La mia app ha una modalità demo in cui è possibile richiedere un accesso per utilizzare il sito in un modo illimitato per un determinato periodo di tempo (15 giorni). A questo punto, il visitatore è anonimo e non abbiamo informazioni identificative su di loro.
Per impedire agli utenti di registrarsi per un sacco di account gratuiti e di non acquistare mai, inviamo un codice di verifica via email o SMS, l'idea è che possiamo tenere traccia dei codici inviati in precedenza e prevenire i duplicati. (Qualcuno potrebbe ottenere più indirizzi email, ma almeno è un ostacolo all'abuso.)
Ma cosa succede se un utente malintenzionato non si preoccupa della demo e vuole solo infastidire le persone inserendo il loro numero di telefono e facendo in modo che il mio sistema invii loro dei messaggi? Cosa si può fare per fermare questo (senza interrompere l'esperienza per gli utenti legittimi)?