Комментарии 20
Какие способы двухфакторной аутентификации мы знаем и чем они отличаются между собой:
Где в этом списке TOTP, аппаратные ключи и так далее?
Не работают для случая "вот новый клиент как нам его пустить".
Не выполняют требования законов про идентификацию.
Не дают возможности связаться с клиентом даже если это в интересах клиента.
Если клиент пролюбил ключи — приплыли.
И так далее.
Во-первых, даже если какие-то способы 2FA не подходят под сценарий использования, это не значит, что мы их "не знаем", это значит, что они не подходят.
Во-вторых, а почему вы предъявляете к 2FA такие требования, откуда они взялись? Замечу кстати, что те же ГосУслуги прекрасно используют TOTP в качестве второго фактора.
А в данном случае разве не очевидно?
Первый же абзац поста
Для бизнеса важно знать своего клиента. Помимо его демографических и социальных характеристик, важно иметь точные данные пользователей. Это позволит донести нужную информацию каждому покупателю. Важным этапом в коммуникации с клиентом является сбор его данных. Первый и самый простой способ — это верификация пользователя по номеру телефона. Однако это не единственный вариант. Сегодня поговорим о том, какие способы проверки номера телефона абонентов существуют и чем они отличаются друг от друга.
Очень большие надежды что антифрод у оператора связи работает, если в ней сбой то вся защита просто выключается.
Заставить человека позвонить, это падение конверсии в разы.
Если скам сайт будет так направлять людей на платные номера под видом вашей авторизации, то это минус репутации сервиса и падение конверсий у сервисов, которые использовали вашу систему двухфакторки.
У Вас всё плохое против всего хорошего)))
Антифрод работает на сетях всех операторов и если он упадёт, то вызовы просто не будут проходить везде вообще. И это равносильно, что весть Интернет в стране упадёт. И кроме Антифрода есть другие инструменты защиты, например штраф оператору за пропуск вызова с подменного номера.
Звонок осуществляется не с помощью набора номера, а с помощью клика по кнопке или с помощью QR кода. Нет необходимости переходить в телефон и совершать звонок руками.
И как правило конверсия плохая по той причине, что с пользователем проблема, он по какой-то причине не хочет давать свой номер. Целевой откроет дверь и зайдёт далее. А СМС и звонки очень активно используют спамеры, чтобы номер забить, вот тут и в правду с конверсией будут проблемы))
Платные номера для входящей связи ещё существуют? Да и в статье о другом.
Интересно, по какой причине пользователь может не хотеть давать свой номер? Наверное из-за того, что телефонный спам везде, базы постоянно сливаются агрессивным телемаркетологам и т.д. И, естественно, у людей не очень положительная реакция на просьбу оставить номер.
Согласен, что такое есть. Но и бизнес понять можно, за контакт они дают бонусы (скидку на первую покупку, баллы на счёт, лояльность именно к этому клиенту который потратил много денег и т.д.) А самая хорошая медка клиента, это его уникальный номер.
Фигня. Сегодня телефонный номер у него, послезавтра симка в руках вора, к примеру. Для веба нужно что-то другое, уникальное и только для веба. Как паспорт.
А самая хорошая медка клиента, это его уникальный номер.
"Уникальный" номер - это смешно, да. Вы бы знали, как я задолбался менять этот "уникальный" номер там, где к нему было что-то важное привязано.
Особенно бывает весело если у ресурса интересная механика что если ты по ошибке начинаешь под новым номером до смены (и получаешь смс) то потом уже не сменишь кроме как через поддержку потому что новый номер уже в базе. Если не менять — на новый номер через некоторое время прилетит звонок от человека с предложением рассказать об услугах и рассказать что нужно сделать чтобы завершить регистрацию (без как минимум видеосвязи ее все равно не завершить)
Звонок осуществляется не с помощью набора номера, а с помощью клика по кнопке или с помощью QR кода. Нет необходимости переходить в телефон и совершать звонок руками.
А как быть если клиент заходит на сайт с компьютера? Ну или с планшета без сим-карты?
Еще и QR-код сканировать с телефона?
Ну и например у меня вполне возможен сценарий что принять звонок/смс на номер я могу но вот позвонить с этого номера — это не в один клик будет совсем (нужно выбрать правильную сим-карту, если решено было указать виртуальный номер — то выбрать чтобы исходящий пошел с правильного виртуального номера).
