web-dev-qa-db-fra.com

Vérification d'un compte avec SMS par opposition à l'adresse e-mail

Afin d'être plus sûr, nous examinons la vérification des comptes. Les deux options sont:

  1. Vérification de l'adresse e-mail (demander à l'utilisateur de cliquer sur un lien dans un e-mail envoyé à son compte pour vérifier le compte)
  2. Vérification par SMS (Demander à l'utilisateur de saisir 4 numéros envoyés sur son mobile dans un formulaire à l'écran)

Pour moi, je préfère de loin l'approche SMS. Voici pourquoi:

  • Je n'ai pas à quitter l'interface.
  • C'est plus rapide que d'ouvrir/authentifier votre client de messagerie.
  • Du point de vue de la sécurité, il est beaucoup plus difficile de créer un "faux" numéro de téléphone que de "faux" compte de messagerie.
  • Si j'utilise un ordinateur portable, lors de la vérification par e-mail, j'utilise généralement mon téléphone pour ouvrir l'e-mail et cliquer sur le lien. Ensuite, je dois retourner sur l'ordinateur portable et rafraîchir ou naviguer quelque part.

Est-ce que l'utilisation de la vérification SMS sans vérification par e-mail est logique du point de vue de la convivialité et de la sécurité?

Existe-t-il des raisons valables pour lesquelles un utilisateur n'a pas pu recevoir un message SMS afin de terminer son inscription?

securityauthenticationsmsemail-verification
5
Mitch

Beaucoup de gens utilisent leur téléphone pour s'inscrire aux services. Devoir aller à vos messages pour copier le code puis le déposer dans l'interface peut être plus lent que de simplement aller dans votre client de messagerie et de cliquer sur le lien fourni. Je ne pense pas qu'il soit juste de supposer SMS est plus rapide, car certaines personnes ne portent pas toujours un smartphone sur elles-mêmes (en particulier les personnes âgées).

Idéalement, vous voudrez vérifier les deux email et numéro de téléphone si vous avez un service sensible. Tant pour la sécurité du compte que pour la qualité de la collecte des données. L'aspect de vérification des e-mails est la première barrière pour empêcher les faux comptes, empêcher les gens d'utiliser les adresses e-mail d'autres personnes, activer un système de récupération de mot de passe/connexion et plus de certitude que l'utilisateur recevra toute communication que vous enverrez par courrier. En tant qu'entreprise, vous souhaitez des données de bonne qualité, et ce type de validation garantit que l'adresse e-mail est valide. Vous n'avez aucun moyen de savoir si l'e-mail n'était qu'un jetable ...

En général, vous aurez besoin d'une bonne raison pour demander à quelqu'un de vérifier un nombre, car c'est un tueur de conversion connu et peut faire partie des lois sur la confidentialité. Selon l'endroit où vous vous trouvez, il se peut que vous deviez bientôt vous conformer au règlement général sur la protection des données ou équivalent. Demander uniquement les données nécessaires devient alors plus pertinent. La vérification par e-mail est uniquement plus "justifiée" dans ce cas, car vous pouvez la lier à la récupération de la connexion. C'est une sorte de pondération de l'avantage de sécurité perçu avec les tracas de toutes les vérifications.

6
Wendy Wojenka

Il est préférable d'offrir à la fois un e-mail et une inscription SMS - certains utilisateurs préfèrent le contrôle fourni par une adresse e-mail, par exemple en cas de ménage (lorsqu'un couple ou une famille ouvre un compte) , et souhaite un espace partagé pour les communications et les informations transactionnelles.) SMS est très pratique et préféré par la génération mobile-first).

4
Stacy H

"Y a-t-il des raisons valables pour lesquelles un utilisateur n'a pas pu recevoir un message SMS afin de terminer son inscription?"

Bien sûr ... Considérez les scénarios suivants:

  • Pourquoi devrais-je vous donner mon vrai numéro de téléphone portable lorsque je peux utiliser l'adresse e-mail jetable que j'utilise pour toutes ces inscriptions au service? Mon numéro de téléphone est-il essentiel au service que vous fournissez? Sinon, vous ne l'obtenez pas de moi.

  • J'ai dépassé l'âge ##, donc j'utilise toujours un téléphone fixe.

  • Je suis aveugle et j'utilise un lecteur d'écran pour mon ordinateur, mais je n'ai pas encore trouvé comment obtenir Siri pour me lire mes textes pour le moment.

  • Je me suis inscrit avec le numéro de téléphone fixe de mon bureau, car c'est là que j'utiliserai le service et ils l'ont payé.

  • Je suis à l'étranger sans téléphone portable, mais j'ai accès à Internet. Des voyageurs d'affaires ou des vacanciers qui pourraient utiliser votre service?

  • Je vis dans une zone rurale sans bonne réception cellulaire, mais j'ai un téléphone fixe et un accès Internet.

