¿Por qué las aplicaciones con verificación telefónica le envían un mensaje al usuario, en lugar de que el usuario le envíe uno?

Navega tus respuestas
25

Muchas aplicaciones permiten al usuario autenticarse con su número de teléfono, al hacer que el usuario lo ingrese y luego enviar un SMS con un código para ingresar a la aplicación. Muy pocos (si hay alguno que pueda encontrar todavía activo), simplemente presente la interfaz de SMS y pida al usuario que envíe un SMS con un código de verificación al servidor. Puedo pensar en algunas razones para esto, pero ninguna que realmente parezca descartarlo:

  • El envío de un SMS podría costarle al usuario, y sin tener números locales para cada país, podría costar una cantidad significativa
  • Es posible que un usuario desee iniciar sesión en un dispositivo que no tenga capacidades de SMS, pero puede recibir el SMS en su teléfono [iPod / tableta, etc.] (esto podría mitigarse al permitir que el usuario use ambos o saliente para verificación dependiendo de las capacidades del dispositivo)
  • Los usuarios están muy familiarizados con la interfaz de recepción de otras aplicaciones de renombre, por lo que puede sentirse más seguro
  • ¿El envío de un SMS parece "poco fiable" como las estafas de la vieja escuela que te piden que envíes un mensaje a un número?
  • No es compatible con una versión web de escritorio del producto

Ninguno de estos parece ser una razón real para no hacerlo, pero por alguna razón, los grandes nombres como WhatsApp, SnapChat, Facebook, etc., parecen evitarlo. ¿Alguien puede pensar en alguna de las razones principales para no hacer esto o tener alguna idea de por qué no es más común?

    
pregunta George Green 17.09.2018 - 16:51
fuente

6 respuestas

81

Es muy fácil enviar un mensaje SMS que parece provenir del número de teléfono de su elección sin realmente controlarlo número. Y así, el envío de un SMS desde un número no verifica su identificación de la misma manera que recibe un SMS a un número.

    
respondido por el Mike Scott 17.09.2018 - 16:57
fuente
19

Como nadie lo ha mencionado, el envío de SMS (por cliente) cuesta dinero, al menos en los países en desarrollo. Además el servidor de validación puede estar en un país diferente. Personalmente, no quiero enviar un SMS costoso a Estados Unidos desde Japón. Dado que el servidor envía SMS a través de proveedores de SMS de terceros, no tienen que enfrentar ese costo por SMS.

    
respondido por el Rohan Kandwal 17.09.2018 - 23:34
fuente
0

El punto de verificación de mensaje de texto es para confirmar la posesión de su teléfono, no para que haga contacto.

La autenticación de dos factores generalmente requiere algo que sepa (una contraseña) y algo que tenga (una clave de seguridad, un dongle o su teléfono celular, etc.).

La idea es que incluso si un estafador en un área remota comprometa su contraseña, no podrá robarle físicamente el teléfono.

En realidad, no importa quién envía el mensaje.

    
respondido por el user121968 18.09.2018 - 06:34
fuente
0

Como ya se ha tratado el resto, me centraré en un pequeño punto:

  

El envío de un SMS podría costarle al usuario, y sin tener números locales para cada país, podría costar una cantidad significativa

No es así como funciona el envío de SMS. Normalmente no tienes un número. Utiliza un proveedor, como clickatell.com. Te dan una API, que puedes usar para enviar mensajes de texto. El costo real generalmente depende del país, y los países desarrollados generalmente son más baratos, pero no de lo cerca que están de usted.

Por lo general, puede elegir el remitente que se muestra libremente con dichos servicios, y esto incluye a los remitentes alfanuméricos conocidos, como Google. Como nunca esperas una respuesta a los mensajes 2FA, realmente no quieres un número.

    
respondido por el vidarlo 18.09.2018 - 07:36
fuente
0

En general, el envío de SMS al usuario hace que sea más fácil para el cliente. Y todas las empresas quieren facilitar las cosas a sus clientes . Considere los siguientes casos:

  1. Ingresar un código de 4 a 8 dígitos (en su mayoría) es más fácil que ingresar un texto y un número de teléfono móvil del destinatario en la aplicación de SMS y enviarlo.
  2. En lugares donde el simulador dual es más prominente, un usuario puede / no tener un paquete de SMS en el número de teléfono móvil registrado con el servicio.
  3. Algunos operadores de telefonía móvil deshabilitan las llamadas ISD y los SMS internacionales de forma predeterminada y los activan solo a pedido. Si el usuario utiliza el servicio de ese operador y usted tiene un servicio internacional, es posible que pierda un cliente.
  4. Muchas personas mayores pueden leer SMS fácilmente pero tienen dificultades para enviarlos (mi abuela lo hace).
  5. Como mencionó en su pregunta, el envío de SMS cuesta dinero.
respondido por el Kolappan Nathan 18.09.2018 - 07:59
fuente
-3

Agregando a la respuesta de Mike, a continuación podría haber otra razón para no enviar SMS del usuario al servidor.

Al hacer esto, está abriendo la 'Interfaz de entrada' de su servidor y aceptando la conexión de una red que no es de confianza. Esto puede ser de alto riesgo que enviar SMS desde el servidor, donde solo abre la 'Interfaz de salida'.

    
respondido por el Sayan 18.09.2018 - 03:35
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede un atacante usar una clave privada filtrada? ¿Cuál es el propósito? Intentos extraños de inicio de sesión "sshd [***] Recibido desconectado de **. **. **. **: 11: Bye Bye [preauth]"