В мире, где кибербезопасность имеет решающее значение, защита пользовательских данных с помощью корректного механизма аутентификации становится неотъемлемым элементом любого веб-продукта.

Согласно отчёту Verizon 2023 Data Breach Investigations Report, 74% утечек данных связаны с человеческим фактором, а 61% — с компрометацией учётных записей​. Это свидетельствует о необходимости установки дополнительной защиты — многофакторной аутентификации (MFA). Такой подход обеспечивает безопасный доступ к аккаунтам, снижая риск кражи конфиденциальной информации и повышая уровень доверия клиентов к ресурсу.

В этой статье разберём, как внедрить в инфраструктуру SMS-аутентификацию.

Виды аутентификации

Для начала рассмотрим, какие виды аутентификации бывают: так вы сможете определить, что лучше использовать для решения своих задач.

Однофакторная

Однофакторная аутентификация.
Источник: https://www.wallarm.com/what/2fa-vs-mfa-understanding-the-key-differences

Однофакторная аутентификация (1FA) — простой метод проверки личности. Для подтверждения идентичности пользователю необходимо ввести только один элемент: обычно это пароль, который система сравнивает с сохранённым в базе данных значением и при совпадении предоставляет доступ. Но подобный тип проверки не самый надёжный, поскольку злоумышленники могут подобрать или украсть пароль.

Двухфакторная

Двухфакторная аутентификация.
Источник: https://www.wallarm.com/what/2fa-vs-mfa-understanding-the-key-differences

Двухфакторная аутентификация (2FA) использует два уровня для проверки личности пользователя. В дополнение к первому фактору для входа в учётную запись потребуется отправка проверочного кода на телефон пользователя, его электронную почту, push-уведомлением в приложение или через сервис авторизации. Такой подход повышает уровень безопасности при доступе к аккаунту.

Многофакторная

Многофакторная аутентификация.
Источник: https://www.wallarm.com/what/2fa-vs-mfa-understanding-the-key-differences

MFA-проверка подлинности запрашивает у пользователя несколько факторов подтверждения личности: комбинацию сведений, известных пользователю (логин, пароль), наличие определённого устройства (телефон или ПК) и физических характеристик (биометрических данных — отпечатка пальца или скана лица). Такой подход представляет собой один из самых высоких уровней безопасности, уменьшая риск доступа злоумышленников к персональным данным.

SMS-верификация

Это одна из наиболее распространённых форм двухфакторной авторизации. Принцип прост: после успешного ввода логина и пароля генерируется случайный ключ, который приходит на мобильный номер пользователя. Чтобы подтвердить данные, пользователь вводит код на сайте или в приложении. Затем система сопоставляет коды и при полном совпадении разрешает доступ. Такой метод аутентификации повышает уровень защищённости аккаунта, и для него не нужно подключение к интернету на телефоне.

Преимущества

Создание нового одноразового кода при каждом посещении веб-сайта, приложения или иной системы даёт пользователю следующие преимущества.

Усиленная безопасность

Добавляет дополнительный уровень защиты к учётным записям, снижая риск несанкционированного доступа.

Удобство

Пользователю не требуются дополнительные приложения или устройства, так как большинство людей уже имеют мобильные телефоны.

Широкое распространение

Работает на всех типах мобильных телефонов, включая старые модели, что делает технологию доступной для широкой аудитории.

Снижение риска фишинга

Даже если пароль пользователя украдут, злоумышленник не сможет получить доступ к учётной записи без одноразового кода, отправленного по SMS.

Интеграция этого метода аутентификации не требует значительных затрат. Большинство современных платформ предоставляет инструменты для реализации SMS-авторизации с минимальными усилиями со стороны разработчиков.

Как настроить

Для внедрения технологии проверки по SMS на ваш сайт или приложение можно воспользоваться API-платформой. Однако сначала следует оценить возможную нагрузку, поскольку не каждая площадка способна обработать большие объёмы SMS-сообщений.

Для настройки SMS-верификации необходимо:

  1. Выбрать SMS-провайдера. Платформы, такие как МТС Exolve, дают хороший API для интеграции SMS-услуг в приложения.
  2. Зарегистрироваться на выбранной платформе и получить API-ключ для доступа к услугам.
  3. Настроить серверное приложение для создания запросов на отправку SMS через API выбранного провайдера.
  4. Настроить отправку SMS. Создать шаблоны сообщений, предоставляющие пользователю всю необходимую информацию для входа в аккаунт.
  5. Настроить обработку ответов от API, чтобы убедиться, что сообщения успешно отправлены и доставлены.
  6. Создать форму, куда пользователь будет вводить полученный код.
  7. Настроить серверное приложение для сравнения введённого пользователем кода с ключом доступа, отправленным по SMS.
  8. Провести тестирование с реальными пользователями, чтобы убедиться в правильной работе системы.

Лучшие практики по внедрению OTP SMS

Одноразовый пароль, или OTP (one time password), — важнейший инструмент в современной цифровой среде, который повышает безопасность и обеспечивает бесперебойную работу бизнеса. Его внедрение в блок авторизации требует внимания к деталям и соблюдения лучших практик:

  1. Содержание сообщения. OTP должен быть максимально кратким и понятным. Без терминов и замысловатых формулировок, способных запутать получателя. Чётко укажите цель OTP и предоставьте инструкции по его использованию.
  2. Сроки. При авторизации своевременно отправляйте SMS. Задержка сообщения может привести к разочарованию пользователей и ухудшить качество обслуживания. Установите оптимальный период действия проверочного кода.
  3. Безопасность. Уделяйте приоритетное внимание безопасности OTP, гарантируя шифрование и защиту от перехвата. Примите меры по предотвращению несанкционированного доступа к OTP-кодам.
  4. Доставка сообщений. Осуществляйте отправку сообщений, используя надёжные шлюзы SMS. Убедитесь, что OTP доставляется быстро и последовательно всем получателям.
  5. Проверка пользователя. Внедрите механизмы проверки точности OTP-кодов, вводимых пользователями.

