Passar para o conteúdo principal

Enviando OTP por SMS

Atualizado hoje

Recomendações de Segurança Essential

É crucial implementar salvaguardas para evitar que seus serviços de Senha de Uso Único (OTP) ou Autenticação de Dois Fatores (2FA) causem um aumento inesperado nas solicitações de SMS.

Um campo de entrada de número de telefone voltado para o público é um alvo principal para o SMS Pumping, um tipo de fraude em que invasores geram intencionalmente um alto volume de solicitações de SMS. Isso pode levar a cobranças significativas e inesperadas para a sua empresa, pois as operadoras de telefonia móvel cobram por cada mensagem enviada pela rede.

Recomendamos fortemente que você se familiarize com ameaças relacionadas, como SMS Pumping, Fraude de SMS e Fraude de Compartilhamento de Receita Internacional (IRSF), para entender completamente os riscos.

Ao criar ou integrar um serviço de 2FA ou OTP, recomendamos fortemente a implementação de todas, se não de uma combinação, dessas medidas de segurança para proteger a sua plataforma:

Recomendação

Descrição

Revisar Envio Global

Navegue até o Envio Global aqui

Confirme se os países que você ativou são os únicos países para os quais você deseja que o tráfego de SMS outbound seja enviado

Saiba mais sobre o Envio Global aqui

Implementar Limitação de Taxa

Use uma abordagem de "bucket" em várias camadas para uma limitação de taxa mais eficaz, combinando vários identificadores.

  • Vá além da limitação de endereço IP, pois ela é facilmente contornada com VPNs. Em vez disso, vincule os limites a um identificador exclusivo, como uma combinação de e-mail + número de telefone.

  • Implemente a impressão digital do dispositivo para identificar o dispositivo exclusivo de um usuário, bloqueando-o mesmo que ele mude seu endereço IP ou conta.

  • Adicione limitação baseada em tempo definindo um número máximo de OTPs por minuto ou bloqueando temporariamente os usuários após muitas tentativas fracassadas para evitar abusos.

Introduzir Atrasos de Solicitação

Aplique um período de "esfriamento" entre solicitações consecutivas do mesmo número de telefone, como permitir apenas uma solicitação a cada 90 segundos.

Definir Monitoramento & Alertas

Crie alertas automatizados para notificá-lo sobre picos incomuns no tráfego de SMS ou solicitações de alta velocidade originadas de regiões específicas ou intervalos de IP.

Estabelecer Limites de Uso

Defina limites de uso claros e aplique cortes automaticamente assim que esses limites forem atingidos. Isso atua como um suporte crítico para evitar custos fora de controle.

Considerar Regras Regionais

Esteja ciente de que os padrões de fraude e os planos de numeração variam de acordo com o país. Sua lógica de segurança pode precisar ser adaptada para diferentes regiões.

Consultar um Especialista em Segurança

Se você não tiver certeza sobre a melhor implementação para o seu caso de uso, consulte um profissional de segurança para revisar a sua arquitetura.

Como enviar um OTP por SMS

Você pode usar a ClickSend para configurar a Autenticação de 2 Fatores para o seu aplicativo/site. Para fazer isso:

  1. Gere o OTP em seu código, por ex., "1234" e armazene-o (em um banco de dados em seu servidor).

  2. Chame o nosso ponto de extremidade de POST sms/send.

  3. Permita que o usuário insira o OTP.

  4. Seu script deve validá-lo com o OTP armazenado.

É recomendável que você imponha limites para o número máximo de vezes que um usuário pode enviar um OTP e também quantas vezes ele pode tentar adivinhar o OTP.

Artigos relacionados
Autenticação de dois fatores (2FA)
Introdução ao Envio Global
Nossas Diretrizes de Envio
Guia de Alpha Tags
ACMA ~ Próximas mudanças no registro e uso de IDs de remetente alfanuméricos (Alpha Tags)
Respondeu à sua pergunta?