Question:
Pourquoi les applications avec vérification par téléphone envoient-elles un message à l'utilisateur plutôt que de lui en envoyer un?
George Green
2018-09-17 19:51:25 UTC
view on stackexchange narkive permalink

De nombreuses applications permettent à l'utilisateur de s'authentifier avec son numéro de téléphone, en le faisant entrer, puis en envoyant un SMS avec un code à saisir dans l'application. Très peu (le cas échéant que je trouve encore actif), présentez simplement l'interface SMS et demandez à l'utilisateur d'envoyer un SMS avec un code de vérification au serveur. Je peux penser à quelques raisons à cela, mais aucune ne semble vraiment l'exclure pour moi:

  • L'envoi d'un SMS pourrait coûter à l'utilisateur, et sans avoir de numéros locaux pour chaque pays, il pourrait coûter un montant important
  • Un utilisateur peut vouloir se connecter sur un appareil qui ne dispose pas de capacités SMS, mais peut se faire envoyer le SMS sur son téléphone à la place [iPod / Tablette, etc.] (cela peut être atténuée en permettant à l'utilisateur d'utiliser à la fois les appels entrants ou sortants pour la vérification en fonction des capacités de l'appareil)
  • Les utilisateurs sont très familiers avec l'interface de réception d'autres applications de grande renommée et peuvent donc se sentir plus en sécurité
  • L'envoi de SMS semble-t-il "douteux" un peu comme des escroqueries à l'ancienne qui vous demandent d'envoyer un message à un numéro?
  • Ce n'est pas compatible avec une version Web de bureau du produit

Rien de tout cela ne semble être une vraie raison de ne pas le faire, mais pour une raison quelconque, les grands noms comme WhatsApp, SnapChat, Facebook, etc. semblent tous l'éviter. Quelqu'un peut-il penser à des raisons majeures de ne pas le faire, ou avoir des idées sur les raisons pour lesquelles ce n'est pas plus courant?

Le point n'est-il pas généralement de vérifier que la personne qui accède au compte possède bien le numéro de téléphone associé à son compte?Si tel est le cas, un utilisateur qui envoie un message est moins sécurisé car le numéro source est très peu usurpable dans de nombreux cas
La vérification par SMS est de toute façon obsolète.Devrait être abandonné par les applications.Voir aussi https://www.schneier.com/blog/archives/2016/08/nist_is_no_long.html
Certaines applications exigent en fait que vous envoyiez des messages SMS.En fait, je n'avais jamais vu cela jusqu'à mon récent voyage aux États-Unis, où plusieurs actions, y compris l'inscription à Curb (taxis à New York) et l'obtention d'informations de suivi de l'USPS et UPS, m'ont envoyé des messages SMS à partir de codes courts, puis m'ont obligé à répondre.à eux, ce qui n'est apparemment pas possible sur mon transporteur (Lycamobile).
Depuis l'Allemagne, je devais payer 1,59 € / 1,86 $ pour un SMS vers les États-Unis (et presque tous les autres pays non européens), ce qui m'empêchait souvent de m'inscrire à un service.(Surtout si c'est à des fins de test.)
@usr-local-ΕΨΗΕΛΩΝ SMS est souvent utilisé pour tenter de limiter le spam car il n'est pas très facile d'obtenir beaucoup de numéros de téléphone comme c'est le cas pour les adresses e-mail.
Six réponses:
#1
+80
Mike Scott
2018-09-17 19:57:22 UTC
view on stackexchange narkive permalink

Il est assez facile d ' envoyer un message SMS qui semble provenir du numéro de téléphone de votre choix sans vraiment contrôler ce numéro. Ainsi, l'envoi d'un SMS à partir d'un numéro ne vérifie pas votre identifiant de la même manière que la réception d'un SMS vers un numéro.

Une autre raison est la convivialité.Envoyer un SMS à un nouveau numéro est plus compliqué et bien plus sujet aux erreurs que d'en recevoir un et d'en obtenir un code court.Les utilisateurs doivent également se méfier à juste titre de laisser des applications aléatoires envoyer des SMS, donc automatiser l'envoi de SMS n'est pas une bonne idée.
Je serais également préoccupé par le fait que je sois détourné et que je m'abonne / paie involontairement pour un service de SMS premium.
Malheureusement, il n'est pas très difficile d'envoyer un faux sms à partir de numéros arbitraires sur certains transporteurs: (Intercepter l'utilisateur qui reçoit un message nécessite au moins d'être près de la personne physiquement pour intercepter facilement.
#2
+19
Rohan Kandwal
2018-09-18 02:34:59 UTC
view on stackexchange narkive permalink

Comme personne ne l'a mentionné, l'envoi de SMS (par client) coûte de l'argent, au moins dans les pays en développement. En outre, le serveur de validation peut être dans un pays différent. Personnellement, je ne veux pas envoyer de SMS coûteux aux États-Unis depuis le Japon. Étant donné que le serveur envoie des SMS via des fournisseurs de SMS tiers, ils n'ont pas à faire face à ce coût par SMS.

