Как защитится от растраты денег злоумышленником при смс авторизации?

Question

vacoo @vacoo

Как защитится от растраты денег злоумышленником при смс авторизации?

Хочу сделать авторизацию через смс для своего сервиса. Но есть такая ситуация что конкуренты растрачивают все деньги рассылая направо налево смс с кодом. И обычные пользователи не могут зарегистрироваться. по IP блокировать не могу ибо в моем городе все подключены к одному провайдеру где количество IP ограничено. Какие есть способы защитится от этого?

Вопрос задан более трёх лет назад
112 просмотров

7 комментариев

Подписаться 1 Простой 7 комментариев

Moskus @Moskus

Можно прекратить заниматься ерундой и не делать авторизацию по SMS. Вариантов авторизации - множество.

Написано более трёх лет назад
dollar @dollar

Сделайте авторизацию через email для всех.

Написано более трёх лет назад
vacoo @vacoo Автор вопроса

Moskus, +. Да можно но SMS самый понятный и быстрый вид авторизации. Как раз для Бабушек и Дедушек

Написано более трёх лет назад
vacoo @vacoo Автор вопроса

dollar, у моих пользователей не у всех на руках email. У Бабушки или Дедушки вряд ли есть email

Написано более трёх лет назад
Moskus @Moskus

vacoo, вы случайно пожилым гражданам, которые ничерта не понимают в технике, какую-нибудь хрень сами не продаете (откуда бы у вас тогда еще и столь нечестные конкуренты)?

Написано более трёх лет назад
vacoo @vacoo Автор вопроса

Moskus, нее)) это сервис для обычных обывателей. Просто среди них Бабушек много

Написано более трёх лет назад
АртемЪ @Jump

vacoo, Ну вам же все равно у этих бабушек нужно сначала спросить разрешение отправлять им СМС.
Каким образом вы это делаете?

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Системное администрирование

+1 ещё

Средний
Как называется плата которая ставится между карт ридером и смарт картой, для логирования данных?
- 1 подписчик
- 11 апр.
- 114 просмотров
1

ответ
ASP.NET

+3 ещё

Средний
Как сделать редирект на refresh-token когда получаю AuthenticationFailed на asp.net core web api?
- 1 подписчик
- 26 мар.
- 80 просмотров
2

ответа
Идентификация пользователей

+2 ещё

Средний
Что использовать для распознавания диктора?
- 1 подписчик
- 19 мар.
- 31 просмотр
0

ответов
Node.js

+3 ещё

Сложный
Как настроить авторизацию на Freeradius для captive portal с разделением на user и admin?
- 1 подписчик
- 15 мар.
- 45 просмотров
0

ответов
Apache HTTP Server

+1 ещё

Простой
Как задать ограничение одному пользователю в basic auth?
- 1 подписчик
- 09 мар.
- 29 просмотров
0

ответов
WordPress

+1 ещё

Средний
Как сделать раздельную регистрацию на WordPress?
- 1 подписчик
- 07 мар.
- 70 просмотров
1

ответ
Идентификация пользователей

Средний
Как реализовать сквозную авторизацию?
- 2 подписчика
- 17 февр.
- 199 просмотров
2

ответа
Java

+1 ещё

Простой
Как правильно реализовать аунтификацию пользователя?
- 3 подписчика
- 02 февр.
- 1039 просмотров
0

ответов
Защита от взлома

Средний
Чтоб защитить туннель от взлома, нужно думать как взломщик?
- 1 подписчик
- 31 янв.
- 142 просмотра
1

ответ
Ubuntu

+1 ещё

Простой
Почему Ubuntu не фиксит уязвимость в RoundCube с октября?
- 1 подписчик
- 29 янв.
- 133 просмотра
0

ответов
Показать ещё Загружается…

Senior ML Engineer (Computer Vision)

Gradient

от 450 000 ₽

Оператор 1-я, 2-я линия техподдержки(поддержка клиентов)

MYRTEX

от 40 000 ₽

Разработчик Vue.js

Кортекс

от 60 000 до 100 000 ₽

Разработать заготовку мультиплатформенного десктопного приложения

18 апр. 2024, в 17:30

80000 руб./за проект

Лабораторная работа по информатике не языке С++

18 апр. 2024, в 17:24

2000 руб./за проект

Внести ряд корректив на сайте c Bitrix

18 апр. 2024, в 17:20

3000 руб./за проект

Можно прекратить заниматься ерундой и не делать авторизацию по SMS. Вариантов авторизации - множество.
Сделайте авторизацию через email для всех.
Moskus, +. Да можно но SMS самый понятный и быстрый вид авторизации. Как раз для Бабушек и Дедушек
dollar, у моих пользователей не у всех на руках email. У Бабушки или Дедушки вряд ли есть email
vacoo, вы случайно пожилым гражданам, которые ничерта не понимают в технике, какую-нибудь хрень сами не продаете (откуда бы у вас тогда еще и столь нечестные конкуренты)?
Moskus, нее)) это сервис для обычных обывателей. Просто среди них Бабушек много
vacoo, Ну вам же все равно у этих бабушек нужно сначала спросить разрешение отправлять им СМС.
Каким образом вы это делаете?

Answer 1 · 2018-09-02 14:21:27

Как защитится от растраты денег злоумышленником при смс авторизации?

Элементарно.
Перед авторизацией проводить аутентификацию, в результате СМС будет рассылаться только зарегистрированным пользователям.

Зарегистрированный пользователь проходит аутентификацию например с помощью логина и пароля, и в случае успеха дополнительно по SMS.

Так же можно анализировать рассылки SMS - ставить таймауты при большом количестве запросов. Но это легко обходится либо создает проблемы обычным пользователям.

Судя по всему большинство ваших пользователей живут в вашем городе - ставьте таймаут побольше для тех кто приходит из других регионов - разные прокси, VPN и ноды тора.

Answer 2 · 2018-09-03 03:31:45

Единственно что вы можете ограничить, это запрет отправки смс на номер уже зарегистрированного аккаунта, делать задержки. Но каждая попытка злоумышленника войти под существующем номераом будет слать смс владельцу аккаунта и очень скоро это не вас, а пользователей начнет беспокоить. Подключите ЕСИА. Соответственно ботнет за 10$ или простой burp suit вам доставить очень много проблем из-за поделки пакетов, либо множественной регистрации и последующей отправки смс от ботов. Если конечно кто-то вами заинтересуется. А так начните с сайта:
https://www.owasp.org/index.php/Authentication_Che...

Как защитится от растраты денег злоумышленником при смс авторизации?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт