Организация аутентификации по СМС по примеру Telegram/Viber/WhatsApp / Хабр

Как остановить получение смс с кодом подтверждения

Если вы оказались объектом массовых смс-атак, рекомендуем выполнить комплекс действий, которые сведут их зловредное влияние к минимуму. Среди них:

• Никогда и никому не сообщайте коды подтверждения, которые вы получаете по смс. Эти коды являются основным инструментом проверки вашей личности. В случае сообщения кому-либо поступивших кодов подтверждения вы можете остаться без денежных средств и доступа к вашему аккаунту;

• Заведите отдельную сим-карту для работы с различными сайтами. Это поможет обезопасить ваш основной телефонный номер;

• Используйте для каждого сайта свой уникальный и сложный пароль. Это осложнит взлом вашего аккаунта для злоумышленников;
• Блокируйте смс от ненужных сервисов. Временно поместите номера таких сервисов в чёрный список, а затем через пару недель верните всё назад. Обычно рост смс к этому времени спадает.

Это пригодится: что за сайт Bit.ly, и что это за смс СМС “Посмотрите фото”.

Особенности реализации одноразовых паролей

Вам потребуется хранить специальный ключ для проверки СМС-кодов. Существует алгоритм TOTP, который, цитирую Википедию:

OATH-алгоритм создания одноразовых паролей для защищенной аутентификации, являющийся улучшением HOTP (HMAC-Based One-Time Password Algorithm). Является алгоритмом односторонней аутентификации — сервер удостоверяется в подлинности клиента. Главное отличие TOTP от HOTP это генерация пароля на основе времени, то есть время является параметром[1]. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (например, 30 секунд).

Грубо говоря, алгоритм позволяет создать одноразовый пароль, отправить его в СМС, и проверить, что присланный пароль верен. Причём сгенерированный пароль будет работать заданное количество времени. При всём при этом не надо хранить эти бесконечные одноразовые пароли и время, когда они будут просрочены, всё это уже заложено в алгоритм и вы храните только ключ.

Пример кода на руби, чтобы было понятно о чём речь:

totp = ROTP::TOTP.new("base32secret3232")
totp.now # => "492039"

# OTP verified for current time
totp.verify("492039") # => true
sleep 30
totp.verify("492039") # => false

Алгоритм описан в стандарте RFC6238, и существует масса реализацией этого алгоритма для многих языков: для Ruby и Rails, для Python, для PHP и т.д..

Строго говоря, Telegram и компания не используют TOTP, т.к. при регистрации там, вас не ограничивают по времени 30-ю секундами. В связи с этим предлагается рассмотреть альтернативный алгоритм OTP, который выдает разные пароли, базируясь на неком счётчике, но не на времени. Встречаем, HOTP:

HOTP (HMAC-Based One-Time Password Algorithm) — алгоритм защищенной аутентификации с использованием одноразового пароля (One Time Password, OTP). Основан на HMAC (SHA-1). Является алгоритмом односторонней аутентификации, а именно: сервер производит аутентификацию клиента.
…
HOTP генерирует ключ на основе разделяемого секрета и не зависящего от времени счетчика.

HOTP описан в стандарте RFC4226 и поддерживается тем же набором библиотек, что представлен выше. Пример кода на руби:

hotp = ROTP::HOTP.new("base32secretkey3232")
hotp.at(0) # => "260182"
hotp.at(1) # => "055283"
hotp.at(1401) # => "316439"

# OTP verified with a counter
hotp.verify("316439", 1401) # => true
hotp.verify("316439", 1402) # => false

Приложение для блокировки смс

Чтобы прекратить поток СМС от неизвестных номеров и сервисов, воспользуйтесь мобильным приложением «Блокиратор звонков». Если сообщения поступают из сервисов, которыми вы пользуетесь, можно остановить поток на время. Для этого нужно установить приложение на свой мобильный телефон. И настроить его. Внесите номер, который вас беспокоит, в чёрный список. Также если звонят с номеров, которые пытаются выпытать код для входа в ЛК, их тоже можно внести в список запрещённых.Не беспокоить» и добавлять в него номера, которые смогут дозвониться. В то время, как остальным ваш номер будет недоступен. В приложении также можно останавливать спам из номеров, которые будут распознаны по префиксу — нескольким цифрам номера.

