Bosh sahifa Wiki SMS kod

SMS kod

SMS kod — foydalanuvchining telefon raqamiga qisqa xabar orqali yuboriladigan, odatda bir martalik va qisqa muddatli tasdiqlash qiymati. U loginning ikkinchi bosqichi, telefon raqamini tekshirish yoki hisobni tiklashda ishlatiladi. Kod “foydalanuvchida mavjud narsa” omiliga yaqin dalil beradi, chunki xabarni qabul qilish SIM karta va mobil tarmoq hisobiga bog‘liq. Biroq SMS phishingga chidamli yoki kuchli kriptografik authenticator hisoblanmaydi.

Yaratish va tekshirish

Server kodni kriptografik xavfsiz tasodifiy generator bilan yaratadi. Olti raqamli kod bir million mumkin qiymatga ega; shu sababli faqat kod uzunligiga tayanilmaydi. Qisqa amal muddati, urinishlar soni cheklovi va yangi kod so‘rash tezligi birga qo‘llanadi. Kod muayyan foydalanuvchi, telefon, maqsad va tranzaksiya bilan bog‘lanadi.

Server kodning o‘zini ochiq saqlash o‘rniga server siri bilan HMAC yoki boshqa himoyalangan tekshiruv qiymatini saqlashi mumkin. Foydalanuvchi kodni kiritgach, ayni kontekstda hisoblangan qiymat solishtiriladi. Muvaffaqiyatli tekshiruvdan keyin kod darhol ishlatilgan deb belgilanadi. Bir maqsad uchun yuborilgan kod boshqa login yoki pul o‘tkazmasini tasdiqlay olmaydi.

Yetkazib berish xususiyatlari

SMS real vaqt protokoli emas. Mobil operator navbati, roaming, signal yo‘qligi yoki spam filtri xabarni kechiktirishi mumkin. Yangi kod so‘ralganda oldingi kodni darhol bekor qilish kechikib kelgan xabarlar bilan foydalanuvchini chalg‘itadi; bir nechta kodni parallel qabul qilish esa hujum oynasini kengaytiradi. Tizim tanlangan siyosatni interfeys va server tekshiruvida bir xil qo‘llaydi.

Telefon raqami xalqaro E.164 ko‘rinishida normallashtiriladi. Faqat satr formatini tekshirish raqam ayni foydalanuvchiga tegishli ekanini isbotlamaydi; aynan kodni muvaffaqiyatli qabul qilish tasdiqlash dalilidir. Raqam qayta boshqa abonentga berilishi mumkinligi sababli u o‘zgarmas shaxs identifikatori emas.

Asosiy tahdidlar

SIM swap hujumida tajovuzkor operatorni aldab, jabrlanuvchi raqamini o‘z SIMiga ko‘chiradi. SS7 va mobil tarmoq zaifliklari xabarni yo‘naltirishga ta’sir qilishi mumkin. Telefon ekranidagi notification kodni qulflangan holatda ko‘rsatishi, zararli mobil dastur SMS ruxsatidan foydalanishi mumkin. Phishing sahifasi esa foydalanuvchidan kodni real vaqtda olib, haqiqiy xizmatga yuboradi.

Shu sababli SMS xavfsizlik kaliti yoki passkeyga qaraganda pastroq assurance beradi. Moliyaviy tranzaksiyada xabar ichida summa va qabul qiluvchi kabi kontekst ko‘rsatilsa, foydalanuvchi nimani tasdiqlayotganini ko‘radi, ammo hujumga qarshi himoya faqat matnga bog‘liq bo‘lib qolmaydi.

Abuse nazorati

Kod yuborish endpointi SMS flood, hisob mavjudligini aniqlash va xizmat xarajatini oshirish uchun suiiste’mol qilinishi mumkin. IP, qurilma, telefon raqami va hisob bo‘yicha rate limit qo‘llanadi. Tashqi javob mavjud va mavjud bo‘lmagan hisob uchun imkon qadar bir xil beriladi. CAPTCHA ayrim avtomatik abuse’ni kamaytiradi, lekin server-side limitning o‘rnini bosmaydi.

Jurnalda to‘liq kod va telefon raqami ochiq ko‘rinishda saqlanmaydi. Yetkazib beruvchi provayderga faqat zarur ma’lumot uzatiladi, retention muddati va hududiy ma’lumot talablari hisobga olinadi. Kod yuborilgan, tekshirilgan, muddati o‘tgan va limitga tushgan hodisalar alohida hisoblanadi.

Autofill va xabar formati

Mobil platformalar bir martalik kodni xabardan aniqlab, foydalanuvchiga autofill taklif qilishi mumkin. Standartga mos matn kodni va tegishli domen yoki ilova identifikatorini aniq ajratadi. Autofill qulaylik beradi, lekin server tekshiruvini o‘zgartirmaydi. Xabarda bosiladigan qisqartirilgan havola qo‘shish foydalanuvchini phishing URLlarini ajratishga qiynaydi; kod xabari marketing matni bilan aralashtirilmaydi.

Bog‘liq tushunchalar

One-time password, Multi-factor authentication, SIM swap, Rate limiting, Phone verification, Phishing, Authenticator app