Qual è il modo migliore per limitare l'invio di codici di verifica ai numeri di cellulare che possono essere modificati?

1

Sto sviluppando un servizio web in cui gli utenti devono convalidare il proprio telefono cellulare (utilizzando un codice inviato al proprio numero di cellulare tramite SMS) ed e-mail (utilizzando un link di verifica). Attualmente utilizzo un metodo di limitazione temporale per evitare l'invio di più di un SMS o e-mail in un determinato periodo. Ma entrambi questi fattori di sicurezza possono essere modificati dagli utenti ogni volta che lo desiderano e modificandoli, anche il loro limite di tempo verrà reimpostato.

Un hacker può automatizzare questo processo (dal momento che non voglio usare captcha nel pannello utente) e infliggerci per inviare molti SMS. Come posso impedirlo? Un'idea è quella di impedire agli utenti di modificare queste informazioni troppo velocemente, ma non so se sia il modo migliore o meno perché gli utenti potrebbero riempire queste informazioni in modo errato e volere cambiarle all'istante.

    
posta Amirreza Nasiri 02.09.2016 - 23:21
fonte

1 risposta

1

Sembra che tu abbia un limite di velocità per numero di telefono / indirizzo e-mail.

Potresti applicare il limite di velocità per utente e impedirebbe il tipo di abuso di cui sei preoccupato.

Dovresti modificare il limite per renderlo conto. Ad esempio, due SMS per utente al giorno consentirebbero un errore. Se l'utente commette un secondo errore, dovrà aspettare fino al giorno successivo per risolverlo.

    
risposta data 04.09.2016 - 14:47
fonte

Leggi altre domande sui tag