Существует большое количество антиспам систем. Большинство махинаций с картами, номерами мобильного телефона уже раскрыты. Более того, многим известны. Но злоумышленники продолжают находить лазейки, чтобы получить доступ к деньгам пользователей на номере телефона, банковских счетах, аккаунтах интернет-денег.

Что за код с подтверждением телефона?

В последнее время на телефон абонентов поступают SMS-сообщения от разных веб-сайтов и сервисов с просьбой ввести код в форму для подтверждения регистрации. Но почему они приходят конкретным людям, которые не имеют отношения к упомянутому в сообщении сайту — это уже другой вопрос, в котором мы также разберёмся. СМС для подтверждения регистрации сегодня необходимы для ресурсов любого назначения — онлайн-банка, магазинов, для восстановления страниц в социальных сетях и прочего.

Но со временем этот вид идентификации людей в сети оказался недостаточно надёжным. Подтверждение по номеру телефона работает следующим образом: пользователь должен ввести на сайте в форму цифры своего телефона. Через некоторое время от серверов приходит SMS с кодом, который нужно ввести на сайте. Сразу же после этого мы получаем доступ к личному кабинету.

Авторизация по номеру телефона

При такой авторизации требуется подтвердить номер телефона, вводом кода подтверждения, полученного по SMS. Отдельный экран «Регистрация» не требуется, так как при авторизации сервер сам может определить является ли данный пользователь новым или ранее он уже регистрировался.

Плюсы: простота авторизации, минимум запрашиваемых у пользователя данных, сразу получаете достоверный номер телефон.

Минусы: не подходит для приложений, которые используют миллионы, рассылка SMS требует затрат. По состоянию на 01.04.2021 средняя стоимость SMS 3,5-4 рубля.

Авторизация с применением только номера телефона очень проста, но может быть использована, если количество пользователей приложения не превышает несколько сотен. Лучше если аудитория приложения локализована в рамках одной страны. Например, России. Это связано с необходимостью рассылки SMS.

Нет необходимости реализовывать процедуру восстановления пароля (сброс пароля), так как пароль не используется.

Смена номера телефона для пользователя не доступна. Сменить номер телефона пользователя может только администратор через Админ панель.

Какие есть способы и виды авторизации банковской карты?

Есть три способа авторизации. Выделяют:

1. Голосовую авторизацию. Сегодня она уже не актуальна и не используется. Смысл ее заключался в том, что продавец для подтверждения операции должен был связаться с банком. Занимало это несколько минут. Согласитесь, когда большая очередь, данный способ авторизации не подходит.
2. Автоматическая авторизация. Она куда проще: платежный терминал сам составляет запрос банку, клиенту необходимо только поднести карту к аппарату для бесконтактного считывания чипа. Оплата происходит после того, как на экране терминала появится надпись «Авторизация прошла успешно». Занимает эта процедура считанные секунды.
3. Авторизация с подтверждением пин-кода. В этом случае необходимо ввести пин-код, который выдается с картой. Однако данный способ тоже используется редко, поскольку большинство терминалов поддерживают бесконтактную авторизацию.

Что касается видов авторизации, то их два: онлайн и офлайн. В онлайновом режиме банк-эквайринг управляет счетом сразу, в момент операции. Благодаря такому виду можно быстро выявить мошенничество с картой и заблокировать ее.

Режим офлайн отличается тем, что все операции проводятся не моментально, а в конце дня или на следующий день. Т.е. операция выполняется после того, как необходимые данные внесут в базу. Это актуально в том случае, если оплата принимается через терминалы, которые работают в автономном режиме.

Внимание! В онлайн режиме при слабом интернет-соединении операция может выполняться несколько минут. При отсутствии интернета операцию по карте не получится выполнить. В офлайн-режиме операция доступна без подключения к интернету.

Что такое авторизация банковской карты?

Ни одна операция по карте, связанная с покупкой или переводом денег, не происходит без авторизации. То есть она выполняется всегда: при пополнении мобильного телефона или интернета, оплате коммунальных услуг или кредита, денежных переводах, покупке товара и т.д.

