Práticas recomendadas para validação de número de telefone durante a inscrição de novo usuário

Práticas recomendadas para validação de número de telefone durante a inscrição de novo usuário

Você tem um novo usuário! Ótimo! A Twilio fornece um conjunto de ferramentas para validar e verificar rapidamente o número de telefone de um usuário, ideal para um onboarding rápido e confiável. Vamos conhecer algumas práticas recomendadas para registrar e iniciar um usuário no seu serviço, garantindo a precisão e reduzindo inscrições fraudulentas.

Esta postagem do blog abordará recomendações e práticas recomendadas para o registro confiável de usuários por meio de um número de telefone. Recomendações semelhantes se aplicam a contas de usuário existentes que fornecem seu número de telefone pela primeira vez, mesmo que a conta de usuário já exista.

Você deve se concentrar em três áreas ao inscrever um novo usuário:

1. Entrada do número de telefone, coletando o número de telefone do usuário.
2. Validação do número de telefone, garantindo que o número de telefone é legítimo.
3. Verificação do número de telefone, garantindo que o usuário tem acesso ao número de telefone.

O que é a validação do número de telefone?

A validação do número de telefone é um tipo de verificação de identidade para garantir que seu usuário tem acesso ao número de telefone fornecido. Isso ajuda a evitar erros de digitação inocentes e fraudes mais nefastas. A verificação por telefone baseada em SMS é uma maneira fácil de fornecer segurança adicional. A validação é geralmente fornecida por meio de uma senha de uso único (OTP) enviada por SMS ou outros provedores de mensagens, como WhatsApp ou RCS.

Práticas recomendadas para entrada do número de telefone

Mantenha o código do país em um campo separado

Plugins como entrada de telefone internacional fornecem interfaces de fácil utilização e suportam a variedade de formatos de números de telefone globais. Manter o código do país separado torna o uso mais fácil e ajuda a garantir que a entrada possa ser transformada no formato padrão E.164.

Transforme o número do telefone no formato E.164

E.164 é um formato de número de telefone internacional padronizado que garante números exclusivos. Esse formato é retornado pela API Lookup e é usado pela maioria das APIs da Twilio, incluindo as APIs Verify e Messaging.

Esta postagem do blog traz recomendações para processar entradas de telefone internacionais em HTML e JavaScript.

[Opcional] Verifique se a geolocalização de IP corresponde ao código do país do número de telefone

Há motivos legítimos pelos quais um usuário pode estar se inscrevendo com um número de telefone em um país diferente, mas esse comportamento pode estar correlacionado a atividades fraudulentas.

Práticas recomendadas para validação do número de telefone

Uma vez que o usuário tenha inserido seu número de telefone, a API Twilio Lookup fornece inteligência de número de telefone com suporte para formatação, validação, informações da operadora, tipo de linha e muito mais.

Use a API Twilio Lookup para:

1. Verificar se o número de telefone fornecido é válido

Não permitir que os usuários se inscrevam ou digitem números inválidos, como 12345 ou +1 (111) 111-1111. Este artigo do blog mostrará como validar números de telefone em HTML.

2. Verificar o tipo de linha, incluindo números de telefone celular, telefone fixo e VoIP

A detecção de um tipo de linha landline permite enviar códigos de verificação de voz em vez de SMS, o que é especialmente útil se sua empresa tiver uma base de clientes mais antiga com menor probabilidade de ter um telefone compatível com SMS. Os números VoIP (detecção disponível apenas para números dos EUA) podem ser legítimos, mas você tem a opção de adicionar proteção adicional neste estágio, como o reCAPTCHA.

Saiba como detectar o tipo de linha com a API Lookup neste artigo do blog.

3. Criar uma lista de códigos de países para aceitar

Uma lista de países permitidos na inscrição é uma ótima maneira de garantir que você esteja atendendo aos requisitos de conformidade, reduzindo fraudes ou controlando de outra forma seu pipeline de integração.

