Sto sviluppando un servizio web in cui gli utenti devono convalidare il proprio telefono cellulare (utilizzando un codice inviato al proprio numero di cellulare tramite SMS) ed e-mail (utilizzando un link di verifica). Attualmente utilizzo un metodo di limitazione temporale per evitare l'invio di più di un SMS o e-mail in un determinato periodo. Ma entrambi questi fattori di sicurezza possono essere modificati dagli utenti ogni volta che lo desiderano e modificandoli, anche il loro limite di tempo verrà reimpostato.
Un hacker può automatizzare questo processo (dal momento che non voglio usare captcha nel pannello utente) e infliggerci per inviare molti SMS. Come posso impedirlo? Un'idea è quella di impedire agli utenti di modificare queste informazioni troppo velocemente, ma non so se sia il modo migliore o meno perché gli utenti potrebbero riempire queste informazioni in modo errato e volere cambiarle all'istante.