Meilleures pratiques pour la validation des numéros de téléphone lors de l'inscription d'un nouvel utilisateur
Temps de lecture: 5 minutes
August 12, 2021
Rédigé par
Vous avez un nouvel utilisateur ! Super ! Twilio fournit un ensemble d'outils permettant de valider et de vérifier rapidement le numéro de téléphone d'un utilisateur, ce qui est idéal pour une intégration rapide et fluide. Examinons quelques bonnes pratiques pour inscrire un utilisateur à votre service et le mettre en route, tout en garantissant l'exactitude des données et en réduisant les inscriptions frauduleuses.
Cet article de blog aborde les recommandations et les meilleures pratiques pour un enregistrement fluide des utilisateurs à l'aide d'un numéro de téléphone. Les mêmes recommandations s'appliquent aux comptes utilisateur existants qui fournissent leur numéro de téléphone pour la première fois, même si le compte utilisateur existe déjà.
Lorsque vous inscrivez un nouvel utilisateur, vous devez vous concentrer sur trois aspects :
- La saisie du numéro de téléphone, c'est-à-dire la collecte du numéro de téléphone de l'utilisateur.
- La validation du numéro de téléphone, c'est-à-dire veiller à ce que le numéro de téléphone soit légitime.
- La vérification du numéro de téléphone, c'est-à-dire veiller à ce que l'utilisateur ait accès au numéro de téléphone.
Qu'est-ce que la validation du numéro de téléphone ?
La validation du numéro de téléphone est un type de vérification d'identité permettant de s'assurer que votre utilisateur a accès au numéro de téléphone fourni. Cela permet d'éviter à la fois les fautes de frappe innocentes et les fraudes plus malveillantes. La vérification du téléphone par SMS est un moyen convivial de renforcer la sécurité. La validation est souvent fournie via un code d'accès à usage unique envoyé par SMS ou par d'autres fournisseurs de messagerie tels que WhatsApp ou RCS.
Meilleures pratiques pour la saisie des numéros de téléphone
Séparer le code pays dans un champ distinct
Les plug-ins tels que la saisie de numéros internationaux fournissent des interfaces conviviales et prennent en charge la variété des formats de numéros de téléphone internationaux. La séparation du code pays est plus conviviale et permet de s'assurer que la saisie peut être transformée au format E.164 standard.
Transformer le numéro de téléphone au format E.164
E.164 est un format de numéro de téléphone international standardisé qui garantit des numéros uniques. Ce format est renvoyé par l'API Lookup et est utilisé par la plupart des API Twilio, y compris les API Verify et Messaging.
Cet article de blog contient des recommandations pour le traitement de la saisie de numéros internationaux en HTML et JavaScript.
[Facultatif] Vérifier que la géolocalisation IP correspond au code pays du numéro de téléphone
Il existe des raisons légitimes pour lesquelles un utilisateur peut s'inscrire avec un numéro de téléphone dans un autre pays, mais ce comportement peut être corrélé à une activité frauduleuse.
Meilleures pratiques pour la validation des numéros de téléphone
Une fois que l'utilisateur a saisi son numéro de téléphone, l'API Twilio Lookup fournit des renseignements sur les numéros de téléphone avec prise en charge de la mise en forme, de la validation, des informations sur l'opérateur, du type de ligne, etc.
Utilisez l'API Twilio Lookup pour :
1. Confirmer que le numéro de téléphone fourni est valide
N'autorisez pas les utilisateurs à s'inscrire ou à saisir des chiffres non valides comme 12345 ou +1 (111) 111-1111. Cet article de blog vous montre comment valider les numéros de téléphone au format HTML.
2. Vérifier le type de ligne, y compris mobile, fixe et VoIP
La détection d'un type de ligne landline (fixe) vous permet d'envoyer des codes de vérification vocale au lieu de SMS, ce qui est particulièrement utile si votre entreprise dispose d'une base de clients plus âgée qui est moins susceptible d'avoir un téléphone compatible SMS. Les numéros VoIP (détection disponible uniquement pour les numéros américains) peuvent être légitimes, mais vous pouvez décider d'ajouter une protection supplémentaire, comme reCAPTCHA.
Découvrez comment détecter le type de ligne avec l'API Lookup dans cet article de blog.
3. Créer une liste d'autorisation des codes pays acceptés
Une liste d'autorisation des pays lors de l'inscription est un excellent moyen de vous assurer que vous respectez les exigences en matière de conformité, réduisez la fraude et contrôlez votre pipeline d'intégration.
4. Tenir à jour une liste d'opérateurs en fonction de leur réputation
Comme dans la liste des codes pays autorisés, certains opérateurs et préfixes sont associés à des taux de fraude et de spam accrus. La détection d'un opérateur avant l'envoi du SMS peut vous aider à protéger votre application.