De plus, il est généralement impossible de dire à l'avance combien coûterait un SMS à un certain nombre.Les numéros «Premium» peuvent facturer un montant presque arbitrairement élevé pour les SMS qui leur sont envoyés en plus des coûts de l'opérateur.Par conséquent, "envoyez-nous un SMS" est monnaie courante pour les escroqueries.
#3
  0
user121968
2018-09-18 09:34:14 UTC
view on stackexchange narkive permalink

Le but de la vérification des SMS est de confirmer la possession de votre téléphone, pas de vous faire contacter.

L'authentification à deux facteurs nécessite généralement quelque chose que vous savez (un mot de passe ) et quelque chose que vous avez (une clé de sécurité, un dongle ou votre téléphone portable, etc.).

L'idée est que même si un escroc dans une région éloignée compromettait votre mot de passe, ils ne pourraient pas vous voler physiquement le téléphone.

Peu importe qui envoie le message.

#4
  0
vidarlo
2018-09-18 10:36:14 UTC
view on stackexchange narkive permalink

Comme le reste a été abordé, je me concentrerai sur un petit point:

L'envoi d'un SMS pourrait coûter à l'utilisateur, et sans avoir de numéros locaux pour chaque pays, cela pourrait coûter beaucoup montant

Ce n'est pas ainsi que l'envoi de SMS fonctionne. Vous n'avez généralement pas de numéro. Vous utilisez un fournisseur, tel que clickatell.com. Le vous donne une API, que vous pouvez utiliser pour envoyer des messages texte. Le coût réel dépend généralement du pays, les pays développés étant généralement moins chers - mais pas de leur proximité avec vous.

Vous pouvez généralement choisir librement l'expéditeur que vous avez indiqué avec ces services, et cela inclut les expéditeurs alphanumériques familiers, tels que Google. Comme vous ne vous attendez jamais à une réponse aux messages 2FA, vous ne voulez pas vraiment de numéro.

Ah, c'est en fait l'inverse de ce à quoi je pensais.Si nous voulions que l'utilisateur nous envoie le SMS, nous aurions besoin d'un numéro pour le recevoir, et s'il ne s'agit pas d'un numéro local pour l'utilisateur, cela coûtera probablement cher.
#5
  0
Kolappan N
2018-09-18 10:59:37 UTC
view on stackexchange narkive permalink

De manière générale, l'envoi de SMS à l'utilisateur facilite la tâche du client. Et toutes les entreprises souhaitent faciliter les choses pour leurs clients . Considérez les cas suivants:

  1. Il est plus facile de saisir un code de 4 à 8 chiffres (principalement) que de saisir un texte et le numéro de mobile du destinataire dans l'application SMS et de l'envoyer.
  2. Dans endroits où la double carte SIM est plus importante, un utilisateur peut / peut ne pas avoir un pack SMS sur le numéro de mobile enregistré auprès du service.
  3. Certains opérateurs de téléphonie mobile désactivent les appels ISD et les SMS internationaux par défaut et les activent uniquement sur demande . Si l'utilisateur utilise le service de cet opérateur et que vous avez un service international, vous risquez de perdre un client.
  4. De nombreuses personnes âgées peuvent lire facilement les SMS mais ont du mal à les envoyer (ma grand-mère le fait).
  5. Comme vous l'avez mentionné dans votre question, l'envoi de SMS coûte de l'argent.
#6
-3
Sayan
2018-09-18 06:35:04 UTC
view on stackexchange narkive permalink

En ajoutant à la réponse de Mike, ci-dessous pourrait être une autre raison pour ne pas envoyer de SMS d'un utilisateur à un serveur.

En faisant cela, vous ouvrez l '«Interface entrante» de votre serveur et acceptez la connexion de non approuvé réseau. Cela peut me sembler un risque élevé par rapport à l'envoi de SMS depuis un serveur, où vous n'ouvrez que «l'interface sortante».



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...