Este artigo do blog mostrará como criar uma lista de países permitidos usando a API Lookup.

4. Manter uma lista de operadoras com base na reputação

Semelhante à lista de códigos de países permitidos, determinadas operadoras e prefixos estão associados a taxas maiores de fraude e spam. Detectar uma operadora antes de enviar o SMS pode ajudar a proteger seu aplicativo.

Solicite a aprovação do CLNPC para obter informações sobre operadoras canadenses

Se você estiver operando no Canadá, precisará obter aprovação adicional do CLNPC antes que a API Lookup retorne informações sobre números canadenses.

Práticas recomendadas para verificação de telefone

Envie uma senha de uso único (OTP) para o número de telefone fornecido para garantir que o usuário tem acesso ao número

Isso ajuda a impedir que o usuário forneça o número de telefone de outra pessoa, ajuda sua empresa a garantir inscrições exclusivas e é essencial para a entrega de senhas ou notificações de autenticação futuras.

Saiba como enviar uma OTP via SMS em 5 minutos ou menos com a API Twilio Verify nesta publicação do blog.

Crie buffers de repetição em fluxos de trabalho de verificação

Os seres humanos são impacientes, por isso recomendamos criar uma lógica de repetição na interface de verificação de telefone. A API Verify iniciará solicitações de limitação de taxa após você tentar enviar uma OTP para o mesmo número de telefone mais de 5 vezes em 10 minutos sem verificar o número. Os buffers de repetição ajudam a evitar o envio acidental de spam aos usuários e o alcance dos limites de taxa da API.

Mantenha os números de telefone visíveis no fluxo de inscrição e permita que os usuários editem o número de telefone

Erros de digitação acontecem. Para casos de uso de verificação por telefone (em oposição ao login contínuo ou autenticação de 2 fatores), exiba o número de telefone completo na interface para que o usuário possa detectar e corrigir erros ao invés de esperar por um código de verificação que nunca chegará.

Práticas recomendadas para autenticação contínua do usuário

Armazene as preferências de canal dos usuários

Depois que um usuário verificar seu número, armazene todos os canais preferidos (por exemplo, SMS, voz, e-mail, TOTP ou push) e envie os códigos futuros para seu canal preferido por padrão. Permita que o usuário altere o canal para entrega de autenticação de 2 fatores (2FA) na interface se ele decidir que prefere um canal diferente para uma determinada autenticação.

Mascare o número de telefone durante a autenticação contínua do usuário

Ao contrário da verificação inicial por telefone, para a autenticação contínua ou 2FA, você deve mascarar o número de telefone para evitar vazamento de IPI. Ao contrário da verificação por telefone, não há opção de editar um número de telefone para a autenticação contínua. Recomendamos expor 3 ou 4 números e mascarar o resto como +1 (5**) ***-**67 ou ********567.

Outras recomendações para a segurança da conta

Projetar a segurança utilizável é um processo contínuo que evolui à medida que a tecnologia avança e os clientes se adaptam. O SMS e a voz são uma ótima base para a maioria dos casos de uso de segurança de contas e não irão desaparecer tão cedo.

Alguns documentos adicionais da Twilio que você pode utilizar para verificação por SMS podem ser encontrados aqui:

• Práticas recomendadas de verificação e autenticação de dois fatores
• Outra documentação da Twilio sobre o Verify

Se você estiver interessado em verificar além do SMS, verifique:

• A 2FA baseada em e-mail é uma boa ideia?
• O que é uma senha de uso único baseada em tempo (TOTP)?
• Noções básicas sobre autenticação por push

Mal posso esperar para ver o que você vai criar e proteger!

O Twilio.org ajuda os criadores de impacto social a usar a tecnologia digital e os recursos financeiros para dimensionar seu alcance e impacto. Comece hoje mesmo gratuitamente. Inscreva-se aqui para receber seus créditos de produtos do programa Impact Access. Aplicam-se critérios de qualificação.