web-dev-qa-db-ja.com

電話番号ベースの認証/ログインシステムでの番号変更に対処する

Twitter Digits( https://get.fabric.io/digits )は、モバイルアプリや他のいくつかのモバイルアプリ(Square Cashなど)の電話番号に基づく認証/ログインシステムを提供します https://squareup.com/help/us/en/article/5187-about-square-cash )にも同じ機能があります。

このタイプの認証の問題は、一部の既存のユーザーが電話番号を変更して放棄し、古い番号が他のユーザー(アプリのユーザーであるかどうかに関係なく)に割り当てられるとどうなるかということです。

その時点でシステムに登録されている電話番号を所有している人は誰でも、アプリのユーザーとしてその番号の以前の所有者のアカウントにアクセスできるため、これはセキュリティリスクをもたらします。そして、Digits(またはそのような認証方法のプロバイダー)がこの問題を解決することはないようです。なぜなら、電話番号の現在の所有者が実際に、そもそも同じ数。

同時に、送金アプリ(Square Cash)も同じ手法を使っているので、問題を解決できる信頼できる手法があるかと思います。

推測は?

6
MLister

はい、ログインが電話番号のみに基づいている場合、携帯電話番号の新しい所有者はアプリをインストールして、その電話番号の古い所有者のアカウントにアクセスできます。

解決策は、パスワード/秘密鍵(ユーザーが知っている情報のみ)を入力するステップを追加することです。

また、ユーザーは秘密鍵を使用して新しい電話番号に移行できる必要があります。

Digitsは上記の2つの変更を実装しました:- http://get.digits.com/blog/launching-voice-verification-and-change-phone-number - https:// www .digits.com/settings

まだ問題が1つ残っています。電話番号の古い所有者はDigits.comにログインして、新しい番号に移行するか、自分のアカウントを無効にすることができます。

彼が非アクティブ化した場合、電話番号を解放して、電話番号の新しい所有者(または、その番号を引き続き所有している場合は同じユーザー)がそれを使用して登録できるようにする必要があります。しかし、ユーザーが自分の番号を無効にしなかった場合はどうなりますか?アプリで使用するために番号の新しい所有者に対して番号がブロックされます

2
Shashank