WebサイトがSMS=パスワードリセットスキームの一部として使用する場合、なぜユーザーの電話番号を要求するのですか?
たとえば、iCloudでパスワードのリセットを行うと、SMSを送信する前に電話番号の入力を求められます。
多くの人がすでにあなたの電話番号を知っているか、どこかに公に掲載されている可能性があるため、ウェブサイトはなぜこれを行うのですか?それは、ちょっとしたセキュリティを追加するためですか、それともユーザーに気分を良くさせるためですか?
これは、多要素アプローチの続きです。 (サービスが既に保存している)電話番号は簡単に調べることができます。つまり、ユーザー名以外の質問をせずに、SMS回復コードを送信する可能性があります。
しかし、質問すると、サービスは「知っているもの」トークン(通常はパスワードですが、現在は電話番号)トークンをチェックしてから、「持っているもの」トークン(SMSを受信する電話)を検証します。これは、パスワードのリセットでも2要素認証操作であることを意味します。
SMS spam folksへの手段として自動化がサービスを使用するのを防ぐという追加の利点があります(ユーザーに不快感を引き起こし、すべてのSMS送信し、[D] DoSシナリオを設定する可能性があります。SMSメッセージが送信される前に、ユーザー名と電話番号が一致する必要があります。これは効率的な安全です。
まず、SMSは、まったくセキュリティがないよりも優れています。これを確認してください なぜSMS for two要素認証(および代わりに何を使用するか) 記事は、前述のコントロールを適切に配置することの長所と短所を説明しています。
ランダムな人物がパスワードをリセットしようとする際の難易度を上げるために使用されていると思います。この攻撃者はユーザー名と電話番号を知っている必要があり、ほとんどの攻撃者は両方を持っているわけではありません。