss Aug 16 2023 at 18:41

Ага, за год цены поменялись. Но все равно, в старые времена были 20-30 копеек. 3 рубля дорого. В сутки улетает 100500 смс.

efcadu Aug 17 2023 at 09:11

А если SMS не очень много, то все равно дорого. Кроме поднятия цен, все операторы еще ввели платное имя отправителя с ежемесячной оплатой от 2000 руб. Без этого имени цены вообще космос и нет гарантии доставки SMS.

sunki Aug 17 2023 at 01:05

Да. Как раз с МТС судились за перевыпуск сим по липовой доверенности.

stdenis Aug 20 2023 at 17:32

Не согласен. Хуже звонок с вводом последних цифр звонящего номера. В случае с СМС пользователь может идентифицировать сервис с которого пришло смс (если конечно сервис это укажет в смс). Когда приходит звонок пользователь не знает действительно ли его аутентифицируют в том сервисе. Например зашел я на evilhost, ввожу свой номер, а evilhost в свою очередь, пытается войти под моим номером телефона на goodhost, и это goodhost звонит мне с какого-то номера, я ввожу цифры на evilhost , тот вводит их на goodhost, в результате я залогинился на evilhost, а evilhost залогинился под моим именем на goodhost. Вообщем-то, если админы профаны, то с СМС такая же фигня, если там просто "код активаци ХХХХ". Но этого ещё можно избежать, если отправлять смс с текстом "Код активации на сайте goodhost". Причем эта проблема затрагивает много мобильных приложений, которые запрашивают доступ к уведомлениям, чтобы прочитать СМС. Получив доступы они могут авторизовываться на любых сервисах использующих этот дырявый метод

Batalmv Aug 16 2023 at 18:25

Вопрос, а где защита от перебора в лоб?

Допустим злоумышленику известен "секрет", и теперь на страже стоит ОТП. Лупим кодом 123456 пока не повезет

GusNitrous Sep 4 2023 at 08:04

Почему все такие туториалы на Express... Возьмите Fastify, Metarhia, просто ноду. Express уже устарел ) Я понимаю, что он самый популярный, но всё же.
А если статья для совсем новичков, то без подсветки синтаксиса код может быть сложно воспринят ) ИМХО

keenx Sep 14 2023 at 22:19

Особенно забавно, что в приложении МТС Банка нет второго фактора. Вход только по смс.