Авторизация через мобильный телефон. Где это использовать

Авторизация через мобильный телефон. Где это использовать
Авторизация через мобильный телефон. Где это использовать
29.03.2020

Когда безопасность передачи данных через открытые сети приобретает все большее значение появляется необходимость в использовании технологий надежной авторизации. Услуга CallPassword является такой технологией. Метод защиты основан на использовании телефонного звонка.

Это безопасно?

CallPassword защищает форму аутентификации от перегрузок связанных с кибератаками с применением автоматизированных запросов от спам-машин. Разработанная компанией New-Tel система статистики анализирует динамику авторизаций, показывает информацию о доставке звонков и правильности ввода пароля - ошибки исключены.

Как это работает?

В вашем интерфейсе авторизации пользователь указывает свой номер телефона, затем получает входящий звонок ("прозвон"). Интерфейс запрашивает у пользователя пароль, которым является часть уникального номера входящего звонка, например, последние 4-6 цифр.

Где это использовать?

Подтверждение переводов

Call Password - это наиболее оптимальный способ подтверждения личности с использованием мобильного или стационарного телефона с определителем номера. Функция может использоваться для подтверждения различных действий или как этап двухфакторной аутентификации.

Дешевле, чем СМС

Стоимость одного звонка не превышает 15 копеек. Цена складывается из стоимости переадресации на оконечный мобильный и стационарный телефон из сервиса IP телефонии New-Tel c учётом посекундной тарификации.

Авторизация по звонку значительно дешевле, чем по SMS-сообщению. Кроме того, что последний метод сужает применение до мобильного телефона, он оплачивается с учетом тарификации отправки SMS вашего оператора сотовой связи.

Простой расчет: в среднем по рынку СМС-подтверждение стоит от 1 рубля за одно сообщение. Возможно неочевидное соотношение 1.0 к 0.15 Р. (практически в 7 раз) становится очевидным если в вашем сервисе выполняется аутентификация, например, 100000 раз в месяц или в год, получается 100000х1.0 = 100т.р. за СМС и 100000х0.15 = 15т.р. за звонок. Разница в 85т.р. существенна, не так ли?

В качестве бесплатной альтернативы отправке кодов и паролей по СМС, мы разработали систему авторизации пользователя по звонку с его телефона.

  1. Вы запрашиваете у пользователя его номер телефона и передаете его нам по API.
  2. В ответ мы возвращаем вам номер телефона, по которому должен позвонить ваш пользователь для авторизации. У пользователя есть 5 минут на совершение звонка.
  3. Как только мы получаем звонок, мы его сбрасываем (чтобы звонок был бесплатным для пользователя) и отправляем вам по системе api callback HTTP оповещение, что авторизация пройдена (вы также можете запрашивать состояние самостоятельно через API, который представлен ниже).
  4. Звонок бесплатен для звонящего (даже для тех, кто находится в роуминге), так как мы его сбрасываем сразу в момент поступления.

Внимание

Так как мы сделали систему так, чтобы звонок для звонящего был бесплатен, даже если он звонит из-за рубежа или роуминга, то некоторые звонящие слышат ошибку "номер заблокирован" или "номер недоступен". К сожалению, это проблема операторов связи и разрешить ее нельзя. Наша система в любом случае регистрирует звонок. Чтобы сделать процесс безболезненным для пользователя, вам важно как можно быстрее получить статус звонка и обновить страницу у пользователя.

