安全性を高めるために、アカウントの確認を検討しています。次の2つのオプションがあります。
私にとって、私はSMSアプローチを好みます。これが理由です:
SMS検証を電子メール検証なしで使用することは、ユーザビリティとセキュリティの両方の観点から意味がありますか?
ユーザーが登録を完了するためにSMSメッセージを受信できなかった理由はありますか?
多くの人が電話を使ってサービスにサインアップしています。メッセージにアクセスしてコードをコピーし、それをインターフェイスにドロップする必要がある場合は、電子メールクライアントにアクセスして、表示されたリンクをクリックするよりも時間がかかることがあります。 SMSの方が速いと思っているのは公平ではないと思います。一部の人々(特に年配の人)は、常にスマートフォンを持ち歩かないためです。
機密性の高いサービスがある場合は、理想的には両方メールと電話番号を確認する必要があります。アカウントのセキュリティとデータ収集の品質の両方。電子メール検証の側面は、偽のアカウントを防ぎ、他の人の電子メールアドレスを使用できないようにし、パスワード/ログイン取得システムを有効にし、ユーザーがメールで送信する通信を確実に受信できるようにするための最初の障壁です。ビジネスとしては、質の高いデータが必要です。この種の検証では、メールアドレスが有効であることを確認します。メールが使い捨てかどうかを知る方法はありません...
一般に、番号を確認するよう依頼する正当な理由が必要です。これは、既知の変換キラーであり、プライバシー法の一部となる可能性があるためです。どこにいるかによっては、一般データ保護規則または同等のものにすぐに対処する必要があります。その場合、必要なデータのみを尋ねることがより重要になります。その場合、メールの検証のみが「正当化」されます。これは、ログインの取得に関連付けることができるためです。これは、確認されたセキュリティ上の利点と、すべての検証の煩わしさを比較検討するようなものです。
メールとSMSの両方の登録を提供するのが最適です。一部のユーザーは、世帯の場合(夫婦または家族がアカウントにサインアップし、通信およびトランザクション情報のための共有スペース。)SMSは非常に便利で、モバイル第一世代に好まれています。
「ユーザーが登録を完了するためにSMSメッセージを受信できなかった理由は何かありますか?」
確かに...以下のシナリオを検討してください。
このようなすべてのサービスのサインアップに使用する使い捨てのメールアドレスを使用できるのに、なぜ実際の携帯電話番号を教えなければならないのですか?私の電話番号はあなたが提供するサービスにとって重要ですか?そうでなければ、あなたは私からそれを得ません。
私は##歳を超えているため、まだ固定電話を使用しています。
私は盲目で自分のコンピューターのスクリーンリーダーを使用していますが、Siriでテキストを読み上げる方法はまだわかりません。
私がw/my office landline#を登録したのは、それが私がサービスを使用する場所であり、彼らが料金を支払ったからです。
私は海外で携帯電話を使っていませんが、インターネットにアクセスできます。あなたのサービスを利用するかもしれないビジネス旅行者や旅行者はいますか?
私は田舎に住んでいますが、携帯電話の電波状態は良くありませんが、固定電話とインターネットアクセスがあります。
私は地下の燃料庫または金庫室で働いています。携帯電話が許可されていない軍/政府機関、銀行、その他の業界の従業員がサービスを利用していますか?
私のひどい電話プロバイダーはまだテキストに月額10ドルを請求しているので、それを支払うことはありません。
携帯電話に月額$ 50以上を費やす余裕がない、またはしたくないのですが、無料/公共のwi-fiを使って、サービスへの登録など、あらゆることを喜んで行っています。 (例として、地元の図書館、キャリアセンター、飢えた大学院生をご覧ください)。
ところで、人々は今も常に電話番号を偽造しています-あなたの電話番号とほとんど同じように見える電話番号から詐欺電話を受けていないのですか?
登録の両方のオプションを提供することは、まだ望ましいようです。 SMSを介して登録できるようにします。それが可能で、実際の電話番号を教えてもらえれば#ですが、同様の理由でメール登録/コードも提供します。
サービスの使用中にセキュリティを強化するためにオプトインのSMSベースの2要素認証を提供することもできますが、正当な理由がない限り、それを条件としてサービスを利用しないでください。
私は実際にSMSで確認を求めている多くの銀行、財布、ソーシャルアプリと私の経験を共有します。でもAppleは確認を送信していますSMSがiMessageとFaceTimeをアクティブ化する前に、電話とMacで「ハンドオフ」機能を使用できるようになった後にのみ。
私もSMS通話を接続できない場合でも浸透を観察しました。
したがって、SMSの好みに合わせて、+ 1を追加します
SIMスワッピングは事です。人々は基本的にあなたの電話番号を盗んでいるため、あなたの番号に送信されたSMSメッセージを傍受できます。
電子メールまたはSMSの検証よりも優れたアプローチは、認証アプリを使用することです。 Authyはアカウントをバックアップできるため、電話を変更した場合に、他の一般的な認証アプリのようにすべてのアカウントを手動で再入力する必要がないため、優れています。
まず最初に、ほとんどのトラフィックはどこから来ますか?
モバイルとデスクトップのどちらか高い方の割合があり、そのために最適化します。
それがモバイルからのものである場合、iOSとAndroidの両方に魅力のように機能する自動入力SMS機能があるという事実を無視してはなりません。
デスクトップの場合は、メールとSMSの両方を選択することをお勧めしますが、確認する場所を選択できるようになります。モバイルデバイスが手元にない場合や、コードを手に取って気を散らしたくない場合があります。
これで、SMSの失敗に関する質問に答えることができます。これは、ネットワークがない、SMSの送信サーバーの不具合などのEdgeケースで発生します。メールで確認するか、SMSでコードを再送信するオプションを提供して、失敗を最適化します。
SMSは、OTPを配信するのに便利ですが安全ではありません。国立標準技術研究所(NIST)は、組織に他の形式の2要素認証の使用を促す新しいデジタル認証ガイドライン案を発行しました。ハードウェアトークンまたはソフトウェアトークンを検討しないのはなぜですか?たとえば、Google Authenticator。便利で信頼できます。または、Google認証システムの代わりにハードウェアを使用することもできます。私が働いている会社であるProtectimus Solutionsは、Protectimus Slim NFCを提供しています。標準的なバンキングカードの形式で、インターネットやネットワーク接続は必要ありません。
テキストメッセージを使用した2要素認証(2FA)は、自動登録を行い、ユーザーがさまざまなアクティビティに使用される多くのアカウントを持つのを防ぐための優れた方法です。
登録時のユーザー検証は、サインインプロセスに適しています。このトピックの詳細を知りたい場合は、2FAの特定の側面に関する記事がたくさんあります。ユーザーにテキストメッセージを送信できることの素晴らしい点は、パスワードが何であるかは問題ではないことです。攻撃者がパスワードを「推測」しても、ユーザーのモバイルデバイスに送信されるコードは不明のままです。