Перечисленные операции не могут быть проведены без согласия банка, поэтому клиент должен получить это «согласие». Вот получение согласия – это и есть авторизация, которая автоматически выполняется для всех оплат с банковских карт в течение нескольких секунд.

Обратите внимание! В большинстве случаев для прохождения авторизации потребуется ввести пин-код или секретный код, которые поступает в sms на «привязанный» к карте номер телефона. Пин-код вводится при оплате картой через POS-терминал.

В каком случае банк может отказать в авторизации:

1. Недостаточный баланс.
2. Карта заблокирована.
3. На карте уже заморожена сумма, которая будет списана позже (к примеру, за оплату общественного транспорта).
4. Истек срок действия карты.
5. Превышен суточный или месячный лимит на расходные операции.
6. Технический сбой.

Точную причину отказа можно всегда уточнить у сотрудника горячей линии. Номер телефона, как правило, прописан на оборотной стороне карты.

Что такое учётная запись в телефоне на android

Вы уверены, что хорошо знаете свой смартфон? Думаю, что до известной степени да. Другое дело, что степени той самой известности у каждого из нас разные. Поэтому то, что для одних является чем-то сродни высшей математике, для других – полнейший примитивизм.

Это касается в том числе такого понятия, как учётная запись. Очень многие сталкиваются с непониманием, когда видят, что у их смартфона тоже есть учётная запись. Во всяком случае, о непонимании того, что это и зачем нужно, свидетельствуют запросы в Google. А наша задача – восполнить недостающие знания.

На одном смартфоне может быть несколько учётных записей

Учётная запись, или аккаунт – это ваша личная страничка, информация на которой позволяет смартфону или веб-сервисам, которые вы используете, опознать вас при входе. Если у вас смартфон на Android – а я в этом не сомневаюсь, — учётная запись будет от Google, потому что сама операционка принадлежит этой компании. Однако могут быть и исключения, например, на устройствах без сервисов Google.

Авторизация в мобильном приложении

Для того, чтобы взаимодействовать с приложением, оно должно понимать — кем является текущий пользователь. Это и является так называемой авторизацией. Наша система идентифицирует пользователей по номеру телефона, который был указан при регистрации вас как партнера Просто Бэк-офис.

Представим, что вы — действующий клиент. После скачивания мобильного приложения нужно ввести тот самый номер телефона и нажать “далее”. Мы решили, что нужно избавить наших пользователей от еще одного пароля, который нужно помнить или иметь записанным где-то на бумажке, поэтому после ввода номера телефона вам придет СМС с одноразовым кодом для входа в приложение. Этот код нужно ввести на следующем экране.

Вводим этот код и попадаем внутрь. Если у вас несколько компаний на обслуживании ПБО, то откроетcя экран выбора компании, с которой вы хотите работать. Вы можете в любой момент переключиться на другую компанию в разделе настроек.

Ржд: регистрация или вход

РЖД является сокращением от «Российские Железные Дороги». Сайт РЖД предназначен для получения информации о поездах, расписании, наличии мест. Для приобретения билетов на поезд необходимо создать личный кабинет на сайте РЖД, он называется «Мои заказы».

Для создания личного кабинета РЖД, а также для входа в правом верхнем углу на сайте РЖД есть единая кнопка «Вход» (цифра 1 на рисунке 3). Кликнув по ней, появятся две вкладки «Вход» (3 на рис. 3) и «Регистрация» (2 на рис. 3).

Чтобы создать новый личный кабинет, следует нажать «Регистрация». В новом кабинете «Мои заказы» НЕ будет билетов, приобретенных ранее на сайте РЖД. После регистрации там можно будет только купить новый билет.

Для доступа к прежнему кабинету, надо использовать кнопку «Вход». Там можно найти билеты, приобретенные ранее на сайте РЖД, а также купить новые билеты.

Авторизация по номеру телефона и паролю

При авторизации нет необходимости проверять сразу телефон. Проверку достоверности номера телефона легко можно проверить позднее. Например, при возникновении подозрительной активности или при очередной авторизации. При регистрации пароль пользователь вводит сам. Чтобы избежать ошибки при вводе пароля используются два поля ввода, для пароля и для повторного ввода пароля.

