Смс авторизация на сайте (регистрация через смс) или генератор паролей для смс, восстановление пароля по смс

Почему блокируют flashсall

Для Flashсall используются так называемые «дешевые» звонки: тарификация за соединение не применяется, а для получения кода не нужно снимать трубку. На этих звонках операторы теряют деньги: трафик уходит из SMS во флешколы.

Почему пишем об этом

В 2022 годы мы вывели на рынок новый продукт, сервис авторизации по звонку Flashсall. На тот момент мы были в числе первых поставщиков услуги. Сейчас флешкол активно использует ритейл, финансовый сектор, в прошлом году один из крупных банков начал авторизовывать клиентов с помощью флешкол.

К сервису привыкли пользователи, а бренды оценили надежность и экономичность кодов в номере телефона.

Но в конце 2021 года качество сервиса стало падать. Пулы номеров, с которых поступали звонки, начали блокировать операторы массово и в ручном режиме: искали сервисы, которые присылают флешкол и вносили пулы номеров в блок.

Что использовать вместо sms?

На данный момент существует несколько альтернатив, которые можно использовать вместо SMS-кодов. Самый простой — одноразовые коды, наподобие тех, которые умеют формировать банкоматы для входа в интернет-банк. Эти коды можно хранить в менеджерах паролей наподобие KeePass. Главное — чтобы коды не потерялись или не были украдены.

Также можно использовать приложения-аутентификаторы, такие как Google Authenticator, Яндекс.Ключ или FreeOTP. После установки приложения на смартфон надо войти в настройки аутентификации в нужном вам сервисе. Выбираем аутентификацию с помощью приложения — сервис должен показать нам QR-код, который сканируется установленным приложением.

Еще один альтернативный вариант аутентификации — это USB-ключ с записанным на нем цифровым сертификатом. Этот способ достаточно безопасен: для получения доступа к данным необходимо не только знать пароль (обычно сложный), но и владеть ключом. Хотя брелок с записанным ключом, увы, можно потерять или устройство может сломаться.

Наиболее безопасное на сегодняшний день решение для второго шага аутентификации — биометрическая аутентификация (как правило, по отпечатку пальца или сетчатке глаза). Данный способ уже используется для разблокировки многих смартфонов и ноутбуков, постепенно его начинают использовать и для работы с разнообразными сервисами.

К сожалению, аутентификацию по отпечатку пальца тоже нельзя назвать панацеей: многие сканеры отпечатков можно обмануть с помощью тонкого накладного отпечатка, выполненного из токопроводящего материала. Да и обладателя настоящего отпечатка можно напоить или «угостить» снотворным и получить доступ к его данным (увы, и подобные преступления не так уж редки).

Перечисленные альтернативные способы аутентификации зачастую могут быть гораздо более безопасны, чем отправка кодов в SMS. Если нужный вам сервис позволяет ими воспользоваться, попробуйте отказаться от кодов из сообщений — постарайтесь обезопасить свои данные как можно раньше.

Sms под угрозой

Однако специалисты по сетевой безопасности считают коды из SMS недостаточно безопасным способом аутентификации. Во-первых, сообщение с кодом может быть перехвачено вредоносным ПО, установленным на смартфон жертвы. Во-вторых, можно подкупить сотрудника салона сотовой связи и выпустить новую сим-карту с номером телефона жертвы: такие случаи уже бывали в разных странах. Наконец, код из SMS можно просто подсмотреть и передать злоумышленнику.

Активация sms в качестве фактора аутентификации

Следующий шаг после создания токена, это активация SMS в качестве дополнительного фактора.

Переходим в меню Security, подпункт Multifactor выбираем SMS Authentication и меняем статус на Active.

Верификация пользователя используя sms код

После того как первичное подключение было успешно завершено и фактор активирован, можно начинать его использование в повседневной работе. SMS фактор работает для всех стран и единственное ограничение, что посылка SMS может быть не чаще чем 30 секунд для пользователя. (т.е. несколько пользователей могут посылать одновременно, но перепослать для того кому только что была отправлена SMS можно только после 30 секундного интервала.

Для верификации фактора, сначала необходимо отправить запрос на отсылку кода

Импорт/создание пользователей

Последний шаг в конфигурации, это импорт текущей базы пользователей.

Есть несколько способов создать аккаунты пользователей, включая синхронизацию из LDAP. Мы рассмотрим два наиболее простых, импортировать из CSV файла и создать пользователей используя API.

Как выбрать способ отправки кода

Сервисы для отправки кодов вовсе не ограничиваются SMS и звонками. Все перечисленные в нашем обзоре способы можно добавить в каскадную отправку в любой очередности: первая отправка пойдет в самый дешевый канал, а последним шагом будет отправлена надежная (но дорогая) SMS.

Еще один вариант – предоставить пользователю самому решать, где получать код, интегрировав в интерфейс сервиса или мобильного приложения выбор канала.

Коды в звонке

Если речь идет о таком же экономичном способе с максимальным покрытием, то альтернатив немного.

Text-to-Speech

Это те же голосовые рассылки, только вместо предложения бесплатного обследования полости рта робот продиктует код. Text-to-Speech тарифицируется по-разному: посекундно, по 5 или 10 секунд. Чем длиннее код, тем дороже звонок. Средняя стоимость у разных провайдеров:

VoiceCode. Коды в звонке, для получения кода пользователь должен прослушать код.

Модернизация формы регистрации на сайте

Для того чтобы Ваша форма регистрации была готова к обновлениям, необходимо добавить в базе данных несколько полей:

Отладка формы для проверки смс кода

На данном этапе Вам нужно перенаправить пользователя после регистрации на форму ввода пароля. Вы можете сделать это любым удобным и привычным Вам способом: отдельной страницей с HTML формой, при помощи обновления текущей страницы, jquery и т.д.

