Estoy desarrollando un servicio basado en la web en el que los usuarios deben validar su teléfono móvil (mediante un código enviado a su número de móvil a través de SMS) y un correo electrónico (mediante un enlace de verificación). Actualmente utilizo el método de limitación de tiempo para evitar el envío de más de un SMS o correo electrónico en un período específico. Pero los usuarios pueden cambiar estos dos factores de seguridad cuando lo deseen y, al cambiarlos, su límite de tiempo también se restablecerá.
Un pirata informático puede automatizar este proceso (ya que no quiero usar captcha en el panel del usuario) y nos obliga a enviar muchos SMS. ¿Cómo puedo prevenirlo? Una idea es bloquear a los usuarios para que no cambien esta información demasiado rápido, pero no sé si es la mejor manera o no, ya que los usuarios pueden rellenar estas informaciones de manera incorrecta y desear cambiarlas al instante.