ClickSend

Raccomandazioni essenziali per la sicurezza

È fondamentale implementare delle salvaguardie per evitare che i tuoi servizi di password monouso (OTP) o di autenticazione a due fattori (2FA) causino un aumento imprevisto delle richieste SMS. ​

Un campo di inserimento del numero di telefono rivolto al pubblico è un bersaglio primario per l'SMS Pumping, un tipo di frode in cui gli aggressori generano intenzionalmente un volume elevato di richieste SMS. Ciò può comportare addebiti significativi e imprevisti per la tua azienda, poiché gli operatori mobili fatturano ogni messaggio inviato tramite la rete. ​

Ti consigliamo vivamente di familiarizzare con le minacce correlate, come SMS Pumping, SMS Fraud e International Revenue Sharing Fraud (IRSF), per comprendere appieno i rischi.

Quando crei o integri un servizio 2FA o OTP, ti consigliamo vivamente di implementare tutte queste misure di sicurezza, o almeno una loro combinazione, per proteggere la tua piattaforma:

Puoi usare ClickSend per configurare l'autenticazione a due fattori per la tua app/sito web. Per farlo:

Genera la OTP nel tuo codice (es. "1234") e memorizzala (in un database sul tuo server).

Chiama il nostro endpoint <a href="https://developers.clicksend.com/docs/rest/v3/#send-sms" rel="nofollow noopener noreferrer" target="_blank">POST sms/send</a>.

Il tuo script dovrebbe convalidarla rispetto alla OTP memorizzata.

1. Genera la OTP nel tuo codice (es. "1234") e memorizzala (in un database sul tuo server).
2. Chiama il nostro endpoint <a href="https://developers.clicksend.com/docs/rest/v3/#send-sms" rel="nofollow noopener noreferrer" target="_blank">POST sms/send</a>.
3. Consenti all'utente di inserire la OTP.
4. Il tuo script dovrebbe convalidarla rispetto alla OTP memorizzata.

Si consiglia di inserire dei limiti per il numero massimo di volte in cui un utente può inviare una OTP e anche per quante volte può tentare di indovinare la OTP.

Invio di OTP tramite SMS

Trova le risposte e ottieni aiuto dall'assistenza Intercom e dagli esperti della community

Questo sito utilizza cookie e altre tecnologie che noi e i nostri fornitori di terze parti utilizziamo per monitorare e registrare le informazioni personali sugli utenti e sulle interazioni degli utenti con il sito (inclusi i contenuti visualizzati, i movimenti del cursore, le registrazioni dello schermo e i contenuti delle chat) per gli scopi descritti nella nostra Informativa sui cookie. Continuando a visitare il nostro sito, l'utente accetta i nostri {websiteTermsLink}, {privacyPolicyLink} e {cookiePolicyLink}.

Questo sito utilizza cookie e tecnologie simili ("cookie") nella misura strettamente necessaria per il funzionamento del sito. Insieme ai nostri partner, desideriamo inoltre impostare ulteriori cookie per consentire l'analisi delle prestazioni del sito, la funzionalità, la pubblicità e le funzionalità dei social media. Per maggiori dettagli, consulta la nostra {cookiePolicyLink}. Puoi modificare le tue preferenze sui cookie nelle nostre Impostazioni dei cookie.

Utilizziamo i cookie per far funzionare il nostro sito e anche per scopi di analisi e pubblicità. È possibile abilitare o disabilitare i cookie opzionali secondo le proprie preferenze. Per maggiori dettagli, consultare la nostra {cookiePolicyLink}.

I cookie pubblicitari sono impostati dai nostri partner pubblicitari per raccogliere informazioni sull'uso del sito, delle nostre comunicazioni e di altri servizi online nel tempo e con browser e dispositivi diversi. Usano queste informazioni per mostrarle annunci online che ritengono possano interessare gli utenti e misurare le prestazioni degli annunci. I cookie dei social media sono impostati dalle piattaforme di social media per consentire agli utenti di condividere contenuti su tali piattaforme e sono in grado di tracciare le informazioni sull'attività dell'utente su altri servizi online per utilizzarle come descritto nelle loro politiche sulla privacy.

Questi cookie consentono al sito web di fornire funzionalità avanzate e personalizzazione. Possono essere impostati da noi o da fornitori di terze parti i cui servizi abbiamo aggiunto alle nostre pagine. Se non si acconsente all'utilizzo di questi cookie, alcuni o tutti questi servizi potrebbero non funzionare correttamente.

Questi cookie sono necessari per il funzionamento del sito web e non possono essere disattivati nei nostri sistemi.

Questi cookie ci consentono di contare le visite e le fonti di traffico in modo da poter misurare e migliorare le prestazioni del nostro sito. Ci aiutano a sapere quali sono le pagine più e meno popolari e a vedere come i visitatori si muovono all'interno del sito.

Hai il diritto di opporti alla vendita delle tue informazioni personali. Consulta la nostra {cookiePolicyLink} per maggiori dettagli su come utilizziamo i tuoi dati.

Le tue scelte sulla privacy

Utilizziamo i cookie per migliorare la tua esperienza. Puoi personalizzare le tue preferenze sui cookie di seguito. Per maggiori dettagli, consulta la nostra {cookiePolicyLink}.

Impostazioni dei cookie

Centro assistenza vuoto

Ops. La pagina richiesta non esiste.

Home

Cerca

Deluso

Neutrale

Sorridente

Sto pensando...

Ricerca tra le origini...

Analisi...

I ticket inviati tramite Messenger o da un agente di supporto nella tua conversazione appariranno qui.

Nessun ticket creato da te

Prova a utilizzare parole chiave diverse o a verificare la presenza di errori di battitura.

Raccomandazione	Descrizione
Rivedi l'invio globale	Vai su Invio globale, qui Conferma che i paesi abilitati siano gli unici verso i quali desideri inviare il traffico SMS in uscita Scopri di più sull'Invio globale, qui
Implementa la limitazione della frequenza	Usa un approccio "bucket" multilivello per una limitazione della frequenza più efficace combinando diversi identificatori. Vai oltre la limitazione dell'indirizzo IP, poiché è facilmente aggirabile con le VPN. Invece, lega i limiti a un identificatore univoco come una combinazione di `e-mail + numero di telefono`. Implementa il device fingerprinting per identificare il dispositivo univoco di un utente, bloccandolo anche se cambia indirizzo IP o account. Aggiungi il throttling basato sul tempo impostando un numero massimo di OTP al minuto o bloccando temporaneamente gli utenti dopo troppi tentativi falliti per prevenire abusi.
Introduci ritardi nelle richieste	Imponi un periodo di "cool-down" tra richieste consecutive dallo stesso numero di telefono, ad esempio consentendo una sola richiesta ogni 90 secondi.
Configura monitoraggio e avvisi	Crea avvisi automatizzati per notificarti picchi insoliti nel traffico SMS o richieste ad alta velocità provenienti da regioni o intervalli IP specifici.
Stabilisci soglie di utilizzo	Definisci limiti di utilizzo chiari e applica automaticamente dei blocchi una volta raggiunte tali soglie. Questo funge da barriera critica per prevenire costi fuori controllo.
Considera le regole regionali	Tieni presente che i modelli di frode e i piani di numerazione variano in base al paese. La tua logica di sicurezza potrebbe dover essere adattata per diverse regioni.
Consulta un esperto di sicurezza	Se non sei sicuro dell'implementazione migliore per il tuo caso d'uso, consulta un professionista della sicurezza per rivedere la tua architettura.

Invio di OTP tramite SMS

Raccomandazioni essenziali per la sicurezza

Come inviare una OTP tramite SMS