← Blog
Guide · 10 मिनट पढ़ें · Updated अप्रैल 2026

SMS वेरिफ़िकेशन कैसे काम करता है — तकनीकी व्याख्या

SMS वेरिफ़िकेशन कैसे काम करता है — तकनीकी व्याख्या

चरण 1: ओटीपी जनरेशन

जब कोई प्लेटफ़ॉर्म आपके फ़ोन नंबर को सत्यापित करने की आवश्यकता होती है, तो वह एक वन-टाइम पासवर्ड (ओटीपी) जनरेट करता है। सर्वर साइड पर क्या होता है, यहाँ बताया गया है:

  1. उपयोगकर्ता फ़ोन नंबर सबमिट करता है — प्लेटफ़ॉर्म का बैकएंड नंबर प्राप्त करता है और उसके प्रारूप को मान्य करता है (देश कोड, अंकों की संख्या, मान्य उपसर्ग)।
  2. ओटीपी जनरेट होता है — एक क्रिप्टोग्राफ़िक रूप से रैंडम कोड बनाया जाता है, आमतौर पर 4-6 अंकों का। अधिकांश कार्यान्वयन RFC 6238/RFC 4226 से टाइम-आधारित या काउंटर-आधारित सीड (TOTP/HOTP मानक) के साथ HMAC-SHA1 या HMAC-SHA256 का उपयोग करते हैं।
  3. ओटीपी संग्रहीत किया जाता है — कोड को समाप्ति टाइमस्टैम्प (आमतौर पर 60-300 सेकंड) के साथ सर्वर-साइड पर सहेजा जाता है और फ़ोन नंबर से जोड़ा जाता है।
  4. रेट लिमिटिंग लागू की जाती है — प्लेटफ़ॉर्म जाँचता है कि हाल ही में इस नंबर के लिए कितने ओटीपी का अनुरोध किया गया है। अधिकांश सेवाएँ प्रति घंटे प्रति नंबर 3-5 प्रयास की अनुमति देती हैं।
  5. एसएमएस एपीआई कॉल ट्रिगर होती है — प्लेटफ़ॉर्म अपने एसएमएस प्रदाता को फ़ोन नंबर और संदेश सामग्री के साथ एक अनुरोध भेजता है।

ओटीपी स्वयं आमतौर पर सिर्फ एक रैंडम नंबर होता है। प्लेटफ़ॉर्म संदेश में ओटीपी को हैश किए गए रूप में एम्बेड नहीं करते हैं — यह एसएमएस बॉडी में प्लेनटेक्स्ट के रूप में भेजा जाता है। यह एसएमएस सत्यापन की मूलभूत सुरक्षा कमजोरियों में से एक है।

चरण 2: A2P एसएमएस इकोसिस्टम

A2P का मतलब एप्लीकेशन-टू-पर्सन है — एक सॉफ़्टवेयर एप्लिकेशन से किसी व्यक्ति के फ़ोन पर भेजे जाने वाले संदेश। यह P2P (पर्सन-टू-पर्सन) मैसेजिंग से अलग है। A2P इकोसिस्टम का अपना इंफ्रास्ट्रक्चर है:

एसएमएस एग्रीगेटर्स

अधिकांश प्लेटफ़ॉर्म सीधे वाहकों के माध्यम से एसएमएस नहीं भेजते हैं। इसके बजाय, वे एसएमएस एग्रीगेटर्स का उपयोग करते हैं — ऐसी कंपनियाँ जो दुनिया भर में सैकड़ों वाहकों के साथ कनेक्शन बनाए रखती हैं। प्रमुख एग्रीगेटर्स में शामिल हैं:

जब Instagram आपको एक ओटीपी भेजता है, तो संदेश आपके वाहक तक पहुँचने से पहले संभवतः Twilio या इसी तरह के एग्रीगेटर से होकर गुजरता है। एग्रीगेटर रूटिंग, वाहक वार्ता और डिलीवरी की पुष्टि को संभालता है।

एसएमएस रूटिंग

एग्रीगेटर एसएमएस की डिलीवरी के लिए इष्टतम मार्ग निर्धारित करता है। एक यूएस नंबर के लिए, इसमें शामिल हो सकता है:

  1. प्लेटफ़ॉर्म एपीआई कॉल → एग्रीगेटर (जैसे, Twilio)
  2. एग्रीगेटर → वाहक गेटवे (जैसे, AT&T, T-Mobile)
  3. वाहक गेटवे → एसएमएससी (शॉर्ट मैसेज सर्विस सेंटर)
  4. एसएमएससी → एमएससी (मोबाइल स्विचिंग सेंटर)
  5. एमएससी → बेस स्टेशन → उपयोगकर्ता का फ़ोन

अंतर्राष्ट्रीय संदेश जटिलता जोड़ते हैं। एक यूएस-आधारित प्लेटफ़ॉर्म से भारतीय नंबर पर एक ओटीपी गंतव्य तक पहुँचने से पहले 2-3 मध्यवर्ती वाहकों के माध्यम से रूट हो सकता है। प्रत्येक हॉप विलंबता और विफलता की एक छोटी सी संभावना जोड़ता है।

क्या आप इसे क्रियान्वित होते देखना चाहते हैं?