Передача номера телефона пользователя

https://сайт/callcheck/add?api_id=[зарегистрируйтесь, чтобы получить api_id]&phone=79255070602&json=1

Параметры

Параметр Обязательный Описание
api_id да Ваш уникальный ключ (api_id). Этот способ авторизации - самый удобный и приведен в примере выше. Ваш api_id вы можете найти на главной странице личного кабинета: [зарегистрируйтесь, чтобы получить api_id]. Вместо api_id можно использовать параметры login и password, где указываются ваш логин и пароль от личного кабинета. В этом случае безопасность пароля гарантируется при использовании протокола https.
phone да Номер телефона пользователя, который необходимо авторизовать (с которого мы будем ожидать звонок)
json=1 рекомендуется Данный параметр вызывает ответ сервера в формате JSON, в котором предоставлено больше данных

Ответ сервера

Когда-то давно была придумана авторизация в различных сервисах через мобильный телефон. Схема простая и должна была быть удобной для пользователей. Вы вводите номер своего сотового вместо логина и пароль, свой или полученный через SMS. Если пароль забыт, то его можно запросить так же через SMS.

И придёт он либо в открытом виде (если его хранит сервис), либо в виде кода, который потребуется для создания нового пароля, если сервис хранит только результат крипто-функции, аргументом которой является ваш пароль. А злоумышленнику достаточно лишь сделать дубликат вашей SIM-карты, чтобы получить доступ. При удачном стечении обстоятельств такой взлом окажется очень простым.

Из статьи на тему - Оператор мобильной связи не в силах предотвратить выдачу дубликатов сим-карт злоумышленникам

Список рекомендаций :
Как избежать подобной ситуации в условиях полной беспомощности мобильного оператора:

  1. В случае обнаружения выдачи дубликата сим-карты, немедленно блокируйте такую сим-карту и все связанные с ней платежные аккаунты и банковские карты.
  2. Звоните в офис банка и сотового оператора или или блокируйте через интернет, если еще есть такая возможность, не тратьте время на пеший путь.
  3. Используйте отдельный телефон и телефонный номер для работы с онлайн- и теле-банкингом.
  4. Если для авторизации вам достаточно sms, используйте примитивный мобильный телефон, а не смартфон.
  5. Никому и нигде не сообщайте номер этого телефона.
  6. Не устанавливайте абсолютно никаких лишних приложений, если используете смартфон для этих целей.
  7. Не пользуйтесь браузером или почтой на данном смартфоне.
  8. Не привязывайте все свои аккаунты к одной почте и\или одному номеру телефона.
  9. Не используйте очевидные или простые пароли для банковских или платежных приложений.
  10. Отключите геолокацию во всех встроенных социальных приложениях в смартфоне.
  11. Используйте отдельный аккаунт магазина приложений для смартфона, хранящего доступ к платежным и банковским аккаунтам.
  12. Не покупайте «анонимные» Sim-карты для своих основных счетов. Это может быть ловушкой злоумышленников.
  13. При первой возможности (и в дальнейшем регулярно) проверьте в офисе оператора, сколько на ваше имя зарегистрировано сим-карт.
  14. Если распоряжаетесь крупной суммой денег через онлайн-банкинг, попросите у банка услугу "криптокалькулятора".

Проблема серьёзная - mail.ru, ok.ru, vk.com,.. список можно продолжать.
Как-то я был свидетелем по уголовному делу в отношении неустановленных лиц по поводу взлома кое-каких моих сайтов. И беседовал со следователем о разном, на тему мою и отвлечённые. И вот в процессе разговора говорю ему, что он неправильно понимает, кому что принадлежит и что является неправомерным доступом к информации, а что нет.

Оказывается, что они выносят обвинительные заключения, суд выносит приговоры, а по всем соображениям с технической и юридической точки зрения, неправомерного доступа при этом не было. Т.е. закон применяют кто как может. Следователь не понимает, кому принадлежат ваши аккаунты в соцсетях, а судья вообще может мегабайты умножать на рубли и что-то там себе выводить.

Т.е. в случае с защитой правоохранительными органами ваших учётных записей результат вообще будет рандомным. Информационной безопасности простых людей не учат вообще нигде, а эти информационные технологии всё глубже и глубже проникают в нас.

Контролировать расход средств на мобильном телефоне можно не только путем проверки дополнительных подключений. Отследить затраты на сотовую связь также возможно с помощью детализированного списка вызовов, запросить который можно у своего мобильного оператора - МТС.

