Комментарии
Что не так с кодами из sms и чем дешевле их заменить
Авторизация по звонку: обзор сервисов
Сибирикс
Авторизация по звонку: обзор сервисов
Что не так с кодами из sms и чем дешевле их заменить
Быстрая регистрация на сайте? Ловите одноразовый код из sms. Оплата онлайн-покупки банковской картой? Код (который никому низя сообщать) пополнил вашу длинную sms-переписку с банком. Пользуетесь публичным Wi-Fi в аэропорту? А вот тут бывает нестандартненько: вместо sms вам звонит неизвестный номер, где последние 4 цифры и будут кодом для авторизации. Но теперь такую авторизацию можно встретить и в интернет-магазинах, приложениях и онлайн-сервисах.

Казалось бы, зачем бизнесу такая механика? Ведь к эсэмэскам уже все давно привыкли, им дверяют. Откроем тайну — авторизация по звонку дешевле. И по факту не добавляет никаких сложностей пользователю. О ней сегодня и поговорим: что за механика такая, чем хороша, какие сервисы есть и сколько это реально стоит.

Авторизация по sms: что с ней не так и её альтернативы

При регистрации на сайтах или входе в личный кабинет нужно авторизоваться. Чтобы сделать банковский перевод — тоже. Если у ресурса, куда вы хотите войти, настроена двухфакторная аутентификация, вам понадобится одноразовый код-пароль. Такая авторизация считается более надежной и защищенной от посягательств кибер-преступников.

Для отправки пользователю одноразового кода есть несколько вариантов, и самый распространённый — это прислать его в sms-сообщении. Их вы сто раз получали от вашего банка, если оплачивали картой покупки в интернет-магазинах и онлайн-сервисах. Пользователям такой сценарий привычен, а вот бизнесу выходит в копеечку: от 1,5 до 2,4 рублей за каждое сообщение в зависимости от оператора связи.
Если на сайте есть двухфакторная авторизация или подтверждение заказа с помощью одноразового кода, и таких операций за сутки больше 5000, получится около 300 000 рублей в месяц на одни только sms с кодом пользователям. Если операции с одноразовыми кодами стремятся к 100 000 ежедневно, даже несмотря на скидки за объём, сумма выйдет ещё больше — порядка миллиона рублей в месяц (есть кейсы, где и по 1 500 000 рублей уходило на эсэмэски). Такое себе.
Другая проблема авторизаций по sms — их легко могут обойти боты с помощью сервисов приёма сообщений на виртуальные номера. И не только боты, кстати — «знатоки» вот тут рассказывают, как обойти авторизацию по sms с помощью временных номеров. В этом случае реальный пользователь не попадает в базу клиентов, а бизнес несёт дополнительные убытки, если вдруг решит включить указанный номер для рассылки уведомлений или акций (собственно, пользователи используют виртуальные номера, чтобы получать меньше рекламы, и их можно понять).

Альтернативных варианта пока три:

1. Авторизация через Whatsapp

Пользователю на сайте при авторизации предлагают выбрать мессенджер вместо привычной sms-ки: тот вводит номер телефона, переходит в приложение, получает сообщение с кодом и вводит его в нужное поле.

Стоимость: от 1,5 рублей за сообщение. Не так уж и дешево, скажете вы. Плюс в том, что это стоимость в течение 24 часов с момента коммуникации с клиентом через мессенджер. То есть, если он будет входить и выходить хоть по 100 раз на дню, вы ничего не платите сверху.

Важно: просто взять и написать с какого-то личного номера телефона пользователям не получится. Вам потребуется официальный аккаунт бренда в WhatsApp и шаблоны HSM сообщений (Highly Structured Message — сообщений, которые вы отправляете клиенту первым, даже если он не знает о вашем существовании). Также вам понадобится провайдер (например, Chat API), интеграция с ним по API и настройка автоматической отправки сообщений.

Если не нравится Whatsapp, можно попробовать Viber — он в топе популярных мессенджеров. Средняя стоимость сервисного сообщения там ещё ниже — от 0,5 рублей.

2. Отправка кодов через ВКонтакте

Делается с помощью сервисных рассылок от сообщества компании (если сообщества в ВК у вас нет — придётся создать). Пользователи получат сообщения, даже если не являются подписчиками вашего сообщества — это плюс. Минус в том, что для одноразовых паролей или подтверждений регистрации важна скорость доставки, а если у юзера отключены уведомления в соцсети, скорость сразу страдает. Поэтому придётся настраивать дополнительный сценарий доставки сообщения, если этот не сработает (с опорой на статус прочитанности сообщения в соцсети).

Стоимость: от 0,3 рубля, в среднем выходит около 0,6 рублей за каждое прочитанное сообщение.

3. Авторизация по звонку

Как раз тот самый случай, когда вместо кода из эсэмэски или сообщения из мессенджера используется звонок. У этого метода два основных преимущества: низкая цена и моментальная скорость доставки кода по сравнению с sms (эсэмэски иногда задерживаются по 4−5 минут, а пользователь нервничает и вообще-то в принципе не готов ждать).

У авторизации по звонку есть три возможных механики:

1) Исходящий звонок на указанный номер
Пользователь звонит, происходит сброс звонка — это действие и считается авторизацией. По факту пользователь ничего не платит, поскольку соединения не было.

У решения есть один существенный минус — дискомфорт для пользователя: номер нужно набрать, а это дополнительное усилие. Которое он, скорее всего, не захочет совершать и уйдет на сайт к конкуренту со старой-доброй авторизацией через пароль в эсэмэске. Но даже если набрать номер человеку будет несложно, его доверие к такому способу авторизации стремится к нулю — номер неизвестный, и в этом ищется подвох: а вдруг мошенники? Третий аргумент против — в век, когда пользователь старается не звонить никуда вообще, а решать все вопросы в переписке, заставлять его звонить — практически насилие :)

2) Входящий звонок от робота
Сценарий, похожий на доставку пароля в sms: пользователь оставляет свой номер телефона в форме на сайте, ему перезванивает робот и диктует пароль для авторизации.

С точки зрения пользователя вариант лучше, хотя его опять заставляют совершить усилие: запомнить на слух 4 цифры кода. Если человек авторизуется в людном месте или рядом кричат дети/работает строительная техника, пароль банально можно не расслышать. Но и есть особо запущенные случаи, когда людям сложно запоминать цифры :)

3) Call Password или Flash Call
Самый простой и понятный способ авторизации, максимально похожий на пользовательский опыт с sms-кодом: пользователь оставляет в форме номер своего телефона, ему перезванивают — трубку брать не нужно, паролем будут 4−6 последних цифр номера входящего звонка.

Среди прочих плюсов этого способа — дешевизна (стоимость начинается от 0,1 рубля), и возможность авторизации с номера любой страны (с sms-кодом так не получится).

Сервисов, предоставляющих услугу авторизации по звонку не так уж много — мы усердно гуглили и нашли аж целых 5.
Что думают пользователи об авторизации по входящему звонку (источник)

Обзор сервисов

Предлагает авторизацию входящим звонком. Два повторных звонка, если до пользователя не получилось дозвониться в первый раз — бесплатно. Есть понятное API или готовый виджет по типу всем известной Captcha, который можно добавить на сайт без помощи программистов.
Как выглядит виджет Call Password от uCaller
Для интеграции есть два сценария:

  1. Владелец сайта отправляет через API номер телефона пользователя и четырехзначный код для проверки — сервис делает дозвон клиенту с номера, который оканчивается на присланный четырехзначный код. Проверка корректности кода осуществляется полностью на стороне сайта.

  2. Владелец сайта отправляет через API номер телефона пользователя — сервис звонит клиенту с номера, который оканчивается на случайно сгенерированный четырехзначный код, который заранее передается владельцу сайта. Проверка корректности кода происходит также на стороне сайта.

Стоимость: тарифный план зависит от суммы пополнения (за всё время работы с сервисом) или от общего количества авторизаций (также за всё время работы с сервисом). Тарифы — гибкие: скидка на услуги сервиса повышается по мере работы. Стартовый тариф начинается от 0,60 рублей для российских номеров (0,90 руб. для международных), годится, если на сайте у вас менее 3000 авторизаций за отчетный период.
У этого провайдера, помимо авторизации по входящему звонку, есть и другие услуги: IP-телефония, автообзвоны клиентов, запись голосового меню и прочие плюшки для бизнеса.