VerifySMS को मुफ़्त में आज़माएँ →

वर्चुअल नंबर प्राप्त करें और वास्तविक समय में ओटीपी प्राप्त करें

चरण 3: SS7 और सिग्नलिंग लेयर

SS7 (सिग्नलिंग सिस्टम नंबर 7) प्रोटोकॉल सूट है जो नियंत्रित करता है कि फ़ोन नेटवर्क कैसे संचार करते हैं। 1970 के दशक में विकसित, यह अभी भी वैश्विक टेलीफोनी की रीढ़ है। जब एक एसएमएस भेजा जाता है, तो SS7 संभालता है:

SS7 सुरक्षा मुद्दे

SS7 को एक ऐसे युग में डिज़ाइन किया गया था जब केवल विश्वसनीय दूरसंचार ऑपरेटरों के पास नेटवर्क एक्सेस था। आज, SS7 एक्सेस हजारों संस्थाओं के लिए उपलब्ध है, जिससे सुरक्षा कमजोरियाँ पैदा होती हैं:

ये कमजोरियाँ ही कारण हैं कि सुरक्षा विशेषज्ञ एसएमएस-आधारित 2FA से ऐप-आधारित ऑथेंटिकेटर (TOTP) या हार्डवेयर कुंजी (FIDO2) की ओर बढ़ने की सलाह देते हैं। हालाँकि, प्रारंभिक खाता सत्यापन (यह साबित करना कि आपके पास एक नंबर तक पहुँच है) के लिए, एसएमएस उद्योग मानक बना हुआ है क्योंकि इसकी पहुँच सबसे व्यापक है।

चरण 4: वर्चुअल नंबर एसएमएस कैसे प्राप्त करते हैं

वर्चुअल फ़ोन नंबर सॉफ़्टवेयर के साथ भौतिक सिम और रेडियो घटकों को बदलकर काम करते हैं। यहाँ एक वर्चुअल नंबर ओटीपी कैसे प्राप्त करता है:

  1. नंबर असाइनमेंट — वर्चुअल नंबर प्रदाता वाहकों से नंबर ब्लॉक लीज पर लेता है। ये वैध वाहक पंजीकरण वाले वास्तविक फ़ोन नंबर हैं।
  2. सिम बैंक या सॉफ्ट सिम — प्रदाता हार्डवेयर (सैकड़ों या हजारों सिम वाले सिम बैंक) में भौतिक सिम कार्ड संचालित करता है या संदेश प्राप्त करने के लिए वाहक-स्तरीय सॉफ़्टवेयर एकीकरण का उपयोग करता है।
  3. एसएमएस वाहक पर आता है — ओटीपी संदेश वर्चुअल नंबर से जुड़े वाहक को वितरित किया जाता है, जैसे कोई अन्य एसएमएस।
  4. संदेश अग्रेषित किया जाता है — सिम बैंक या वाहक एकीकरण आने वाले एसएमएस को कैप्चर करता है और एपीआई के माध्यम से प्रदाता के बैकएंड पर अग्रेषित करता है।
  5. उपयोगकर्ता कोड देखता है — प्रदाता का डैशबोर्ड या एपीआई प्राप्त एसएमएस को उपयोगकर्ता को प्रदर्शित करता है।

मुख्य अंतर्दृष्टि: भेजने वाले प्लेटफ़ॉर्म के दृष्टिकोण से, एक वर्चुअल नंबर एक भौतिक फ़ोन के समान दिखता है। एसएमएस उसी रूटिंग पथ का अनुसरण करता है। अंतर अंतिम मील पर है — फ़ोन स्क्रीन पर प्रदर्शित होने के बजाय, संदेश को सॉफ़्टवेयर द्वारा कैप्चर किया जाता है।

चरण 5: प्लेटफ़ॉर्म-साइड सत्यापन

उपयोगकर्ता द्वारा ओटीपी प्राप्त करने और उसे प्लेटफ़ॉर्म पर दर्ज करने के बाद, सर्वर-साइड सत्यापन होता है:

  1. कोड तुलना — प्लेटफ़ॉर्म सबमिट किए गए कोड की तुलना संग्रहीत ओटीपी से करता है।
  2. समाप्ति जाँच — यदि ओटीपी समाप्त हो गया है (आमतौर पर 60-300 सेकंड), तो सत्यापन विफल हो जाता है।
  3. प्रयास गणना — अधिकांश प्लेटफ़ॉर्म सत्यापन को लॉक करने से पहले 3-5 गलत प्रयासों की अनुमति देते हैं।
  4. नंबर वर्गीकरण — कुछ प्लेटफ़ॉर्म संभावित दुरुपयोग को फ़्लैग करने के लिए वीओआईपी/वर्चुअल नंबर डेटाबेस के विरुद्ध नंबर की जाँच करते हैं।
  5. सफलता या विफलता — यदि कोड मेल खाता है और समाप्त नहीं हुआ है, तो फ़ोन नंबर को सत्यापित के रूप में चिह्नित किया जाता है।

प्लेटफ़ॉर्म वर्चुअल नंबर का पता कैसे लगाते हैं

कुछ प्लेटफ़ॉर्म वर्चुअल नंबरों को ब्लॉक करने का प्रयास करते हैं। वे जिन तरीकों का उपयोग करते हैं:

पहचान विधियह कैसे काम करता हैप्रभावशीलता
नंबर प्रकार लुकअपयह जांचने के लिए वाहक डेटाबेस से क्वेरी करता है कि नंबर मोबाइल, लैंडलाइन या वीओआईपी है या नहींमध्यम — कई वर्चुअल नंबर मोबाइल के रूप में पंजीकृत होते हैं
वाहक डेटाबेस जाँचज्ञात वीओआईपी प्रदाता श्रेणियों के विरुद्ध नंबर की तुलना करता हैमध्यम — बड़े प्रदाताओं के लिए काम करता है, छोटे लोगों को छोड़ देता है
HLR लुकअपसिम कार्ड विवरण के लिए होम लोकेशन रजिस्टर से क्वेरी करता हैसॉफ़्टवेयर-केवल नंबरों की पहचान के लिए उच्च, सिम बैंक नंबरों के लिए कम
व्यवहार विश्लेषणट्रैक करता है कि एक ही रेंज के नंबरों से कितने खाते बनाए गए थेसमय के साथ उच्च, लेकिन डेटा संचय की आवश्यकता होती है

वर्चुअल नंबर प्रदाता इन पहचानों का मुकाबला मोबाइल लाइनों के रूप में पंजीकृत वाहक-ग्रेड नंबरों का उपयोग करके, विविध नंबर पूल बनाए रखकर, और नंबरों को बार-बार घुमाकर करते हैं। पहचान-चोरी का चक्र जारी है।

अपनी खामियों के बावजूद एसएमएस सत्यापन क्यों बना रहता है

एसएमएस सत्यापन में ज्ञात सुरक्षा कमजोरियाँ हैं, फिर भी यह प्रमुख विधि बनी हुई है। कारण व्यावहारिक हैं:

उद्योग धीरे-धीरे विकल्पों की ओर बढ़ रहा है। पासकी (FIDO2), ऐप-आधारित TOTP, और पुश नोटिफिकेशन को अपनाया जा रहा है। लेकिन प्रारंभिक फ़ोन सत्यापन के लिए — यह साबित करने के लिए कि उपयोगकर्ता एक फ़ोन नंबर को नियंत्रित करता है — एसएमएस मानक बना हुआ है।

इस इकोसिस्टम में वर्चुअल नंबरों की भूमिका

वर्चुअल नंबर एक विशिष्ट स्थान पर कब्जा करते हैं: वे भौतिक उपकरण की आवश्यकता के बिना फ़ोन-नंबर-स्तर की पहुँच प्रदान करते हैं। यह वैध परिदृश्यों के लिए उपयोगी है, जिनमें शामिल हैं:

तकनीकी दृष्टिकोण से, वर्चुअल नंबर काम करते हैं क्योंकि वे इस तथ्य का फायदा उठाते हैं कि एसएमएस सत्यापन केवल एक नंबर के नियंत्रण को साबित करता है — न कि यह कि नंबर किसी की जेब में भौतिक फोन पर है। जब तक नंबर मान्य है और A2P संदेश प्राप्त कर सकता है, तब तक सत्यापन सफल होता है।

उन्नत: ओटीपी डिलीवरी ऑप्टिमाइज़ेशन

यदि आप एसएमएस सत्यापन लागू करने वाले डेवलपर हैं, तो विश्वसनीय डिलीवरी के लिए यहाँ तकनीकी विचार दिए गए हैं:

एसएमएस सत्यापन को प्राप्त करने वाली ओर से देखें

VerifySMS को मुफ़्त में आज़माएँ →

150+ देश · तत्काल सक्रियण · $0.10/नंबर

>संबंधित लेख