Demandez l'approbation du CLNPC pour obtenir des informations sur les opérateurs canadiens
Si vous êtes au Canada, vous devrez obtenir une approbation supplémentaire du CLNPC avant que l'API Lookup renvoie des informations sur les numéros canadiens.
Meilleures pratiques pour la vérification du téléphone
Envoyer un code d'accès à usage unique (OTP) au numéro de téléphone fourni pour vous assurer que l'utilisateur a accès au numéro
Cela permet d'empêcher l'utilisateur de fournir le numéro de téléphone de quelqu'un d'autre, aide votre entreprise à garantir des inscriptions uniques et est essentiel pour la livraison future de codes d'accès d'authentification ou de notifications.
Découvrez comment envoyer un OTP SMS en 5 minutes ou moins avec l'API Twilio Verify dans cet article de blog.
Créer des tampons de nouvelle tentative dans les workflows de vérification
Les humains sont impatients, nous vous recommandons donc d'intégrer une logique de nouvelle tentative dans votre interface de vérification de téléphone. L'API Verify lance des demandes de limitation de débit après que vous avez tenté d'envoyer un OTP au même numéro de téléphone plus de 5 fois en 10 minutes sans vérifier le numéro. Les tampons de nouvelle tentative permettent d'empêcher de spammer les utilisateurs sans le vouloir et d'atteindre les limites de débit de l'API.
Laissez les numéros de téléphone visibles dans le flux d'inscription et permettez aux utilisateurs de modifier le numéro de téléphone
Des fautes de frappe peuvent arriver. C'est pourquoi pour les cas d'usage de vérification de téléphone (contrairement à la connexion continue ou à l'authentification à double facteur), affichez le numéro de téléphone complet dans l'interface pour que l'utilisateur puisse détecter et corriger ses erreurs au lieu d'attendre désespérément un code de vérification.
Meilleures pratiques pour l'authentification continue des utilisateurs
Mémoriser les préférences de canal des utilisateurs
Une fois que l'utilisateur a vérifié son numéro, enregistrez tous ses canaux préférés (SMS, voix, e-mail, TOTP, Push) et envoyez le code par défaut à son canal préféré à l'avenir. Permettez à l'utilisateur de modifier le canal pour l'authentification à double facteur (A2F) dans l'interface s'il préfère un autre canal pour une authentification donnée.
Masquer le numéro de téléphone pendant l'authentification continue de l'utilisateur
Contrairement à la vérification initiale du téléphone, pour une authentification continue ou A2F, vous devez masquer le numéro de téléphone afin d'éviter toute fuite de PII. Contrairement à la vérification de téléphone, il n'existe aucune option permettant de modifier un numéro de téléphone pour l'authentification continue. Nous recommandons d'afficher 3 ou 4 chiffres et de masquer le reste, par exemple : +1 (5**) ***-**67 ou ********567.
Autres recommandations relatives à la sécurité des comptes
La conception d'une sécurité efficace est un processus continu qui évolue en même temps que la technologie et que vos clients. Les SMS et la voix constituent une excellente base pour la plupart des cas d'usage de la sécurité des comptes et ne vont pas disparaître de sitôt.
Voici d'autres documents Twilio utiles pour la vérification SMS :
- Meilleures pratiques en matière de vérification et d'authentification à double facteur
- Autre documentation relative à Twilio Verify
Si vous souhaitez effectuer une vérification au-delà des SMS, vous pouvez consulter la documentation suivante :
- L'A2F basée sur l'e-mail est-elle une bonne idée ?
- Qu'est-ce qu'un code temporaire à usage unique (TOTP) ?
- Comprendre l'authentification Push
J'ai hâte de voir ce que vous allez construire et sécuriser !
Twilio.org aide les créateurs d'impact social à utiliser la technologie numérique et les ressources financières pour étendre leur portée et leur influence. Lancez-vous dès aujourd'hui gratuitement. Inscrivez-vous ici pour obtenir vos crédits pour le programme Impact Access Program. Des critères d'éligibilité s'appliquent.
Articles associés
Ressources connexes
Twilio Docs
Des API aux SDK en passant par les exemples d'applications
Documentation de référence sur l'API, SDK, bibliothèques d'assistance, démarrages rapides et didacticiels pour votre langage et votre plateforme.
Centre de ressources
Les derniers ebooks, rapports de l'industrie et webinaires
Apprenez des experts en engagement client pour améliorer votre propre communication.
Ahoy
Le hub de la communauté des développeurs de Twilio
Meilleures pratiques, exemples de code et inspiration pour créer des expériences de communication et d'engagement numérique.