En los últimos años, el número de móvil se ha convertido en un factor importante para la autenticación y, por lo tanto, cada vez más empresas emplean métodos para capturar los números de móvil de sus usuarios mediante SMS.
En un escenario típico;
- la GUI con la que el usuario está interactuando (ya sea un sitio web o una aplicación) le solicita al usuario que ingrese su número de teléfono móvil
- entonces el servidor genera un token y
- envía ese token al número de móvil proporcionado
- luego, el usuario debe cambiar a una nueva GUI, por ejemplo, si la GUI original es un sitio web, el usuario debe cambiar a su dispositivo móvil para encontrar el mensaje recibido en la bandeja de entrada de SMS. es lo mismo si el usuario estaba originalmente en una aplicación. en ese caso, el usuario debe cambiar a la aplicación de administrador de SMS en su teléfono inteligente
- el usuario entonces, debe copiar o memorizar el token recibido a
- entonces el usuario debe volver a la GUI original y
- ingrese el token copiado o memorizado en el sitio web o aplicación original y
- presiona una tecla (por ejemplo) y
- esperar a que el servidor procese el token ingresado
- al final, el servidor valida el token ingresado y si es correcto, entonces autoriza ese número móvil y puede configurarlo como un medio de autenticación para el usuario y
- finalmente el resultado se muestra en la GUI
este es un escenario típico que la mayoría de las empresas de TI conocidas (como Google, Facebook y otros) utilizan para autorizar a sus usuarios.
ahora asume otro escenario,
- la GUI con la que el usuario está interactuando (ya sea un sitio web o una aplicación) le solicita al usuario que ingrese su número de teléfono móvil
- entonces el servidor genera un token y
- muestra el token para el usuario en la misma GUI y le pide que lo envíe a un número específico (Número de Centro de Mensajería del Servidor = SMCN) usando el número de teléfono móvil ingresado por el usuario.
- el usuario puede tener que copiar o memorizar el token mostrado,
- entonces el usuario debe cambiar a una nueva GUI, por ejemplo, si la GUI original es un sitio web, el usuario debe cambiar a su dispositivo móvil para escribir el token y enviarlo a SMCN. es lo mismo si el usuario estaba originalmente en una aplicación. en ese caso, el usuario debe cambiar a la aplicación de administrador de SMS en su teléfono inteligente para enviar el token. sin embargo, en este caso, la aplicación puede emplear la API de programación de dispositivos inteligentes para llamar a SMS Launcher y rellenar previamente la dirección y el contenido del mensaje en nombre del usuario.
- el usuario simplemente envía el mensaje a SMCN,
- entonces el usuario debe volver a la GUI original y
- presiona una tecla para declarar que el token se ha enviado al servidor y
- esperar a que el servidor procese el token ingresado
- al final, el servidor valida el token ingresado y si es correcto, entonces autoriza ese número móvil y puede configurarlo como un medio de autenticación para el usuario y
- finalmente el resultado se muestra en la GUI
ahora la pregunta es, ¿qué método es mejor en términos de seguridad y otros factores si hay alguno?
EDITED:
He actualizado la pregunta basada en @Andre edit y respondo para una mejor comprensión,
En primer lugar, ambos métodos pueden usarse tanto en la autenticación como en la autorización. En el caso de que alguien haya iniciado sesión en su cuenta de Banca por Internet y quiera transferir dinero, aquí se pueden usar los métodos mencionados para autorizar al usuario y otorgarle la transferencia de dinero o no.
En segundo lugar, concentrémonos en comparar estos dos métodos y no en hablar del inconveniente de usar SMS en los procesos de autenticación y autenticación.
Tercero, comparar dos alternativas, (como dije antes) en ambos casos, los usuarios tienen que memorizar o copiar algo, luego dejar un entorno para otro y escribirlo o pegarlo. Por lo tanto, parece que, en términos de usabilidad, ambos métodos son iguales; como en el método uno, el usuario debe escribir algo recibido en SMS en la GUI original y en el método dos, el usuario debe escribir algo visto en la GUI original en SMS enviar | recibir GUI. Por lo tanto, en ambos casos, el usuario puede cometer un error.