Детализация звонков МТС представляет собой список всех операций, проведенных на мобильном телефоне (звонки, смс-сообщения и другие, включая подробный перечень звонков с указанием месторасположения абонента в пределах соты) за определенный период времени. Услугу по детализации звонков оператор МТС предоставляется бесплатно.

Как посмотреть распечатку звонков абонента МТС?

В отделении компании МТС

Клиенты МТС могут потребовать список детализации своего телефонного номера в любом отделении компании. Однако, такой способ подойдет только тем абонентам, которые заключали договор с оператором самостоятельно, так как распечатка звонков МТС выдается владельцам мобильного номера по предъявлению удостоверяющего личность документа (паспорта).

Если же клиент пользуется сим-картой, оформленной на другое лицо (супруга, родственника), то без личного визита этого лица в офис с паспортом в выдаче детализации звонков МТС ему, к сожалению, будет отказано.

В личном кабинете на сайте МТС

Детализация звонков также доступна и через Интернет в личном кабинете абонента МТС. Для ее получения необходимо:

  • перейти на официальный сайт МТС ;
  • открыть личный кабинет;
  • ввести свой номер телефона и пароль (если клиент не знает пароля, то его можно запросить у системы, нажав на ссылку «Получить пароль по sms»);
  • ввести капчу (слово и/или цифры с картинки);
  • кликнуть «Войти»;
  • в открывшемся окне появится список доступных операций, среди которых нужно выбрать «Контроль расходов», после чего откроется «Интернет помощник»;
  • в меню «Интернет помощника» следует продублировать опцию «Контроль расходов», а затем из нового списка услуг выбрать «Детализацию звонков».

Чтобы сэкономить свое время, детализацию звонков удобнее формировать с использованием таких критериев, как: период, способ доставки и формат документа. Все заказанные данные сохраняются в аккаунте абонента. При необходимости вернуться к ним вновь достаточно зайти в личный кабинет и открыть нужный документ, не запрашивая повторно уже полученную до этого информацию.

Если при работе с сайтом МТС возникли какие-либо сложности, за помощью можно всегда обратиться в службу поддержки, позвонив на горячую линию или по номеру прямой связи с оператором.

Как заказать детализацию звонков для другого абонента МТС?

Необходимость запроса детализации звонков для другого клиента МТС может возникнуть, например, в случае, если:

  • номер был зарегистрирован на другого человека;
  • необходимо проконтролировать растраты своих детей;
  • нужно определить местонахождение пропавшего без вести или найти украденный телефон.

Если номер зарегистрирован на другого человека, то распечатку своих звонков в отделении МТС можно получить только в присутствии этого человека. Однако, в данной ситуации тоже бывают исключения.

Так, например, если телефоном пользуется ребенок, то его родителям оператор вряд ли откажет в выдаче распечатки вызовов. Им достаточно будет предъявить свой паспорт и документы на ребенка, подтверждающие наличие родственных связей (свидетельство о рождении). Также разрешение на запрос детализации звонков других абонентов может выдаваться по решению суда представителям правоохранительных органов.

Кроме того, получить распечатку звонков другого абонента можно с помощью Интернет-помощника. Для этого будет достаточно наличия выхода в Интернет и сим-карты владельца договора. Она потребуется для получения пароля, ввести который будет необходимо для подтверждения входа в онлайн кабинет. Без пароля получить онлайн-детализацию вызовов в личном кабинете невозможно.

Получение детализации без обращения в МТС

На сегодняшний день существуют компании, который предоставляют детализацию звонков любого абонента за отдельную плату. Пользоваться их услугами или нет, решать вам.

Однако, обращаясь в такие компании за получением детализации вызовов (особенно, если они совершались другим лицом), следует помнить о том, что при отсутствии специального разрешения суда все попытки получения личной информации о человеке являются незаконными и могут повлечь за собой серьезные последствия, вплоть до уголовной ответственности.