Сейчас популярно использовать при регистрации одно поле для ввода пароля, без повторного ввода пароля в отдельном поле, но при этом надо обязательно сразу выполнять подтверждение номера телефона кодом, полученным в виде SMS- сообщения. Если пользователь забудет пароль, то он может выполнить инициализацию сброса пароля и ему на телефон придет SMS-сообщение, содержащие временный пароль.

Авторизация и регистрация: почему это две большие разницы

На смартфонах устанавливают приложения. И далее, не задумываясь, открывают их с помощью одного или двух тапов. Приложение готово к работе. Если же входить куда-либо через браузер на компьютере, ноутбуке или на смартфоне, то появляются две кнопки для входа пользователя: авторизация и регистрация. Какая между ними разница и почему их нельзя путать?

На некоторых сайтах, в электронной почте, в социальных сетях, в интернет банке, если их открыть через браузер на компьютере или смартфоне, обычно есть два варианта для входа. Первый вариант – это авторизация для «стареньких» пользователей, которые ранее прошли регистрацию. Второй вариант – это регистрация для «новеньких» людей, еще не зарегистрированных на данном ресурсе.

Много смс с кодами подтверждения – почему вы их получаете?

Обычно ситуация выглядит следующим образом: Вы ведете привычный образ жизни, и вдруг начинаете получать много SMS (или сообщений в мессенджерах), с кодами подтверждения от популярных и не очень сайтов. Выглядит это будто вы хотите зарегистрироваться на перечисленных ресурсах, и получаете код подтверждения для завершения регистрации. Или просто пытаетесь войти на ресурс с помощью подтверждения по СМС.

Такие коды могут приходить и днём и ночью, и часто не зависят от времени суток. При этом коды могут идти волнами. На протяжении одних суток вы можете получить десяток таких СМС, а на следующий день – ни одного.

Связано это может быть со следующими факторами.

После атаки смс-бомберов могут приходить смс подтверждения от различных магазинов

Также для массовой отправки смс с кодом подтверждения на ваш номер могут использоваться смс-бомберы. Они представляют собой программу (скрипт) отправляющую в автоматическом режиме различные смс с кодом подтверждения на ваш номер.

Такие бомберы обычно используются в психологических целях, стремясь вызвать у жертвы дискомфорт, панику, довести до стресса и нервного срыва.

Заказчиками подобных решения может являться кто угодно – ваши родственники, друзья и коллеги, знакомые или просто люди, желающие над вами подшутить. В целом же подобные «шутки» часто достигают своей цели, так как получить смс с кодом подтверждения доступа к вашему банковскому аккаунту понравиться далеко не всем.

Запросить СМС с кодом на номер, в ответ — токен для последующих действий.

Действие соответствует CREATE в CRUD.

    POST /api/sms_authentications/
    Параметры на вход:
        phone
    Параметры на выход:
        token

Если всё прошло, как ожидается, возвращаем код состояния 200.

Если же нет, то есть одно разумное исключение (помимо стандартной 500 ошибки при проблемах на сервере и т.п. — некорректно указан телефон. В этом случае:

Зачем нужна учетная запись в телефоне

Основная учётная запись для Android — это, конечно, Google

Учётная запись Google является своего рода способом авторизации и в системе смартфона, и в различных веб-сервисах, которыми вы пользуетесь, фактически исполняя роль виртуального паспорта:

На самом деле их намного больше. Просто, если перечислять все, не хватит и целой страницы. Но авторизация – это не самое главное. Почти любой сервис Google или стороннее приложение можно использовать и без учётной записи. А прелесть самих учётных записей заключается, как ни странно, в синхронизации данных.

Как долго держится авторизация?

Говоря техническим языком: авторизация живет 14 дней с авто-продлением. А если попроще, то после того как вы вошли, ваша сессия будет действовать 14 дней и, каждый раз когда вы вновь открываете приложение на этом устройстве, действие продляется на 14 дней от текущей даты.

То есть действие сессии прекращается в том случае, когда вы не заходили с этого устройства в приложение ПБО 14 календарных дней. Если вы авторизованы на разных устройствах, то сессии на этих устройствах существуют независимо друг от друга и работают по таким же правилам как описано выше.

