By 
Bad actors can target phone verification or two-factor authentication flows to artificially inflate SMS traffic. Certain carriers, knowingly or not, allow this to happen and the fraudsters make money off of this inflated traffic. This could lead to higher than expected Twilio traffic for you.
Our Verify API for sending one-time passcodes includes comprehensive fraud mitigation mechanisms. However, no provider-side solution can guarantee 100% effectiveness against sophisticated attackers, which is why we encourage customer participation in preventing attacks.
Fortunately, Twilio's Lookup API can detect carriers and we can use this to filter out known bad actors before sending an SMS verification.
Here's a quick snippet of an example block list:
const accountSid = process.env.TWILIO_ACCOUNT_SID;
const authToken = process.env.TWILIO_AUTH_TOKEN;
const client = require("twilio")(accountSid, authToken);
// hard coded for demo purposes only
const block = ["12301", "12302"];
client.lookups
.phoneNumbers("+15108675310")
.fetch({type: ["carrier"]})
.then((resp) => {
const mccmnc = resp.carrier.mobile_country_code + resp.carrier.mobile_network_code
if (block.includes(mccmnc)) …
この記事は、デベロッパー エバンジェリストのKelley Robinsonが、こちら(英語)で執筆した記事を日本語化したものです。
Twilio Verifyは、ワンタイムパスコード(OTP)をSMS/電話/メール/プッシュ/TOTP(Time-based One-Time Password)を介して送信・検証し、ユーザーID認証を行う専用ソリューションです。企業が独自のOTPソリューションを構築する際に、Twilioが提供するProgrammable Messaging APIを、その基盤部分で利用できますが、社内でOTPソリューションを維持管理することは複雑で、多くのリソースを必要とします。特に、メッセージングの市況やコンプライアンス要件が変化し続ける中では、その複雑性はなおさらです。こういった中、多くの企業がTwilio Verifyに移行している背景として、Programmable Messagingと変わらないグローバルな信頼性や、圧倒的な大規模配信性に加えて、以下のような利点があるものと考えています。
- 規制やコンプライアンス管理: 例 - 米国のA2P 10DLC (application-to-person 10 digit long codeの略)
- Twilio Verifyの一環として確保済みの送信電話番号プールがサービスに含まれていること (ショートコード、ロングコード、フリーダイヤル、グローバルな英数字の送信者ID*など)
- Twilio Verifyの一環として最適化されたワールドワイドな配信 (送信元種別やコンプライアンスなどへ …
You have a new user! Great! Twilio provides a set of tools for quickly validating and verifying a user's phone number, perfect for quick and seamless onboarding. Let's look at some best practices for how to get a user registered for your service and on their way while ensuring accuracy and reducing fraudulent sign ups.
This blog post will cover recommendations and best practices for seamless user registration that uses a phone number. Similar recommendations apply to existing user accounts that are providing their phone number for the first time, even if the user account already exists.
You'll want to focus on three areas when enrolling a new user:
- Phone number input, collecting the phone number from the user.
- Phone number validation, ensuring the phone number is legitimate.
- Phone number verification, ensuring that the user has access to the phone number.
Best practices for phone number input …
Humans are impatient creatures, so while SMS verification or two-factor authentication (2FA) codes may come through quickly in most parts of the world, we always recommend building retry buffers into verification workflows. This helps prevent:
- Accidentally spamming a user with repeated text messages
- Hitting API rate limits
- Toll fraud or unnecessary spend
While the best practices in this post are written with the Twilio Verify API in mind, many apply regardless of your 2FA provider. Combined with other best practices like building an allow list of country codes to verify, these steps can help make sure your user verification workflow is as seamless as possible.
Launch a demo application with SMS retry best practices
This project is also available to Quick Deploy on the Twilio Code Exchange -- no code required!
I built an application that shows off the best practices outlined in this post. The application is quick to …
From ticket releases to product restocks, appointment availability to breaking news, SMS notifications and broadcasts are a handy tool to keep your customers engaged about the things they care about.
This tool allows users to sign up for SMS notifications with an easy form. Users are verified with Twilio's Verify API to both decrease fraud and ensure that you're only sending messages to people who want to see them. The application optionally supports tags, so you can segment notifications to different groups of people.
This blog post will walk you through how to launch your own SMS notification service with no code and how to edit the project for some common modifications.
Prerequisites for sending broadcast notifications to verified subscribers
Before you can send an SMS broadcast you'll need to:
Step 1: Sign up for or sign into your Twilio account - sign up or sign in.
Step 2: Search …
Hallo und Danke fürs Lesen! Dieser Blogpost ist eine Übersetzung von What is Public Key Cryptography? Während wir unsere Übersetzungsprozesse verbessern, würden wir uns über Dein Feedback an help@twilio.com freuen, solltest Du etwas bemerken, was falsch übersetzt wurde. Wir bedanken uns für hilfreiche Beiträge mit Twilio Swag :)
Von TLS bis Authentifizierung – der Begriff „krypto“ bezieht sich nicht nur auf Währungen. Das Thema Sicherheit sollte für jeden Entwickler oberste Priorität haben, und die Kryptografie ist ein wichtiger Baustein der Bibliotheken und Tools, die wir zum Schutz unserer Daten und Anwendungen einsetzen. In diesem Blog-Beitrag geht es um die Public-Key-Kryptografie, die auch als asymmetrische Kryptografie bezeichnet wird. Ich gebe einen Überblick über die Funktionsweise und die Anwendungsbereiche im Alltag, beispielsweise, wie wir bei Twilio Public-Key-Kryptografie in unserer Anwendung Authy und zur Sicherung unserer API nutzen.