  • Je travaille dans un bunker souterrain ou un coffre-fort. Y a-t-il des employés militaires/gouvernementaux, bancaires ou autres employés de l'industrie qui utilisent votre service là où aucun téléphone portable n'est autorisé?

  • Mon horrible fournisseur de téléphone facture toujours 10 $/mois pour les SMS, donc je ne les paie pas par dépit

  • Je ne peux pas me permettre ou ne veux pas dépenser 50 $ +/mois pour un téléphone portable, mais j'utilise volontiers le wi-fi gratuit/public pour faire toutes sortes de choses, y compris l'inscription à votre service. (Visitez votre bibliothèque locale, centre de carrière ou étudiant diplômé affamé pour des exemples).

BTW, les gens truquent des numéros de téléphone tout le temps maintenant aussi - ne recevez-vous pas ces escroqueries d'un numéro qui ressemble presque au vôtre mais qui ne l'est pas?

L'offre des deux options d'enregistrement semble toujours préférable. Laissez les gens s'inscrire via SMS si c'est une possibilité pour eux et qu'ils sont d'accord en donnant votre vrai numéro de téléphone, mais offrez également l'enregistrement/les codes par e-mail pour ces raisons et pour un certain nombre de raisons similaires.

Vous pouvez toujours offrir une authentification opt-in basée sur SMS à 2 facteurs pour plus de sécurité lors de l'utilisation du service, mais n'utilisez pas le service sous réserve de cela sans raisons valables.

1
mc01

Je partagerais mon expérience avec de nombreuses applications bancaires, de portefeuille et sociales qui demandent en fait une vérification via SMS. Même Apple envoie une vérification SMS à ses serveurs avant d'activer iMessage et FaceTime uniquement après que vous puissiez utiliser la fonctionnalité de transfert sur votre téléphone et Mac) .

Même moi, j'ai observé SMS pénétration même lorsque les appels ne sont pas en mesure de se connecter.

Par conséquent, à votre préférence pour les SMS, j'ajouterais simplement mon +1

1
Shabir Gilkar

L'échange de SIM est une chose. Les gens volent essentiellement votre numéro de téléphone, afin de pouvoir intercepter les messages SMS envoyés à votre numéro.

La meilleure approche, au-dessus de la vérification des e-mails ou des SMS, consiste à utiliser une application d'authentification. Authy est bon car vous pouvez sauvegarder vos comptes, donc si vous changez de téléphone, vous n'avez pas besoin de ressaisir manuellement tous vos comptes, comme vous le feriez avec d'autres applications d'authentification populaires.

0
Non-techie Talk

D'abord, d'où vient la majeure partie du trafic?

Il y aurait un certain pourcentage provenant à la fois du mobile et du bureau, selon le plus élevé, optimisez pour cela.

S'il s'agit d'un mobile, nous ne devons pas ignorer le fait qu'iOS et Android a une fonction de remplissage automatique des SMS qui fonctionne comme un charme.

S'il s'agit d'un ordinateur de bureau, les e-mails et les SMS peuvent tous deux être une meilleure option, mais leur permettent de choisir où ils veulent vérifier. Parfois, les gens n'ont pas d'appareils mobiles à portée de main ou ne veulent tout simplement pas se laisser distraire en les récupérant pour un simple code.

Maintenant, pour répondre à votre question sur l'échec des SMS, cela se produit sur les cas Edge comme aucun réseau, l'envoi de SMS, problème de serveur, etc. Optimisez pour l'échec en leur donnant l'option de vérifier par e-mail ou de renvoyer le code sur SMS.

0
user108525ashi

Le SMS est un moyen pratique mais non sécurisé de fournir des OTP. L'Institut national des normes et de la technologie (NIST) a publié de nouvelles lignes directrices sur l'authentification numérique, exhortant les organisations à utiliser d'autres formes d'authentification à deux facteurs. Pourquoi ne considérez-vous pas les jetons matériels ou logiciels? Par exemple, Google Authenticator. C'est pratique et fiable. Ou vous pouvez utiliser une alternative matérielle à Google Authenticator. Protectimus Solutions, la société où je travaille, propose Protectimus Slim NFC. Il a une forme de carte bancaire standard et ne nécessite aucune connexion Internet ou réseau.

0
Christian

L'authentification à deux facteurs (2FA) avec l'utilisation de messages texte est un excellent moyen pour automatiser les inscriptions et empêcher les utilisateurs d'avoir de nombreux comptes utilisés pour diverses activités.

N'oubliez pas que la validation de l'utilisateur lors de l'inscription va bien avec le processus de connexion. Il y a beaucoup d'articles sur des aspects spécifiques de 2FA si vous souhaitez obtenir plus d'informations sur ce sujet. La grande chose à propos de pouvoir envoyer un message texte à l'utilisateur est que peu importe le mot de passe, car même si l'attaquant peut "deviner" le mot de passe, le code envoyé aux utilisateurs de l'appareil mobile restera inconnu.

0
Ivan Venediktov