Безопасность входа только по номеру телефона плюс СМС код

Question

Я создаю кроссплатформенное приложение и использую PHP и MySQLi. Пользователи регистрируются с помощью своей учетной записи Facebook или номера телефона. Если они выбирают номер телефона, они вводят свой номер, и отправляется SMS с кодом подтверждения. Пользователь вводит код, и токен API отправляется обратно для использования в запросах API. Так работает Tinder (например).

Я рассматриваю Twilio для проверки.

Моя проблема сводится к безопасности этого процесса входа в систему. Может ли злоумышленник просто быстро запустить запрос на вход, который создает проверочный код снова и снова ... отправляя много SMS и стоив мне целого состояния на моей учетной записи Twilio? Должен ли я позволять только такое количество попыток? Может ли бот со временем угадать код?

Какова безопасность API Tinder?

Answer 1

Здесь проповедник разработчиков Twilio.

Я согласен со всем, что говорит Шалиор в своем ответе, поэтому я не собираюсь повторять это.

Я хотел поделиться этим статья о лжи программистов о телефонных номерах . Это хорошее напоминание о том, что номера телефонов не обязательно однозначно определяют пользователя, и стоит помнить о том, что вы намерены ввести в систему без пароля.

Answer 2

на что следует обратить внимание:

1- запрос лимита на номер телефона

2- запрос лимита на пользователя (по ip)

3- использовать капчу (только через секунду) пытается сделать ваше приложение удобным для пользователя)

4- использовать приманки

"может ли бот угадать код?" коды подтверждения должны иметь временные ограничения. примерно через 2 минуты они должны быть недействительными. временные ограничения и ограничение запросов должны сделать очень маловероятным, чтобы бот угадал код.

если вы используете laravel, у него уже есть промежуточное ПО с ограничением скорости (ограничение по IP).