Давайте разбирать приведённые примеры))
Если пользователь заходит на сайт с компьютера или с планшета без сим-карты, то система это учитывает и показывает QR код. Если с телефона, то показывает кликабельную кнопку.
Требование владельца сайта при авторизации в ЛК пройти процедуру верификации по номеру телефона. Следовательно телефон в любом случае нужно будет взять в руки)) На данном этапе возникает два возможных сценария:
1. ждать, что-то (смс, PUSH, звонок с кодом).
2. сделать действие самому.
В первом и во втором случае придётся указывать свой номер телефона, а принимающая сторона должна его подтвердить.
Теперь смотрим со стороны бизнеса:
Отправлять СМС, PUSH, звонок... это можно, но каждое такое действие стоит денег. Если в месяц посетителей будет около 100 000, то 100 000 * 2.5 руб. = 250 000 руб. и к этому добавляем тех, кто запросил, но целевого действия не сделал, это будет от 10% - 30% = 50 000 руб. Получается, что такое удовольствие будет обходиться в 300 к.
Если использовать CallPasswordID, то 100 000 *0,50 руб. = 50 000 руб., а если запросил, но целевого действия не сделал, то плата за это не берётся 0 руб. Итого 50 000 руб. в месяц.
К вопросу, если пользователь не может сделать исходящий вызов, нет денег на счету. А вам нужен такой пользователь, который не может оплатить базовую потребность в виде оплаты сотового телефона? При условии, что у всех операторов есть возможность заходить в минус, делать отложенные платежи и т.д.
По поводу виртуальных номеров. Использование CallPasswordID это борьба с виртуальные номерами, когда пользователь пытается авторизоваться по номеру телефона, который в действительности не является его контактным. Виртуальных номеров подключить можно много, набрать бонусов от бизнеса можно много, а по факту за данными номерами скрывается один пользователь.
Но как и во всём бизнесе не должно быть цифры 1. Не нужно использовать один способ подтверждения номера. Не авторизовался по CallPassword ID, предложите вторым шагом получить СМС. Потом посмотрите, сколько пользователей не подтвердили свои номера на первом шаге, а сколько запросили на втором и при этом так и не зашли.
Если пользователь заходит на сайт с компьютера или с планшета без сим-карты, то система это учитывает и показывает QR код. Если с телефона, то показывает кликабельную кнопку.
Возможность поменять одно на другое есть?
Пример с виртуальными — у меня вот как раз виртуальный это основной контактный для банков. По той причине, что на основной — слишком уж много звонит сотрудников служб безопасности банков.
Случаи вида
- заход браузером с Windows Subsystem for Android (сайт видимо опознает такой заход как заход с Google Pixel 5 но вот звонить видимо не получится)
- подключенный телефон с Samsung DeX и внешним монитором(если распознование телефон или нет — по размеру браузера или там его десктпности — может опознается как не-телефон притом что все известные мне устройства с DeX'ом — телефонные модули как минимум имеют)
- два телефона у пользователя и по тому на который зашел — нет желания звонить совсем (или нет возможности — потому что там тариф вроде "Переходи на Сбер" (где исходящие звонки вне своего региона вообще не работают))
Или вы номер подставляете в регионе клиента?
Ок, сколько вы мне заплатите, если я внедрю у себя на сайте вашу систему авторизации CallPassword?
Тут больше вопрос зачем она Вам, данная механика? Если сайт не собирает контакты пользователей, то внедрение не имеет смысла. Если собирает, то данный бизнес платит денежку поставщику данной услуги. CallPassword ID со своей механикой с любой стороны будет более экономичным вариантом. Вы сами себе заплатите с разницы по дальнейшим платежам.
Метод верификации, описанный в статье, впечатляет. Как программист, я считаю, что звонок от клиента является единственным рабочим способом подтверждения номера. Никаких спам звонков. Тем более проходят целевые клиенты. Одобрямс.
А сколько стоит? Цен на сайте нету, как кстати и на CallPassword.
Тут уже не позвонишь другу и не спросишь SMS, которую ему прислали.
Можно попросить друга позвонить на нужный номер, так что здесь то же самое.
Как CallPassword ID меняет парадигму авторизации и экономит сотни тысяч