Для бизнеса важно знать своего клиента. Помимо его демографических и социальных характеристик, важно иметь точные данные пользователей. Это позволит донести нужную информацию каждому покупателю. Важным этапом в коммуникации с клиентом является сбор его данных. Первый и самый простой способ — это верификация пользователя по номеру телефона. Однако это не единственный вариант. Сегодня поговорим о том, какие способы проверки номера телефона абонентов существуют и чем они отличаются друг от друга.
Какие существуют способы проверить номер телефона
Компании должны понимать, откуда к ним приходят пользователи, зачем они приходят, что покупают и что им можно еще предложить. Если бизнес работает в онлайне, то знакомство с клиентом начинается с просьбы предоставить номер телефона для аутентификации. За это, как правило, пользователь получает приятный бонус. Здесь и всплывает необходимость проверки того номера телефона, который был указан.
Двухфакторная аутентификация постепенно становится стандартом безопасности при авторизации пользователей — особенно трепетно к ней стали относиться крупные компании. И неспроста, ведь безопасность аккаунтов пользователей все больше важна не только им самим, но и властям — утечки данных могут стать причиной взлома аккаунтов с привязанными к ним кошельками и картами и штрафы за них повышаются с каждым годом.
Какие способы двухфакторной аутентификации мы знаем и чем они отличаются между собой:
Отправка SMS с кодом, который пользователь вводит в проверочное поле.
Верификация через Госуслуги.
Через приложения банков.
Через Mobile-ID — пользователю приходит push-уведомление и ему нужно нажать на кнопку «Да».
Через социальные сети.
FlashCall — способ передачи кода с помощью звонка.
Это самые распространённые способы, которые используют компании, чтобы собирать контакты своих клиентов и работать с ними. Каждый метод имеет свои плюсы и минусы, удобство, достоверность и цену.
В чем проблемы популярных способов аутентификации
Сегодня двухфакторная аутентификация чаще всего осуществляется через SMS: пользователь вводит свой номер телефона, а ему приходит код подтверждения, который нужно ввести на сайте для авторизации. На первый взгляд все удобно, но есть несколько но:
SMS может просто не дойти — пользователю придется отправить еще одно сообщение;
отправка каждого сообщения сейчас обойдется бизнесу в 2–5 рублей — это дорого;
способ очень восприимчив к ботам, которые могут нанести серьезный убыток компании, отправляя множество сообщений по несуществующим номерам.
Госуслуги — в целом безопасный и дешевый вариант. К сожалению, большинство пользователей не хотят давать доступ третьему приложению к своему самому главному инструменту общения с государством.
Банковские приложения — удобный метод. Сегодня практически у каждого есть аккаунт того или иного банка. Но здесь срабатывает тот же фактор, что и с Госуслугами. Все, что связано с банком и с картами, не хочется передавать или озвучивать третьей стороне.
Mobile-ID — безопасный метод. Но его главный недостаток — высокая стоимость для бизнеса.
Подтверждение аккаунта социальной сети действительно позволяет быстро верифицировать пользователя. Но для дальнейшей работы с клиентом этот способ оказывается не самым надежным, поскольку компания не получает его номер телефона.
Самый бюджетный вариант — FlashCall, но он стал плохо работать. Дело в том, что сотовые операторы теряют прибыль и блокируют данный метод. Из-за этого доставляемость таких вызовов сократилась.
Все указанные выше способы имеют право на существование. Какой же метод верификации подойдет именно вашим пользователям?
Для бизнеса важно предлагать не один способ верификации, а два, а может и три. Это защитит сервис от возможных сбоев и простоев. При этом у каждого метода должен быть свой поставщик.
Следующий ключевой момент — защита формы авторизации от спама. Когда ваша форма находится в открытом доступе, всегда найдутся те, которые захотят заспамить ее, испортить статистику или просто забить чей-то номер телефона SMSками или звонками. Данные формы пользуются большим спросом у сервисов SMSBomber и CallBomber.
