Найти ботов в СМС регистрации и верификации

Question

Я внедряю систему регистрации SMS для моего проекта Django. Как WhatsApp или мессенджер Telegram, пользователи могут зарегистрироваться и войти только с мобильного номера. и код OTP.

Но я обнаружил проблему в своем приложении.

когда пользователь вводит свой номер, мое приложение отправляет пользователю OTP с помощью SMS. он не может запросить новый OTP с SMS менее чем за 3 минуты. и пользователь может запросить всего 10 OTP с SMS в день. но если хакер напишет бота, чтобы ввести другой номер мобильного телефона, мое приложение не сможет обнаружить это.

например, бот, имеющий словарь из 10000 мобильных номеров, вводите эти цифры по одному. мое приложение просто отправляет OTP с смс на 10000 другой номер мобильного телефона. и мне придется заплатить много за моего поставщика услуг SMS.

как я могу предотвратить эту проблему? как мессенджеры, такие как Whatsapp, решают эту проблему?

Answer 1

Есть несколько способов предотвратить спам в ботах.Вы можете использовать капчу, например recaptcha из Google, или если вам не нужен видимый ввод, вы можете взглянуть на подход honypot (добавьте поле, скрытое для обычных пользователей с помощью css / js, которое заполнит боты, если ввод заполнен, игнорируйте форму).

Другая вещь, которую вы могли бы сделать, это ограничить скорость на странице регистрации / входа в систему, есть приложение Django, которое предоставляет https://github.com/jsocol/django-ratelimit.