Perché le app con verifica del telefono inviano all'utente un messaggio, piuttosto che l'utente ne invii uno?

Naviga le tue risposte
25

Molte app consentono all'utente di autenticarsi con il proprio numero di telefono, inserendolo dall'utente e quindi inviando un SMS con un codice da inserire nell'app. Pochissimi (se ne posso trovare ancora attivi), presentano semplicemente l'interfaccia SMS e inviano un SMS con un codice di verifica al server. Posso pensare ad alcuni motivi per questo, ma nessuno sembra davvero escluderlo:

  • L'invio di un SMS potrebbe costare all'utente e senza numeri locali per ogni paese potrebbe costare un importo significativo
  • Un utente potrebbe voler accedere su un dispositivo che non dispone di funzionalità SMS, ma può inviare l'SMS al proprio telefono [iPod / Tablet, ecc.] (questo potrebbe essere mitigato consentendo all'utente di utilizzare entrambi i o in uscita per la verifica in base alle funzionalità del dispositivo)
  • Gli utenti hanno molta familiarità con l'interfaccia di ricezione di altre app di grandi nomi e quindi potrebbero sembrare più sicuri
  • L'invio di un SMS sembra "dubbia" un po 'come le truffe della vecchia scuola che ti chiedono di inviare un messaggio a un numero?
  • Non è compatibile con una versione Web desktop del prodotto

Nessuno di questi sembra una vera ragione per non farlo, ma per qualche motivo i grandi nomi come WhatsApp, SnapChat, Facebook ecc. sembrano evitarli. Qualcuno può pensare a qualche motivo importante per non farlo, o avere qualche idea sul motivo per cui non è più comune?

    
posta George Green 17.09.2018 - 16:51
fonte

6 risposte

81

È abbastanza facile inviare un messaggio SMS che sembra provenire dal numero di telefono di tua scelta senza effettivamente controllarlo numero. E così l'invio di un SMS da un numero non verifica il tuo ID nello stesso modo in cui ricevi un SMS a un numero.

    
risposta data 17.09.2018 - 16:57
fonte
19

Poiché nessuno ha menzionato, l'invio di SMS (da parte del cliente) costa, almeno nei paesi in via di sviluppo. Inoltre il server di validazione può essere in un altro paese. Personalmente, non voglio inviare un costoso SMS agli Stati Uniti dal Giappone. Dal momento che il server invia SMS tramite provider di SMS di terze parti, non devono affrontare il costo per SMS.

    
risposta data 17.09.2018 - 23:34
fonte
0

Il punto di verifica dei messaggi di testo è di confermare il possesso del tuo telefono, non di averti contattato.

L'autenticazione a due fattori di solito richiede qualcosa che conosci (una password) e qualcosa che hai (una chiave di sicurezza, dongle, o il tuo telefono cellulare ecc.)

L'idea è che anche se un truffatore in un'area remota dovesse compromettere la tua password, non sarebbero in grado di derubarti fisicamente del telefono.

In realtà non importa chi invia il messaggio.

    
risposta data 18.09.2018 - 06:34
fonte
0

Mentre il resto è stato affrontato, mi concentrerò su un piccolo punto:

Sending an SMS could cost the user, and without having local numbers for every country, it could cost a significant amount

Non è così che funzionano gli SMS di invio. Di solito non hai un numero. Utilizzi un fornitore, come ad esempio clickatell.com. Ti danno un'API, che puoi usare per inviare messaggi di testo. Il costo effettivo dipende in genere dal paese, in genere i paesi sviluppati sono meno costosi, ma non quanto sono vicini a te.

In genere puoi scegliere liberamente il mittente mostrato con tali servizi, inclusi i mittenti alfanumerici familiari, come Google. Come non ti aspetti mai una risposta ai messaggi 2FA, non vuoi veramente un numero.

    
risposta data 18.09.2018 - 07:36
fonte
0

In generale, l'invio di SMS all'utente rende più semplice per il cliente. E tutte le aziende vogliono semplificare le cose per i loro clienti . Considera i seguenti casi:

  1. Inserire un codice da 4 a 8 cifre (principalmente) è più semplice che inserire un numero di cellulare di testo e di destinatario nell'app per SMS e inviarlo.
  2. Nei luoghi in cui la doppia sim è più importante, un utente potrebbe / potrebbe non avere un pacchetto SMS sul numero di cellulare registrato con il servizio.
  3. Alcuni operatori mobili disabilitano le chiamate ISD e gli SMS internazionali per impostazione predefinita e li attivano solo su richiesta. Se l'utente utilizza il servizio di quell'operatore e hai un servizio internazionale, potresti perdere un cliente.
  4. Molte persone anziane possono leggere facilmente gli SMS ma hanno difficoltà a inviarli (come fa mia nonna).
  5. Come hai detto nella tua domanda, l'invio di SMS costa denaro.
risposta data 18.09.2018 - 07:59
fonte
-3

L'aggiunta alla risposta di Mike, sotto potrebbe essere un'altra ragione per non inviare SMS da utente a server.

In questo modo si apre l'interfaccia in entrata del server e si accetta la connessione da una rete non sicura. Ciò potrebbe comportare un rischio elevato rispetto all'invio di SMS dal server, in cui viene aperta solo l'interfaccia in uscita.

    
risposta data 18.09.2018 - 03:35
fonte

Leggi altre domande sui tag

Qual è lo scopo? Strani tentativi di accesso "ssh [***] Ricevuto disconnessione da **. **. **. **: 11: Bye Bye [preauth]" Come faccio a garantire che entropia sufficiente su un sistema embedded al primo avvio?