Наконец, важно обращать внимание на стоимость внедрения и в дальнейшем на стоимость обслуживания. Как правило, стоимость внедрения — это стоимость ваших внутренних ресурсов: сколько сил вы потратите, чтобы реализовать тот или иной способ верификации. Дальнейшая стоимость будет зависеть от количества фактических верификаций, она рассчитывается по формуле:
цена за одну верификацию х количество верификаций в месяц = итого к оплате
Компания New-Tel предлагает новый способ верификации, который учитывает ключевые требования:
работает на 100%;
не требует больших усилий по внедрению;
имеет защиту от SMSBomber/CallBomber;
стоит дешевле, чем SMS или MobilID.
Данный сервис получил название Call Password ID.
В чем особенность сервиса от New-Tel
CallPassword ID — не просто новомодная технология, которая только-только обкатывается.
Это полноценный комплекс для безопасной авторизации пользователей, который мы сами используем в течение последних шести месяцев. Перед тем как сделать технологию доступной для клиентов, мы сами тестируем ее от и до.
Вот как она работает:
Ваш пользователь в форме авторизации указывает свой номер.
Вы по API отправляете нам данный номер телефона и просите его проверить.
Мы возвращаем вам обратно виртуальный номер телефона, который вы должны отобразить у себя в форме. Далее вы просите сделать на него вызов.
Ваш пользователь видит QR-код (при сканировании которого его телефон начинает звонок) или кликабельный номер телефона (при нажатии на который инициируется вызов).
Наша система получает вызов с указанного ранее номера телефона, делает сброс (вызов для вызываемого бесплатный).
Отправляем вам данные, что вызов был с ранее указанного номера, пользователь верифицирован.
Страничка вашего сервиса перегружается, пользователь проходит верификацию.
Какие основные преимущества у CallPassword ID:
Пользователь не только подтверждает свой аккаунт, но и делает целевое действие — инициирует вызов. Тут уже не позвонишь другу и не спросишь SMS, которую ему прислали.
В 2023 г. среди сотовых операторов заработала система «Антифрод», которая полностью исключает возможность подмены или изменения номера телефона звонившего. Мошенники больше не могут звонить с разных номеров.
Пользователю не нужно набирать номер вручную — он сканирует QR-код или кликает на номер, вызов совершается автоматически.
Стоимость за верификацию в несколько раз меньше, чем за СМС. По цене метод соответствует FlashCall. Вот только FlashCall блокируют, а в CallPassword ID блокировать нечего, поскольку пользователь сам инициирует вызов.
100% от спама. CallBomber и ему подобные сервисы делают спам-вызовы на номера, атакуя формы авторизации. Но в данном методе такие вызовы не инициируются. Следовательно, данные формы им не интересны.
Мы тарифицируем не попытки верификации, а только успешные, что уже снижает стоимость ежемесячного счета на 20–30 %.
Используя CallPassword ID, вы, как компания, будете иметь чистую статистику по верификациям, избавитесь от спам-ботов и не будете платить за воздух. Вне зависимости от размера вашего бизнеса внедрение нового метода авторизации займет всего пару дней — программная часть решения уже готова и даже доступна для скачивания на GitHub. Останется только получить ключи API в личном кабинете New Tel и интегрировать модуль авторизации на ресурс. Попробуйте уже сейчас и собирайте точные данные ваших пользователей!
Комментарии (19)
Ksoo
07.09.2023 12:39+1Очень большие надежды что антифрод у оператора связи работает, если в ней сбой то вся защита просто выключается.
Заставить человека позвонить, это падение конверсии в разы.
Если скам сайт будет так направлять людей на платные номера под видом вашей авторизации, то это минус репутации сервиса и падение конверсий у сервисов, которые использовали вашу систему двухфакторки.
SuperLeha Автор
07.09.2023 12:39У Вас всё плохое против всего хорошего)))
Антифрод работает на сетях всех операторов и если он упадёт, то вызовы просто не будут проходить везде вообще. И это равносильно, что весть Интернет в стране упадёт. И кроме Антифрода есть другие инструменты защиты, например штраф оператору за пропуск вызова с подменного номера.
