¿Se pueden usar los mensajes de texto SMS para verificar la identidad única de una persona a través de un sistema de código corto?

4

Realizamos concursos en línea y queremos erradicar las trampas (sí, a la derecha), o al menos mitigarlas. He hecho la pregunta sobre la experiencia del usuario aquí: enlace .

Ahora quiero saber acerca de la viabilidad de mi premisa original: las personas generalmente solo tienen acceso a un número de teléfono que puede recibir mensajes SMS; no pueden crear numerosos números viables sobre la marcha. ¿Es esto cierto?

Antecedentes: entiendo que Google Voice y Gmail permiten a los usuarios enviar / recibir mensajes de texto a través de los números que Google asigna. En el caso de Gmail, no puede recibir mensajes de texto de un número al que no haya enviado anteriormente; el remitente externo solo recibe un error Y, en general, Google no reconoce actualmente los códigos cortos como válidos, por lo que simplemente no puede enviarlos. Por lo tanto, la "viabilidad" de un número para nosotros significa que se puede utilizar con nuestro sistema de código corto.

    
pregunta Taj Moore 11.01.2012 - 21:23
fuente

4 respuestas

6

Piense en el hecho de que puede comprar móviles "desechables" que incluyen tarjetas SIM. Comprar 100 teléfonos y con eso 100 números realmente no sería un problema. De hecho, comenzó a convertirse en una de las cosas más molestas en Alemania desde el año pasado: los spammers compran cientos de móviles y (ab) los utilizan para detectar SMS de spam.

Mirando tu pregunta, necesitas saber que la verificación de SMS es algo así como la verificación de correo electrónico. Lo único que hace que las verificaciones de SMS sean "un poco más útiles" que las verificaciones de correo electrónico regulares es que, como usted mismo lo indicó, es más fácil crear una docena de correos electrónicos "sobre la marcha" . Sin embargo, si es lo suficientemente interesante como para hacerlo, puedes apostar que las personas comenzarán a tratar de hacer trampa simplemente organizando un camión de móviles con tarjetas SIM individuales y números de teléfono.

Entonces, para resumirlo en una respuesta simple:

Es cierto que nadie (excepto las empresas proveedoras de teléfonos) puede crear números de teléfono "sobre la marcha" . Pero es fácil comprar varios teléfonos móviles (desechables / una vez / lo que sea que llamen en su país) y usar / abusar de esos números telefónicos.

Al final, debes pensar como "ellos" y decidir si valdría la pena invertir dinero para móviles y SIMS solo para pasar la verificación de SMS. En la mayoría de los casos, no es ... pero en algunos casos, lo es.

Siempre y cuando no esperes demasiado de una verificación por SMS y solo con el objetivo de "algo mejor que la verificación por correo electrónico", estarás más que bien con la verificación por SMS.

    
respondido por el user6373 11.01.2012 - 22:32
fuente
3

Quiero decir ... depende de a qué te refieres al verificar "identidad única". Es bastante fácil recoger un Tracfone et al. y algunas tarjetas SIM y muchas identidades, lo que realmente no es diferente de si Google Voice fuera una solución viable.

Pero incluso si no hay otras soluciones gratuitas de SMS basadas en la web que pueden no tener las mismas restricciones vigentes que Google.

    
respondido por el doyler 11.01.2012 - 21:40
fuente
3

Según lo indicado en otra parte, el número se relaciona con la tarjeta SIM, no con el teléfono, por lo que no es costoso adquirir varios números de teléfono. De hecho, muchos operadores realmente regalarán tarjetas SIM con pago previo, y si su modelo se basa en un texto MT, un atacante ni siquiera tiene que acreditar la cuenta, solo tiene que activar la SIM.

Otra forma de subvertir su metodología es que el enrutamiento al móvil solo se basa en los primeros N dígitos de un número de teléfono (que varía según el país y según el prefijo de marcación), por lo que si el usuario tiene un número de teléfono de (usando Formato del Reino Unido) 07012345678 (según el enrutamiento entre el origen y la terminación) pueden recibir mensajes enviados al 070123456781, 070123456782, 070123456783 ...

OTOH es bastante difícil falsificar el número de suscriptor en un MO SMS (es decir, enviado DESDE en lugar de EN EL teléfono). Por lo tanto, si sus clientes votan por SMS, es mucho más difícil comprometerse y agregar gastos generales adicionales a cualquiera que intente subvertir el sistema, ya que hay un costo para cada SIM / número de suscriptor

    
respondido por el symcbean 13.01.2012 - 14:24
fuente
2

Depende de lo que intenta proteger si los números móviles son lo suficientemente fuertes. Si fuera algún tipo de encuesta o juego sin ganancia financiera, los SMS serían suficientes, diría yo. Sin embargo, si un atacante tiene más que ganar, yo diría que SMS no es suficiente. Desafortunadamente, en tal caso, resolverlo y mantenerlo utilizable es todo un desafío.

En tal caso, debe comenzar a trabajar con tarjetas de crédito, números de seguro social y otras cosas donde las personas deben tener solo una. Pero una vez más, si te enfrentas a criminales, incluso con eso vas a tener un momento difícil.

    
respondido por el Henri 11.01.2012 - 22:42
fuente

Lea otras preguntas en las etiquetas