Сервис обещает подтверждение международных номеров (Украина, Казахстан, Беларусь, ЕС и другие направления) и резервирование оператора для доставки пароля — это обещает чёткую работу мобильной сети, даже если есть перебои с сигналом (помимо мобильных операторов связи у них есть какие-то секретные альтернативы). Есть система статистики, которая анализирует динамику авторизаций, показывает информацию о доставке звонков и правильности ввода пароля. Это гарантирует 100%-ную доставку паролей пользователю.

Стоимость: зависит от объёма авторизаций, минимальный платеж начинается с 2500 рублей в месяц — потенциально он способен покрыть до 5000 авторизаций, где стоимость каждой будет 0,5 рублей. Больше авторизаций — дешевле каждая:
В компании обращают внимание, что цены в таблице — без НДС

Сервис предлагает рассылку кодов в sms и по звонку, а также таргетированную sms-рекламу, настройку рассылок и другие решения владельцам бизнеса для информирования потенциальных клиентов.

Есть два варианта интеграции по API:

  1. Владелец сайта передаёт код и номер телефона в сообщении по SMPP или по HTTP API в i-Digital. Сервис генерирует звонок с этим кодом в номере.

  2. Владелец сайта передаёт по API только номер телефона пользователя для отправки кода. Сервис генерирует одноразовый код от 4 до 6 символов, по API передает его в бэкенд сайта и одновременно совершает звонок пользователю с кодом в номере. При совпадении кода аутентификация считается успешной.
Стоимость: фиксированная и не зависит от объёма авторизаций. По Р Ф — 0,80 рублей, по СНГ— 1,20 рублей, по миру — 1,80 рублей (все цены уже с НДС 20%).

У компании в арсенале смс- и голосовые рассылки, голосовые роботы и боты, смс-реклама. Авторизация по звонку есть аж в 5-х сценариях:

  • последние 4 цифры входящего номера,
  • входящий звонок пользователю от голосового робота — робот произносит код,
  • исходящий звонок пользователя и вопросы от робота,
  • просто исходящий звонок пользователя — соединения не будет, звонок сразу сбросится,
  • исходящий звонок пользователя и ввод кода со страницы авторизации в тональном наборе.
Как вы помните, первый вариант самый безотказный с точки зрения пользователя :) Интеграция по API простая, нюансы лишь в выбранном способе реализации.

Стоимость: фиксированная — 0,35 рублей по РФ. Скидки начинаются от 100 000 звонков в месяц. Другие страны сильно варьируются: за абонента из Аргентины вы заплатите 0,10 рублей, а из Австралии — аж 22 рубля.

Abc

Сервис, который предлагает единственный сценарий: пользователю нужно позвонить по указанному в форме авторизации номеру и дождаться сброса звонка. Устанавливается на сайт посредством REST API, и до 2021 года им можно пользоваться бесплатно.

Стоимость: бесплатно для веб-страниц и ресурсов с посещаемостью до 100 000 пользователей в сутки. Поддерживает до 10 параллельных авторизаций. На тарифе «премиум» — до 100. Если вы хотите протестировать авторизацию по звонку, не заплатив ни копейки — это отличный вариант (успевайте, пока не наступил 2021 год). Чтобы начать работу, нужно зарегистрироваться.

Из альтернатив этому сервису (если вы настаиваете на необходимости пользователя самому куда-то звонить), есть сервис от sms.ru и Phoneverify. Первый — бесплатный (по крайней мере, так написано), второй — не слишком внушает доверие.
Мы, как обычно, никого намеренно не советуем — решать только вам, какой сервис использовать. Но в случае с авторизацией по звонку нам всё-таки кажется, что заставлять пользователя звонить на неизвестный номер — так себе затея. Поэтому выбирайте варианты, где последние 4−6 цифр входящего звонка будут паролем, чтобы не увеличивать число отказов :)