17 Января 2023 uCaller.ru 336 0 В избр. Сохранено

Коды авторизации в голосе vs сторонние приложения

При организации двухфакторной аутентификации вам придется выбирать способ доставки кода пользователю. Довольно популярные варианты – доставка кодов в голосе и с помощью сторонних приложений. Ниже – особенности и нюансы, присущие каждому из них.

Мнение автора может не совпадать с мнением редакции

Коды в голосе

В этом случае используется простая и понятная для пользователя схема. Он вводит номер телефона в форму на сайте или в приложении, где нужна авторизация, данные отправляются на сервер сервиса авторизации. Он инициирует обратный звонок. После поднятия трубки робот озвучивает код.

К плюсам этого варианта можно отнести:

— Высокую степень защиты от подбора кодов и других нежелательных действий. Кодовые комбинации генерируются «на лету» на стороне сервиса, и все номера в хороших сервисах хранятся только в хешированном виде, а значит, информацию нет смысла красть.

— Простоту контроля доставки кодов: если трубку подняли и прослушали сообщение, значит все в порядке.

— Простое подключение. Как правило, взаимодействие с сервисом авторизации происходит через API. На стороне вашего сайта или приложения остается только настроить отправку запросов и обработку ответов от API.

— Удобная оплата. Как правило, сервисы, предлагающие услуги авторизации по коду в голосе, практикуют оплату за каждый запрос без дополнительных подписок и скрытых платежей

— Возможность использования для авторизации любых телефонов, а не только мобильных.

А есть ли минусы у этого варианта? Каких-то существенных нет. Единственный нюанс, который может кого-то побеспокоить — необходимость отправки личных данных (номер для звонка) в сторонний сервис. Но если вы сотрудничаете с проверенной компанией, за безопасность данных можно не волноваться.

Доставка кодов через сторонние приложения

В этом случае при запросе авторизации пользователю нужно зайти в стороннее приложение (устанавливается, как правило, на смартфон) и получить код. Примеры таких приложений — Google Authenticator, Microsoft Authenticator, Twilio Authy, Duo Mobile от Cisco.

Главный плюс этого способа — достаточно высокая скорость доставки кодов. Они, как правило, появляются практически мгновенно в приложении.

Что касается минусов, то у каждого приложения они свои. Например, эксперты отмечают, что из-за простоты экспорта токенов возникают риски, если смартфон с Google Authenticator попадет в третьи руки. А в Duo Mobile нет никакой защиты входа в приложение. Некоторые приложения существуют только для одной платформы (например, только для Android, как у аутентификатора andOTP).

Видно, что при использовании обоих вариантов есть свои нюансы. Поэтому при выборе анализируйте свои потребности, удобство для пользователей и другие параметры.

В избр. Сохранено