Особенности реализации мобильного приложения

В случае Android полученный токен можно хранить в SharedPreferences (почему не AccountManager), а для iOS в KeyChain. См. обсуждение на SoF.

Какие плюсы у авторизации?

Это зависит от сервиса. Если брать те же банковские услуги, то большинство услуг пользователю доступны только после регистрации в сервисе и получении данных для авторизации.

Если говорить про обычные сайты, зачастую авторизация предлагает возможность получения большего количества функций. Кроме того, на тех же форумах нельзя общаться без авторизации. Кстати, сейчас можно использовать аккаунты социальных сетей для регистрации и последующей авторизации во многих сервисах. Это удобно, поскольку не требует дополнительных действий.

Как в сексе: чем позже — тем лучше

Заставляете пользователя проходить авторизацию или регистрироваться в вашем приложении сразу после того, как он его загрузил и открыл в первый раз? Значит, увеличиваете шансы приложения незамедлительно оказаться в корзине. Это подтверждается статистикой, поэтому наш первый совет: вставляйте авторизацию до момента, когда она действительно необходима. Это может быть отправка заказа или создание комментария. Вот небольшая
статья на тему.

Что такое авторизация карты при получении займа?

При оформлении займа через интернет многие компании предлагают получить одобренный лимит на карту. Для этого надо зарегистрировать карту в системе, указав платежные данные. После подтвердить списание небольшой суммы, которая вернется обратно.

В данном случае авторизация карты при получении займа – это процедура списания и возвращения денег. Микрофинансовые организации таким образом проверяют, что карта принадлежит заемщику и способна проводить приходные и расходные операции.

Ошибка: “неверный код”

Появляется в случае, когда вы ввели неправильный код полученный из СМС. Повторите ввод кода или воспользуйтесь функцией автозаполнения.

Источник

Что если я авторизуюсь в приложении на другом устройстве?

Наша система поддерживает наличие нескольких действующих сессий на одного пользователя. Авторизовавшись на другом устройстве просто создастся новая сессия, которая будет существовать независимо только для этого устройства. Представим, что вы авторизовались на двух телефонах: самсунге и айфоне.

Выход из мобильного приложения

Если вам необходимо завершить свою сессию работы с приложением, воспользуйтесь кнопкой выхода.

На iOS выберите внизу последний таб Профиль и нажмите на кнопку “Выйти”.

На Android перейдите через боковое меню в раздел настройки, нажмите на кнопку меню в верхнем правом углу и выберите пункт “Выход”.

После выхода приложение теряет доступ ко всем вашим данным до того момента, пока вы снова не осуществите вход.

Что такое код авторизации?

Не стоит путать код авторизации с пин-кодом или секретным кодом, который поступает на телефон для подтверждения операции по карте. Код авторизации – это комбинация из 6 цифр, которая указана на чеке. Каждой операции присваивается свой уникальный код.

Если после авторизации получен отказ, то клиент может позвонить оператору горячей линии, для получения разъяснений. В этом случае потребуется озвучить код отказа.

Вконтакте: регистрация и войти

Чтобы создать новую страничку ВКонтакте, следует ввести имя, фамилию, указать дату рождения и нажать на зеленую кнопку «Продолжить регистрацию».

Для входа на свою страничку, ранее уже зарегистрированную, следует ввести телефон или email, пароль и нажать «Войти».

Источник

Заключение

При разработке приложения мы рекомендуем продумать, какие функции требуют авторизации, а какие — нет. При этом в зависимости от особенностей проекта важно учитывать такие факторы, как простота и стоимость реализации, безопасность, удобство для пользователя.

Больше о наших решениях в мобильной разработке читайте в нашем портфолио.

Юмани: создать кошелек и войти

Юмани – это электронные деньги, которые ранее были Яндекс.Деньги. Потом сервис был приобретен Сбербанком и сменил название. Были Яндекс.Деньги, стали Юмани.

Кнопка «Создать кошелек» (цифра 1 на рисунке 2) означает появление нового кошелька, как правило, с нулевым балансом. Другая кнопка «Войти» (2 на рис. 3) позволяет войти в старый кошелек. Возможно, там уже есть рубли и накопленные баллы.