Сюда входит:

  • ограничение по частоте отправки SMS: например, ограничение на одно сообщение в минуту для конкретного номера телефона;
  • ограничение на количество SMS с одного номера: например, не более трёх сообщений в час;
  • фильтрация и блокировка номеров телефонов для идентификации спамеров;
  • установка капчи для дополнительной защиты.

Следуя этим рекомендациям, вы сможете повысить уровень безопасности доступа к персональным данным в своих системах.

Топ-5 сервисов для SMS-авторизации

Для простоты внедрения и более эффективной настройки SMS-аутентификации воспользуйтесь сервисом, предоставляющим такую функциональность. На сегодняшний день подобных платформ довольно много. Мы выделили топ-5 популярных решений.

МТС Exolve

МТС Exolve.

Модуль авторизации с API от MTC Exolve создаёт индивидуальный токен для каждого пользователя. Система отслеживает авторизации, при подозрительном увеличении трафика может предупредить об активности и запросить дополнительное подтверждение для входа или регистрации.

Модуль авторизации пригодится бизнесу, который использует личный кабинет для взаимодействия с клиентом: ретейлу, e-commerce, банкам и другим компаниям.

Кроме того, при первой регистрации на платформе пользователь получает приветственный бонус — 300 ₽. С его помощью можно протестировать функциональность сервиса, например арендовать номер телефона и воспользоваться SMS-инструментами.

Преимущества:

  • функция каскадных рассылок;
  • подробная документация;
  • SMS-шлюз и API для интеграций.

Недостатки:

  • для настройки авторизации нужны технические знания.

Стоимость отправки одного сообщения — от 0,67 ₽.

TargetSMS

TargetSMS.

Провайдер услуг SMS-маркетинга и разработчик индивидуальных программных решений предлагает внедрение уникальных приложений, модулей и расширений для популярных CMS и CRM-систем.

Преимущества:

  • использует API, HTTPS и библиотеку готовых PHP-скриптов для простой интеграции в любое место на сайте, например в форму регистрации;
  • гибкая настройка одноразовых паролей;
  • генерирует случайные 4-, 5- или 6-значные коды по вашему выбору (по умолчанию 4-значные);
  • поддерживает широкий спектр интеграций с популярными CRM и CMS-системами.

Минусы:

  • может блокировать рассылку из-за подозрения на спам.

Цена за отправку SMS стартует с 3,64 ₽.

«SMS-Центр»

«SMS-Центр»

Сервис предлагает уникальную функцию настройки подписей в формате цифровых или буквенных значений, обеспечивая быстрое и безопасное общение с клиентами.

Преимущества:

  • высокая скорость доставки SMS c возможностью их отправки за пределы страны;
  • доставка сообщений на любые номера телефонов, включая городские и портированные;
  • поддержка длинных сообщений до 1000 символов;
  • функция приоритизации трафика, способствующая доставке срочных SMS-сообщений без задержек.

Минусы:

  • необходимость подписания договора перед настройкой рассылок;
  • нет бесплатного тестового периода.

Цены на услуги доступны по запросу. Стоимость одного сообщения согласно тарифной сетке — от 2,1 ₽.

SMSRU

SMSRU

Площадка предоставляет услуги по рассылке текстовых сообщений с модулем SMS-авторизации. Ценовая политика привлекательная, однако обслуживание клиентов уступает многим конкурентам ввиду отсутствия круглосуточной поддержки или чат-бота. Связаться со специалистами компании можно лишь в будний день по телефону.

Преимущества:

  • возможность именной рассылки и импорта телефонных номеров из Excel-таблицы;
  • оплата только за доставленные SMS;
  • функция бесплатной SMS-переадресации на личный номер;
  • сервис интегрируется с различными платформами, такими как «Битрикс24», WordPress, 1С, SugarCRM и др.

Минусы:

  • техподдержка доступна только по телефону, в будний день и в рабочее время;
  • работает не во всех странах.

Стоимость услуги — от 2,65 ₽ за SMS.

SMS AERO

SMS AERO

Этот сервис рассылок находит широкое применение благодаря увеличенной функциональности и удобному интерфейсу. Клиенты могут связаться с оператором по телефону или электронной почте в любое время, включая ночные часы.

Преимущества:

  • возможность бесплатного тестирования сервиса и отправки SMS по всему миру через Viber;
  • персонализированные сообщения;
  • функция бесплатной подписи отправителя и модерации SMS;
  • услуги SMS-таргетинга и HLR-проверки.

Недостатки:

  • ограниченные возможности для запуска каскадных SMS;
  • нет собственного SMS-шлюза.

Цена за SMS — от 2,07 ₽.

Заключение

SMS-авторизация остаётся одним из простых и эффективных способов защиты учётных записей и данных. По статистике, более 93% компаний используют одноразовые пароли для подтверждения личности пользователей.

С процессом подключения такой функциональности может справиться большинство разработчиков. Для обеспечения максимальной защиты данных и минимизации рисков необходимо комбинировать SMS-авторизацию с другими методами аутентификации и средствами защиты.