Подключение sms фактора для пользователя

Поддержка состоит из первичного подключения SMS фактора для конкретного аккаунта, активации и собственно верификации этого фактора.

После того как все изменения внесены, пользователи вашей системы должны выполнить одноразовую, первичную регистрацию и подтверждение активации. В дальнейшем, если у пользователя изменился номер мобильного, необходимо повторить подобный процесс.

Реализация смс авторизации – отправка смс с кодом

Смс авторизация настраивается при помощи нашего открытого API. Для отправки пароля через смс вы можете использовать
простую функцию отправки смс сообщений, подставляя в сообщение необходимый вам пароль и окружающий его текст:

Пароль на sms может приходить в следующих форматах:

После проверки введенного кода, в случае его совпадения Вы должны заменить в базе данных статус клиента на TRUE – проверенный клиент.

Регистрация через смс позволит Вам в будущем использовать смс рассылки для повышения лояльности ваших клиентов.
Для этого необходимо в пользовательском соглашении, с которым клиент соглашается при регистрации на вашем сайте,
прописать его согласие на получение такого рода рассылок.

Вы можете задать любые интересующие Вас вопросы через форму обратной связи.

Регистрация аккаунта

Первый шаг это регистрация аккаунта. Для этого примера я создал мусорного пользователя на gmail и зарегистрировал аккаунт разработчика на него, это было едиственное что потребовалось для получения аккаунта в Okta. Открываем в браузере страницу регистрации и заполняем требуемые поля.

После верификации почты, вы станете счастливым обладателем аккаунта типа

Создание приложения

Создание приложения опционально для целей простейшего сценария, но полезно если вы хотите назначить policy или реализовать дополнительные возможности.

Из меню Applications выбираем подпункт Applications и нажимаем конопку “Add Application” и на следующем экране нажать ещё одну кнопку “Create New App”.

Если вы сделали всё правильно то увидете что-то подобное:

Создание токена

Следующий шаг, это создание токена для управления функциональностью Okta используя REST API.

Выбираем пункт меню Security и подпункт API, после этого выбираем вкладку Tokens, нажимаем кнопку «Create Token», вводим имя токена описывающего ваше приложение и нажимаем еще одну «Create Token» кнопку.

В моём случае он был типа 0051TT-oaWLfFbq2trgppk2D1dJ3vrYykU и вы должны его использовать при API вызовах в заголовке Authorization (замените его на ваш)

Authorization: SSWS 0051TT-oaWLfFbq2trgppk2D1dJ3vrYykU

Сохраните токен в секретное место, используя этот токен, вы сможете программно управлять фактически всеми настройками вашего аккаунта.

Текстовые коды

Для компаний, которые не шлют критичный трафик: пароли для входа в интернет-банк, мобильные приложения, 3D-secure коды, можно рассмотреть варианты отправки кодов в альтернативных каналах. Они уступают SMS и звонкам в скорости и покрытии, но стоят дешевле.

Вконтакте/Одноклассники

Отправка кодов доступна через рассылки Вконтакте. Однако в этом сервисе есть существенные ограничения: человек, которому вы отправляете код должен быть активным пользователем VK, в идеале у него должно быть установлено мобильное приложение. Скорость доставки таких кодов не такая высокая, поэтому пароли во Вконтакте присылают редко.

Коды в Telegram

Telegram рассылки набирают популярность – бизнесу нужна независимая от тарифов сотовых операторов альтернатива смс, которые постоянно дорожают,

В рамках Telegram-рассылок, которые недавно стали доступны пользователям нашего сервиса рассылок i-digital direct, мы проработали кейс с авторизацией с помощью бота. Важный момент: для получения сообщений от бота, пользователь должен на него подписаться и поделиться своим номером телефона, иначе рассылки работать не будут.

Вариантов реализации отправки кода в Telegram два.

Схема требует больше действий от пользователя, чем звонок, но кому-то удобнее иметь текстовый код под рукой, чем слушать и запоминать четыре цифры.

Дополнительные плюсы в телеграм кодах в том, что пользователь подпишется на ваш канал. После подписки вы сможете отправлять ему полезные сервисные уведомления и сокращать затраты на SMS трафик.

Коды в WhatsApp

В 2022 году, когда на рынке появился WhatsApp Business, его начали использовать в том числе для отправки авторизационных кодов. Механика простая: пользователь переходит по ссылке с предустановленной фразой, в ответ бот отправляет ему код авторизации.

Эта схема хорошо работала до тех пор, пока в 2022 году входящие сообщения от пользователей не стали платными. Несмотря на то, что WhatsApp сохранил 1000 бесплатных сессий в месяц, для многопользовательских сервисов этот вариант авторизаций перестал быть привлекательным и экономичным.

Но не все так плохо. На рынке уже существуют сервисы для WhatsApp-рассылок, для работы с которыми не нужно открывать официальный WhatsApp аккаунт и стоят они дешевле. При выборе такого сервиса для отправки кодов и паролей в WhatsApp важно обращать внимание на следующие возможности:

Ограничения у этого метода есть: WhatsApp следит за активностью в таких каналах и может заблокировать аккаунт, в котором количество исходящих сообщений сильно превышает входящие.

Заключение

Пример в данной статье продемонстрировал возможность легкого и бесплатного использования дополнительных факторов аутентификации для вашего приложения с небольшой пользовательской базой (до тысячи активных пользователей в месяц).