Звонок осуществляется не с помощью набора номера, а с помощью клика по кнопке или с помощью QR кода. Нет необходимости переходить в телефон и совершать звонок руками.
И как правило конверсия плохая по той причине, что с пользователем проблема, он по какой-то причине не хочет давать свой номер. Целевой откроет дверь и зайдёт далее. А СМС и звонки очень активно используют спамеры, чтобы номер забить, вот тут и в правду с конверсией будут проблемы))
Платные номера для входящей связи ещё существуют? Да и в статье о другом.
ZloyLis
07.09.2023 12:39Интересно, по какой причине пользователь может не хотеть давать свой номер? Наверное из-за того, что телефонный спам везде, базы постоянно сливаются агрессивным телемаркетологам и т.д. И, естественно, у людей не очень положительная реакция на просьбу оставить номер.
SuperLeha Автор
07.09.2023 12:39Согласен, что такое есть. Но и бизнес понять можно, за контакт они дают бонусы (скидку на первую покупку, баллы на счёт, лояльность именно к этому клиенту который потратил много денег и т.д.) А самая хорошая медка клиента, это его уникальный номер.
ZloyLis
07.09.2023 12:39+1Фигня. Сегодня телефонный номер у него, послезавтра симка в руках вора, к примеру. Для веба нужно что-то другое, уникальное и только для веба. Как паспорт.
lair
07.09.2023 12:39+2А самая хорошая медка клиента, это его уникальный номер.
"Уникальный" номер - это смешно, да. Вы бы знали, как я задолбался менять этот "уникальный" номер там, где к нему было что-то важное привязано.
vikarti
07.09.2023 12:39Особенно бывает весело если у ресурса интересная механика что если ты по ошибке начинаешь под новым номером до смены (и получаешь смс) то потом уже не сменишь кроме как через поддержку потому что новый номер уже в базе. Если не менять — на новый номер через некоторое время прилетит звонок от человека с предложением рассказать об услугах и рассказать что нужно сделать чтобы завершить регистрацию (без как минимум видеосвязи ее все равно не завершить)
vikarti
07.09.2023 12:39Звонок осуществляется не с помощью набора номера, а с помощью клика по кнопке или с помощью QR кода. Нет необходимости переходить в телефон и совершать звонок руками.
А как быть если клиент заходит на сайт с компьютера? Ну или с планшета без сим-карты?
Еще и QR-код сканировать с телефона?Ну и например у меня вполне возможен сценарий что принять звонок/смс на номер я могу но вот позвонить с этого номера — это не в один клик будет совсем (нужно выбрать правильную сим-карту, если решено было указать виртуальный номер — то выбрать чтобы исходящий пошел с правильного виртуального номера).
SuperLeha Автор
07.09.2023 12:39Давайте разбирать приведённые примеры))
Если пользователь заходит на сайт с компьютера или с планшета без сим-карты, то система это учитывает и показывает QR код. Если с телефона, то показывает кликабельную кнопку.
Требование владельца сайта при авторизации в ЛК пройти процедуру верификации по номеру телефона. Следовательно телефон в любом случае нужно будет взять в руки)) На данном этапе возникает два возможных сценария:
1. ждать, что-то (смс, PUSH, звонок с кодом).
2. сделать действие самому.
В первом и во втором случае придётся указывать свой номер телефона, а принимающая сторона должна его подтвердить.
Теперь смотрим со стороны бизнеса:
Отправлять СМС, PUSH, звонок... это можно, но каждое такое действие стоит денег. Если в месяц посетителей будет около 100 000, то 100 000 * 2.5 руб. = 250 000 руб. и к этому добавляем тех, кто запросил, но целевого действия не сделал, это будет от 10% - 30% = 50 000 руб. Получается, что такое удовольствие будет обходиться в 300 к.
