Как реализовать «защиту» авторизации по номеру телефона?

Всем привет

Есть сайт, на который требуется добавить авторизацию/регистрацию по номеру телефона (по примеру этого сайта)
То есть пользователь вводит номер телефона - отправляет форму - вводит полученный в sms код и входит в свой профиль.
Для отправки sms предполагается использовать какой-нибудь сервис с адекватным API.
Но возникает один вопрос

Как можно было бы "обезопасить" эту форму авторизации от чрезмерного использования в "хулиганских" целях (просто кучу раз повторно отправлять sms на 1 номер, на разные номера, в т.ч и несуществующие)?

Ведь за каждое отправленное SMS с баланса снимаются средства, которые не хотелось бы расходовать столь бестолковым образом.

Все идеи, которые приходят в голову так или иначе не обеспечивают должного уровня защиты от подобных действий.

Заранее благодарю за ответы.
  • Вопрос задан
  • 1593 просмотра
Решения вопроса 3
Vamp
@Vamp
1. Проверьте синтаксическую корректность номера телефона. Все мобильные номера в РФ начинаются на +79 и имеют длину ровно 11 цифр. Проверку можно даже добавить в веб форму на уровне js. Это нельзя назвать защитой от хулиганов, но она отсеет реальные ошибки и опечатки, облегчив жизнь обычным пользователям.

2. Пробейте номер по базе россвязи (файл DEF-9xx). Так вы определите номера, на которые 100% не будет доставки. В отличии от проверки синтаксиса, не выдавайте пользователю ответ о некорректном номере. На все номера отвечайте "Одноразовый код отправлен, введите его сюда", но на невалидные номера не отправляйте сообщение.

3. Добавьте ограничение на количество отправляемых форм в минуту с одного IP и количество отправляемых сообщений на один и тот же номер (независимо от IP).

4. Оцените сколько может быть отправок форм в день и поставьте общий лимит на все отправки смс за день. Это единственный реальный способ контролировать атаку на сливание бюджета. Да, реальные пользователи пострадают при достижении лимита, но вы не должны доводить до него - настройте мониторинг количества отправляемых смс и алертинг при достижении порога в 90% от лимита, чтобы у вас было время среагировать на атаку и отбить её до полного исчерпания лимита. Либо если это всплеск реальных пользователей (например, неожиданно удачная реакция на рекламу), то у вас будет время скорректировать лимит. Можно рассчитывать лимит как 2 * среднее количество отправок смс за последние Х дней, чтобы не приходилось править его вручную по мере естественного роста посещаемости. Формулу и процент для алертинга, разумеется, подберёте под свои требования. Но можете взять и мои за основу.

Отдельно хочу рассказать про так называемые прямые мобильные номера. Они выглядят как городские (например, +7495), но в реальности являются мобильными и могут принимать смски. Проверка в пункте 1 не пропускает такие номера и нет никакого способа проверить без отправки смс является ли отдельно взятый городской номер прямым мобильным. Прямых номеров мало по сравнению с настоящими мобильными или настоящими городскими. К тому же у каждого прямого номера есть мобильный аналог, начинающийся на +79, которым пользователь может воспользоваться для регистрации. Поэтому предлагаю просто забить на прямые номера, а в случае жалоб на невозможность регистрации с прямым номером, рассказывать про существование мобильного аналога, который может быть прописан где-то в договоре с оператором на оказание услуг связи или узнать в техподдержке оператора и с которым можно спокойно зарегистрироваться.

Обязательное требование email'а не усилит схему защиты, так как не проблема наштамповать реальных адресов со скриптом, автоматически прокликивающим подтверждающие ссылки во входящих письмах.

Альтернативным вариантом является аренда входящего номера. В этом случае не вы отправляете сообщения пользователям, а они вам. Обычно за входящий номер берут фиксированную плату в месяц независимо от количества смс, так что не придётся в принципе волноваться за бюджет. Но тогда у вас будут в пролёте пользователи с отключенной услугой отправки смс. А таких немало, могу сказать. Благодаря интернет-мессенджерам.
Ответ написан
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Рега: Каптча, Ссылка на почту, потом - СМС.
Авторизация: Каптча, Логин+Пароль и СМС с кодом 2FA.

Да, это был бы идеальный вариант
Однако заказчик требует отсутствия связки логин/пароль/почта.
1. Пусть готовит много разных капч для каждого запроса на отправку СМС.

2. При повторном запросе СМС (в течение N-часов с момента предыдущего) при реге, перед отправкой СМС просить вводить цель регистрации (IP страны + разговорный язык) и не пускать одинаковые цели за N часов с разных IP и стран, или когда несовпадает страна и язык.

3. При авторизации с использованием 2FA: проверяем пароль, если он верный и СМС количество в сутки на юзера не превышает установленный лимит - то пускаем. Иначе - говорим, что лимит исчерпан (+алерт админу на почту).
Ответ написан
Комментировать
SilenceOfWinter
@SilenceOfWinter Куратор тега PHP
та еще зажигалка...
против лома нет приема, как варинт - ограничить по ip/mac.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы