Comments 13
Я верно понимаю что для владельце в сервисов единственный совет что вы даете это слать СМС-ки по нескольку раз?
...проводить периодические проверки, чтобы убедиться, что номер мобильного телефона, используемый для верификации аккаунта, действительно является номером мобильного телефона, которым ежедневно пользуется владелец аккаунта...
А других методов нет? А то если раз в несколько дней просить пройти проверку пользователи взвоют от неудобств.
Чем это плохо или неудобно? Какие у такого способа минусы?
Уже это ставит крест.
сейчас почти у всех пакеты же, да и одна СМС явно никого не разорит. Суть в том, что проблему, описанную в статье, это не решает
Как раз в последнее время пакеты смс операторы отменяют, и смс (неожиданно, да?) стали платными. Даже если безлимит на звонки, и интернета куча есть, а отправить сраную смску - оп, минус 2 рубля. А уж если на короткий номер - у населения давно уже в головах иммунитет на такие действия. ("скачать бесплатно без смс" не просто так появилось).
Да, и проблему не решит.
Например, поддельные смски не могут помешать?
Очевидно же. Если сервис хочет убедиться в том, что данный номер принадлежит или контролируется пользователем, регистрирующимся или авторизовываясь на сайте. - Именно, сервер этого сервиса и должен высылать СМС пользователю. Если этот процесс попытаться реализовать в обратную сторону, то возникают потенциальные проблемы: первая проблема связана с тем, что обратный номер для ответа в СМС легко заменить (то есть нет никаких гарантий, что номер ответа действительно в руках этого абонента, и соответственно, такая защита пользователя бесполезна). Второй проблемный момент - если человек регистрируется, например с компьютера, а СМС должен набрать из смартфона или даже кнопочного телефона, то при наборе длинных телефонных номеров и активационных кодов можно ошибиться и отправить не то или не туда. В обратном же направлении пользователю нужно прочитать СМС на телефоне и вписать в поле всего лишь 4-6 цифр, что сводит количество неудачных наборов к минимуму.
Часто получается, что пользователи идут на сайты, где с телефонов смски выкладываются, и читают, что там им прислали для активации.
Выходит, что по-хорошему надо слать пользователю код, прося его ответить смской с другим кодом? Хотя если кто-то может подставлять номер, то это не сработает.
Впрочем, и перехват смсок вроде тоже возможен. Тогда привязка к номеру телефона не защитит пользователя - ведь злодей может запросить восстановление учетной записи через смску.
Какой в итоге есть способ, чтобы надежно работал? И есть ли?
Все крутые (Телеграм, например) перешли на фокус, что вам звонит робот и либо диктует код, либо вы сбрасываете, а последние 4 цифры это код.
Честно говоря, был уверен, что сервисы получают у операторов DEF-нумерацию, приземляют ее по SIP или ОКС7, а SMS - по SMPP.
SMS PVA: лёгкий способ обойти идентификацию по номеру телефона