Если использовать CallPasswordID, то 100 000 *0,50 руб. = 50 000 руб., а если запросил, но целевого действия не сделал, то плата за это не берётся 0 руб. Итого 50 000 руб. в месяц.
К вопросу, если пользователь не может сделать исходящий вызов, нет денег на счету. А вам нужен такой пользователь, который не может оплатить базовую потребность в виде оплаты сотового телефона? При условии, что у всех операторов есть возможность заходить в минус, делать отложенные платежи и т.д.
По поводу виртуальных номеров. Использование CallPasswordID это борьба с виртуальные номерами, когда пользователь пытается авторизоваться по номеру телефона, который в действительности не является его контактным. Виртуальных номеров подключить можно много, набрать бонусов от бизнеса можно много, а по факту за данными номерами скрывается один пользователь.
Но как и во всём бизнесе не должно быть цифры 1. Не нужно использовать один способ подтверждения номера. Не авторизовался по CallPassword ID, предложите вторым шагом получить СМС. Потом посмотрите, сколько пользователей не подтвердили свои номера на первом шаге, а сколько запросили на втором и при этом так и не зашли.
vikarti
07.09.2023 12:39Если пользователь заходит на сайт с компьютера или с планшета без сим-карты, то система это учитывает и показывает QR код. Если с телефона, то показывает кликабельную кнопку.
Возможность поменять одно на другое есть?
Пример с виртуальными — у меня вот как раз виртуальный это основной контактный для банков. По той причине, что на основной — слишком уж много звонит сотрудников служб безопасности банков.
Случаи вида
- заход браузером с Windows Subsystem for Android (сайт видимо опознает такой заход как заход с Google Pixel 5 но вот звонить видимо не получится)
- подключенный телефон с Samsung DeX и внешним монитором(если распознование телефон или нет — по размеру браузера или там его десктпности — может опознается как не-телефон притом что все известные мне устройства с DeX'ом — телефонные модули как минимум имеют)
- два телефона у пользователя и по тому на который зашел — нет желания звонить совсем (или нет возможности — потому что там тариф вроде "Переходи на Сбер" (где исходящие звонки вне своего региона вообще не работают))
Или вы номер подставляете в регионе клиента?
GospodinKolhoznik
07.09.2023 12:39+1Ок, сколько вы мне заплатите, если я внедрю у себя на сайте вашу систему авторизации CallPassword?
SuperLeha Автор
07.09.2023 12:39Тут больше вопрос зачем она Вам, данная механика? Если сайт не собирает контакты пользователей, то внедрение не имеет смысла. Если собирает, то данный бизнес платит денежку поставщику данной услуги. CallPassword ID со своей механикой с любой стороны будет более экономичным вариантом. Вы сами себе заплатите с разницы по дальнейшим платежам.
LinusTorvalds
07.09.2023 12:39Метод верификации, описанный в статье, впечатляет. Как программист, я считаю, что звонок от клиента является единственным рабочим способом подтверждения номера. Никаких спам звонков. Тем более проходят целевые клиенты. Одобрямс.
lair
Где в этом списке TOTP, аппаратные ключи и так далее?
vikarti
Не работают для случая "вот новый клиент как нам его пустить".
Не выполняют требования законов про идентификацию.
Не дают возможности связаться с клиентом даже если это в интересах клиента.
Если клиент пролюбил ключи — приплыли.
И так далее.
lair
Во-первых, даже если какие-то способы 2FA не подходят под сценарий использования, это не значит, что мы их "не знаем", это значит, что они не подходят.
Во-вторых, а почему вы предъявляете к 2FA такие требования, откуда они взялись? Замечу кстати, что те же ГосУслуги прекрасно используют TOTP в качестве второго фактора.
vikarti
А в данном случае разве не очевидно?
Первый же абзац поста
lair
Нет, не очевидно, зачем, учитывая задачу, автор переходит от верификации по номеру телефона к 2FA. Собственно, прямо в вашей цитате: "Однако это [верификация по номеру телефона] не единственный вариант", и следующим же предложением: "поговорим о том, какие способы проверки номера телефона".