Безопасная реализация подтверждений регистрации по SMS?

Question

[Niemand]

Здравствуйте,

для одного сервиса возможно понадобится регистрация по номеру телефона, с его подтверждением. Как реализовать саму регистрацию вопросов нет, а вот как защититься от злоумышленников я не могу найти информации. Первое, что приходит в голову - многократная регистрация на разные номера телефонов, с целью опустошить лимит СМС или нанести финансовый ущерб. Какие практики работы с СМС существуют? Как это например делает WhatsApp?

Answer 1

[facir]

ну я думаю как вариант сделать проверку по IP + USER-AGENT + КУКИ например, чтобы можно было регистрироваться 1 раз в час , это самое просто

Comments

[Niemand]

Да, это самое простое, что напрашивается. Но я сам делал в свое время скрипты, которые работали со многими IP, чтобы обойти проверки, а USER-AGENT-у и кукам доверять нельзя вообще.

[facir]

ну не знаю, смотря , что за сервис. Я думаю вряд ли кто то захочет вот так весь счет обнулить. Тогда единственный способ, это подтверждать по прямому звонку, тогда отпадает схема автоматической регистрации.

я у себя сделал без проверки, человек вводит номер, приходит смс, стоит это 0.10 копеек.

да и думаю человек постоянно не будет менять юзер агент и ip, да и куки подделывать... может блокировать по ip по маске? ну тут тоже не факт.

А что за сервис, если не секрет?

[Niemand]

facir: да идея напрашивается в некоторых приложениях для мобильных устройств, в т.ч. для поиска/списка друзей в каких-нить игрушках. Но чего-то меня отпугивает worst case scenario.

[facir]

ну для приложений можно использовать много привязок к телефону, mac адрес, IMEI устройства, ID карты ...

[Niemand]

facir: я имел в виду поиск друзей в списке контактов. Он реализуется с помощью указания телефона в своем профиле, а в контактах потом сравниваются номера. Но указание номеров телефона должно быть с подтверждением номера.