Prácticas recomendadas para la validación del número de teléfono durante la inscripción de nuevos usuarios

Prácticas recomendadas para la validación del número de teléfono durante la inscripción de nuevos usuarios

Tiene un nuevo usuario. Fantástico. Twilio proporciona un conjunto de herramientas para validar y verificar rápido el número de teléfono de un usuario, perfecto para una incorporación rápida y sin problemas. Veamos algunas de las prácticas recomendadas para conseguir que un usuario se registre en el servicio y se ponga en marcha, garantizando la precisión y reduciendo las inscripciones fraudulentas.

Esta publicación en el blog cubrirá las recomendaciones y las prácticas recomendadas para el registro de usuarios sin problemas que utilizan un número de teléfono. Hay recomendaciones similares para las cuentas de usuarios existentes que proporcionan el número de teléfono por primera vez, incluso si la cuenta de usuario ya existe.

A la hora de inscribir a un nuevo usuario, deberá centrarse en tres áreas:

1. Ingresar el número de teléfono, obtener el número de teléfono del usuario.
2. Validar el número de teléfono, asegurarse de que el número de teléfono es legítimo.
3. Verificar el número de teléfono, asegurarse de que el usuario tiene acceso al número de teléfono.

Prácticas recomendadas para ingresar el número de teléfono

Mantener el código del país en un campo separado

Los plugin, como el de ingresar datos telefónicos internacionales, proporcionan interfaces fáciles de usar y admiten la variedad de formatos de números de teléfono globales. Mantener el código del país separado es más fácil para el usuario y ayuda a garantizar que la entrada pueda transformarse en el formato estándar E.164.

Transformar el número de teléfono en formato E.164

E.164 es un formato de número de teléfono internacional estandarizado que garantiza números únicos. Este formato lo devuelve la API de búsqueda y lo utiliza la mayoría de las API de Twilio, incluida la API de verificación y las API de mensajería.

Este publicación del blog tiene recomendaciones para procesar la entrada de teléfonos internacionales en HTML y JavaScript.

[Opcional] Revisar que la geolocalización de la IP coincida con el código del país del número de teléfono

Existen motivos legítimos por los que un usuario puede registrarse con un número de teléfono en un país diferente, pero este comportamiento puede estar relacionado con una actividad fraudulenta.

Prácticas recomendadas para la validación del número de teléfono

Una vez que el usuario ingresó el número de teléfono, la API de búsqueda de Twilio proporciona inteligencia de número de teléfono compatible con el formato, la validación, la información del operador, el tipo de línea y más.

Utilice la API de búsqueda de Twilio para lo siguiente:

1. Confirmar que el número de teléfono es válido

No permita que los usuarios se registren o ingresen números no válidos como  o . Esta publicación de blog le mostrará cómo validar los números de teléfono en HTML.

2. Comprobar el tipo de línea, incluidos los números de celular, fijo y VoIP

La detección del tipo de línea  le permite enviar códigos de verificación de voz en lugar de SMS, muy útil si su empresa tiene una base de clientes de edad avanzada que es menos probable que tenga un teléfono con capacidad para SMS. Los números VoIP (detección disponible solo para los números de EE. UU.) pueden ser legítimos, pero puede decidir agregar una protección adicional en esta fase como reCAPTCHA.

Obtenga información sobre cómo detectar el tipo de línea con la API de búsqueda en esta publicación de blog.

3. Elaborar una lista de códigos de países permitidos para aceptar

Una lista de países permitidos en el momento de la inscripción es una buena forma de garantizar que se cumplen con los requisitos de cumplimiento, ya que se reduce el fraude o se controla el proceso de incorporación.

Con esta publicación de blog podrá obtener información sobre cómo crear una lista de países permitidos mediante la API de búsqueda.

4. Mantener una lista de operadores basada en la reputación

Al igual que la lista de países permitidos, ciertos operadores y prefijos se asocian a mayores tasas de fraude y spam. Detectar un operador antes de enviar el SMS puede ayudar a proteger la aplicación.

Solicite la aprobación del CLNPC para obtener información sobre el operador canadiense

Si opera en Canadá, tendrá que obtener una aprobación adicional del Canadian Local Number Portability Consortium (CLNPC) antes de que la API de búsqueda devuelva información sobre los números canadienses.

Prácticas recomendadas para la verificación telefónica

Envíe un código de acceso de un solo uso al número de teléfono proporcionado para asegurarse de que el usuario tiene acceso al número.

Esto ayuda a evitar que el usuario proporcione el número de teléfono de otra persona, ayuda a la empresa a garantizar registros únicos y es esencial para las próximas entregas de códigos de acceso o notificaciones de autenticación.

Aprenda a enviar un OTP por SMS en 5 minutos o menos con la API Twilio Verify en publicación de blog.

Desarrolle búferes de reintento en los flujos de trabajo de verificación

Los seres humanos son impacientes, por lo que recomendamos que desarrolle una lógica de reintento en la interfaz de verificación telefónica. La API de verificación iniciará las solicitudes de limitación de velocidad después de que intente enviar un OTP al mismo número de teléfono más de 5 veces en 10 minutos sin verificar el número. Los búferes de reintento ayudan a evitar tanto el envío accidental de spam a los usuarios como el incumplimiento de los límites de velocidad de la API.

Mantenga los números de teléfono visibles en el flujo de inscripción y permita a los usuarios editar el número de teléfono

Los errores tipográficos son una realidad, así que para los casos de uso de la verificación telefónica (a diferencia del inicio de sesión continuo o la autenticación de dos factores), muestre el número de teléfono completo en la interfaz para que el usuario pueda detectar y corregir cualquier error en lugar de esperar impotente un código de verificación.

Prácticas recomendadas para la autenticación constante de usuarios

Almacene las preferencias de canal de los usuarios

Una vez que el usuario haya verificado el número, almacene los canales preferidos (ya sea SMS, voz, correo electrónico, TOTP, push) y envíe el código al canal preferido predeterminado en el futuro. Permita que el usuario cambie el canal de entrega de la autenticación de dos factores (2FA) en la interfaz si decide que prefiere un canal diferente para una autenticación determinada.

Oculte el número de teléfono durante la autenticación constante del usuario

A diferencia de la verificación telefónica inicial, para la autenticación constante o de 2FA debe ocultar el número de teléfono para evitar la filtración de la información personal. A diferencia de la verificación telefónica, no existe la opción de editar un número de teléfono para la autenticación constante. Recomendamos que deje visible 3 o 4 números y oculte el resto como  o .

Otras recomendaciones para la seguridad de las cuentas

El diseño de la seguridad utilizable es un proceso continuo que evoluciona a medida que la tecnología avanza y que los clientes se adaptan. Los SMS y la voz son una gran base para la mayoría de los casos de uso de la seguridad de las cuentas y no van a desaparecer pronto.

Si está interesado en realizar una verificación más allá de los SMS, asegúrese de consultar:

• ¿Es una buena idea la 2FA basada en el correo electrónico?
• ¿Qué es una contraseña única basada en el tiempo (TOTP)?
• Información sobre la autenticación push

¡Estoy ansioso por ver lo que es capaz de crear y asegurar!