В чем опасность регистрации/авторизации по номеру телефона?

Question

[Капоот]

Для того, чтобы войти в приложение, нужно ввести свой номер телефона, а затем ввести код, полученный из СМС. В качестве двухфакторной аутентификации для усиления безопасности в приложении необходимо задать пароль, который нужно ввести после того, как был введен код из СМС.

Как решается данная задача с точки зрения архитектуры?
Какие опасности, связанные с безопасностью, есть, и как их можно решить?

Answer 1

[DevMan]

обычно делается наоборот: сначала логин/пароль, затем уже код.
иначе можно достаточно легко вас разорять на смс в никуда.

архитектурно – это достаточно простая задача: пока не получили всех данных – ничего не делаем кроме показа формы.

лично я терпеть не могу коды по смс, и считаю их антипаттерном: интернет может быть, а мобильной связи может не быть (у меня такое было не раз, и достаточно часто). лучше использовать другие способы otp.

Comments

[Speakermen]

Видел ещё на сайтах на email приходит код 5-6 значный для входа на сайт. Хочу тоже использовать только дать пользователям выбор нужно включать эту опцию или нет и ограничить ввод email password до 3 раз. Не знаю эффективно ли это в плане безопасности с jwt? Если email привязан к телефону думаю что это ещё один плюс если его взломают

[DevMan]

Speakermen, вы не о том думаете. особенно с jwt.

[lohatnikov]

DevMan

иначе можно достаточно легко вас разорять на смс в никуда.

Вход в личный кабинет теле 2 чисто через телефон. можешь любой номер ввести и они туда смски шлют, а только потом проверяют что номер есть в их базе. но видимо для них это бесплатно))) теле2 все ж

Answer 2

[globuzer]

Безопасность напрямую возлагается на безопасность инфраструктуры.
Если БД не взломают и не перехватят данные по передаче, то бояться не зачем.
Либо просто могут продать данные, слить БД, также потенциальная опасность.
А в остальном - просто архитектурные решения, которые оптимизируют нагрузку, работы системы.