Wir beginnen jedoch mit ein paar Informationen zum Hintergrund und zur Entstehung.
Wer sind Alice …
Hallo und Danke fürs Lesen! Dieser Blogpost ist eine Übersetzung von 3 ways to implement PSD2's strong customer authentication (SCA) requirement. Während wir unsere Übersetzungsprozesse verbessern, würden wir uns über Dein Feedback an help@twilio.com freuen, solltest Du etwas bemerken, was falsch übersetzt wurde. Wir bedanken uns für hilfreiche Beiträge mit Twilio Swag :)
Die Zweite Zahlungsdiensterichtlinie (PSD2) des Europäischen Parlaments und des Rates erfordert eine starke Kundenauthentifizierung, wenn der Zahler:
- einen elektronischen Zahlungsvorgang von mehr als 30 € auslöst*
- online auf sein Zahlungskonto zugreift
- über einen Fernzugang eine Handlung vornimmt, „die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt“
Dies gilt für:
- Unternehmen und/oder Kunden im Europäischen Wirtschaftsraum
- Online-Transaktionen bzw. Transaktionen ohne Vorlage einer Debit- oder Kreditkarte (CNP, Card not present)
Ursprünglich sollte die Richtlinie bis zum September 2019 in Kraft treten, aber diese Frist wurde bis zum 31. Dezember 2020 verlängert (die Frist zur Umsetzung der …
Hallo und Danke fürs Lesen! Dieser Blogpost ist eine Übersetzung von How to use the Authy API with Google Authenticator (or any compatible authenticator app). Während wir unsere Übersetzungsprozesse verbessern, würden wir uns über Dein Feedback an help@twilio.com freuen, solltest Du etwas bemerken, was falsch übersetzt wurde. Wir bedanken uns für hilfreiche Beiträge mit Twilio Swag :)
Zeitbasierte Einmalpasswörter (TOTP) sind eine Methode, um kurzlebige Authentifizierungstoken zu erzeugen, die gewöhnlich für die Zwei-Faktor-Authentifizierung (2FA) verwendet werden. Der Algorithmus für TOTP wird in RFC 6238 definiert, was bedeutet, dass der offene Standard auf kompatible Weise in mehreren Anwendungen implementiert werden kann. Wir kennen TOTP vielleicht von Apps wie Authy oder Google Authenticator, aber es gibt noch viele weitere Optionen, darunter Duo und Microsoft Authenticator.
Wenn wir unsere Benutzer zur Aktivierung von 2FA bewegen können, dann haben wir im Kampf um eine bessere Kontosicherheit schon halb gewonnen. Deshalb empfehle ich, Kunden …
Hallo und Danke fürs Lesen! Dieser Blogpost ist eine Übersetzung von How to Validate Phone Number Input in HTML and JavaScript. Während wir unsere Übersetzungsprozesse verbessern, würden wir uns über Dein Feedback an help@twilio.com freuen, solltest Du etwas bemerken, was falsch übersetzt wurde. Wir bedanken uns für hilfreiche Beiträge mit Twilio Swag :)
Falls du schon einmal „Telefonnummer RegEx“ gegoogelt und es gleich wieder bereut hast, dann bist du hier genau an der richtigen Stelle gelandet. Es gibt zahlreiche gültige Formate für Telefonnummern, aber zum Glück gibt es kostenlose Tools, mit denen wir die Gültigkeit von Telefonnummern überprüfen können.
In diesem Blogbeitrag gehe ich auf zwei verschiedene Möglichkeiten ein, wie wir die Gültigkeit einer Telefonnummer überprüfen können: mit der Twilio Lookup-API und dem JavaScript-Plug-in „intl-tel-input“. Dieser Beitrag baut auf meinem Blog Erstellen eines Eingabefelds für internationale Telefonnummern in HTML und JavaScript auf. Darin erkläre ich, wie wir …
Hallo und Danke fürs Lesen! Dieser Blogpost ist eine Übersetzung von How to build international phone number input in HTML and JavaScript. Während wir unsere Übersetzungsprozesse verbessern, würden wir uns über Dein Feedback an help@twilio.com freuen, solltest Du etwas bemerken, was falsch übersetzt wurde. Wir bedanken uns für hilfreiche Beiträge mit Twilio Swag :)
Der internationale Standard für Telefonnummern wird in der Richtlinie E.164 geregelt, die vorschreibt, in welchem Format Ländervorwahlen und Rufnummern kombiniert werden: +14155552671. Dieses Format ist für viele APIs (einschließlich Twilio-APIs) erforderlich und bedeutet für uns, dass wir Ländervorwahlen und Telefonnummern nicht in zwei verschiedenen Datenbankspalten speichern müssen.
Wir möchten jedoch nicht, dass die Benutzer ein +-Zeichen und die Ländervorwahl eingeben müssen, wenn sie ihre Telefonnummer für folgende Zwecke angeben:
- Registrierung eines neuen Kontos
- Aktivierung von 2FA für SMS
- Bitte um Rückruf vom Kundenservice
- Anmeldung für Marketingmitteilungen
In diesem Blogbeitrag beschreibe ich, wie ein Eingabefeld …