Здравствуйте, пишу один проект (не социальная сеть) и задумал сделать регистрацию по номеру телефона, чтобы максимально облегчить труд юзера по вводу данных, механизм следующий: - пользователю предлагается ввести номер мобильного телефона; - формируется пароль (6 символов) для авторизации и отправляется через смс шлюз на этот номер , который будет действителен в течении 24 часов; - пользователь вводит пароль, и если он правильный проходит авторизацию, одновременно на его устройство отправляется кука с данными для дальнейшего автоматического входа; - если же кука просрочена пользователю предлагается ввести пароль повторно, либо запросить новый пароль если он его забыл/удалил; Хочется узнать ваше мнение, на сколько безопасен такой механизм авторизации, и какие могут быть слабые места (если не брать во внимание то что юзер сам может засветить свой пароль)?
а регистрация / авторизация через социальные сети вам не подойдет? как допустим в этой штуке - http://onlinezakladki.ru/ нажмите кнопку "Войти", что бы посмотреть.
Vlk, к сожалению нет, потому что иногда придется отправлять напоминания, уведомления, куда это лучше отпралять как не на телефон
СМС стоят денег. Поэтому есть сомнения, что у тебя что-то кроме теоретических рассуждений будет. Вообще, авторизация с использованием другого канала связи это хорошо. Только хорошо бы подстраховаться резервными одноразовыми кодами — как у Google.
То что СМС не бесплатны это понятно, но тем не менее для этого проекта такой способ авторизации, и отправки уведомлений самый что не на есть лучший. СМС шлюз уже выбран, код пишется, проходит тестирование, так что это ушло уже дальше просто рассуждений))) Хочу сразу предусмотреть все нюансы, поэтому интересуюсь мнениями
Нюанс такой, что СМС вообще-то негарантированный [ по времени и вообще ] способ доставки. Должны быть запасные пути. Первая альтернатива — сгенерированные однажды и сохраненные/распечатанные резервные коды. Вторая альтернатива это вопрос-ответ с помощью приложения на смартфоне. Как Google Auth или E-num. Тогда клиент не зависнет со страшными проклятиями, если со связью проблемы.
Есть решение! Тут статья ознакомьтесь уважаемые: https://spark.ru/startup/callpassword/blog/49344/avtorizatsiya-po-zvonku
Всем привет, пишу тех задание по регистрации на сайте через мобильный телефон и соцсети. Может кто-нибудь подскажет какие нюансы, на что обратить внимание, может кто-то писал подобные ТЗ и знает уже какие нюансы в этом процессе есть. Заранее очень очень благодарна.