Выход: а что это такое

В современных приложениях на смартфоне сложно найти кнопку или значок для выхода, а зачастую это вообще невозможно. На компьютере обычно есть параметр «Выход», но многие пользователи никогда не используют эту возможность. Один раз зашли и больше никогда не выходят. Это хорошо, если техника всегда работает, никогда не подводит, либо не нужно заводить второй аккаунт на сайте.

Что такое регистрация

Регистрация – это необходимый этап для того, чтобы пользователь получил доступ к тем возможностям, которые предоставляются на каком-либо интернет-ресурсе. Регистрацию проходят только один раз (в идеале). После того, как человек ее прошел, ему становятся доступны те возможности, которые имеются на данном ресурсе.

Авторизация: что это такое и для чего нужно?

Несмотря на то, что интернетом пользуется огромное количество людей по всему миру, ежедневно многие пользователи только начинают познавать этот виртуальный мир. Пользователи часто сталкиваются с определениями, которые они прежде не слышали. Вот, к примеру, авторизация — что это такое?

Подтвердить токен с помощью кода из СМС.

Действие соответствует UPDATE в CRUD.

    PUT /api/sms_authentications/<token>/
    Параметры на вход:
        sms_code

Аналогично. Если всё ок — код 200.

Если же нет, то варианты исключений:

Что делать, если я не могу войти в приложение?

Только действующие партнёры могут войти в приложение. В случае, если Вы действующий клиент и у Вас возникли проблемы со входом в мобильное приложение, Вы всегда можете связаться с нами — мы решим возникшую проблему. Все контакты есть на нашем сайте в разделе О НАС.

Способы авторизации в мобильном приложении

Механизм авторизации зависит от ряда факторов, в том числе от требуемых сроков разработки и от того, с каких устройств пользователи будут заходить в приложение. Ниже перечислим наиболее распространенные способы идентификации.

Ростелеком личный кабинет: зарегистрироваться и войти

На сайте Ростелекома можно создать новый личный кабинет с помощью кнопки «Зарегистрироваться» (цифра 1 на рисунке 4). В личном кабинете можно проводить оплату, получать и тратить бонусы, писать запросы в техподдержку и т.д.

Яндекс почта: создать id и войти

В Яндекс.Почте кнопка «Создать ID» (цифра 1 на рис. 1) служит для регистрации нового почтового адреса (email). ID (читается «ай-ди») — это часть английского слова «identifier», что можно перевести как «идентификатор».

Я не получил смс с одноразовым кодом

Если Вам в течении 30 секунд не пришло СМС с кодом, попробуйте нажать на кнопку “Назад” и снова ввести номер телефона. Если же после повторного входа не приходит СМС — свяжитесь с нами, мы Вам обязательно поможем.

Ошибка: “номер не зарегистрирован”

Появляется в случае, если Ваш номер введён неверно или Вашего номера нет в нашей базе данных. Если же номер введён правильно и всё равно появляется ошибка — обратитесь в службу поддержки.

Я хочу заходить под другим номером. что мне делать?

Для изменения номера телефона требуется оставить заявку в приложении точно так же как решаются и любые другие вопросы, связанные с деятельностью бэк-офиса.

Форсированная отправка кода повторно.

    PUT /api/sms_authentications/<token>/resend

Аналогично. Если всё ок — код 200.

Если же нет, то варианты исключений:

Видео-инструкция

Посмотрите в ролике, что делать, если на ваш мобильный телефон приходят СМС с кодами для авторизации и подтверждения на разных подозрительных сайтах.

Выбор способа авторизации

Если нужно хранить данные пользователей, то авторизация в мобильном приложении необходима. Существует несколько вариантов выполнения авторизации.

Авторизация: вход после регистрации

Регистрацию проходят один раз. Потом для входа на какой-либо ресурс следует пользоваться кнопкой «Авторизация».

Авторизация через Google-аккаунт

В данный момент такой вид авторизации в мобильных приложениях распространяемых в России встречается редко.

Как сменить учетную запись на android

В этом разделе можно переключаться и между аккаунтами, и между профилями

Изменения в схеме бд

Итого, в модели (или в таблице БД, если угодно) надо хранить:

Изменения в api

В сущности требуется добавить три метода в ваше API: