Если для входа в онлайн-сервисы, как правило, требуется только ввод пароля или пин-кода, то восстановление утраченного пароля должно происходить при вводе других аутентификационых данных. Сервис Telveri позволит реализовать безопасную смену и восстановление паролей пользователей без затрат на СМС-сообщения и звонки.
Для того, чтобы реализовать надлежащую систему управления пользовательскими учетными данными, в нее как правило интегрируется служба по восстановлению пароля, которая позволяет пользователям сделать сброс пароля в случае его утери или смену, в случае подозрения на доступность пароля третьим лицам. Несмотря на то, что данная функциональность выглядит довольно понятной и простой, она является частым источником уязвимостей, одна из таких – подбор имени пользователя.
Существуют распространенные практики, используемые для организации смены пароля:
- Отправка письма с уникальной ссылкой, содержащей идентификаторы пользователя и ведущей на страницу смены пароля.
Является стандартной, но достаточно небезопасной практикой: начиная с шага ввода e-mail, возникает опасность компрометации персональных данных, злоумышленник может подобрать адрес электронной почты или по крайней мере узнает какие адреса не принадлежат реальному пользователю. - Использование физических токенов.
Требует поддержки отдельной инфраструктуры и значительных затрат на приобретение системы аутентификации. - Отправка кода подтверждения смены пароля на e-mail
Электронная почта пользователя может быть скомпрометирована многими способами или изменена в системе для отправки писем на другой, не принадлежащий исходному пользователю адрес.
- Отправка кода подтверждения смены пароля в виде СМС-сообщения
Один из наиболее надежных способов подтверждения действий по смене пароля в системе. Однако, данный способ также не безопасен для перехвата данных и имеет значительный недостаток в плане стоимости поддержки: отправка СМС-сообщений стоит от 1р. за сообщение.
Сервис Telveri позволит реализовать процесс сброса пароля на самом высоком уровне. За счет более прогрессивных методов шифрования данных, используемых в Telegram, сервис исключает утечки данных и реализацию различных фишинговых схем. Кроме того, Telveri не требует инфраструктурных затрат и позволяет развернуть функциональность смены паролей без расходов на отправку СМС-сообщений.