Virtual Phone Numbers for SMS Verification

Proses Verifikasi SMS: Ikhtisar

Pada tingkat tinggi, verifikasi SMS mengikuti langkah-langkah berikut:

1. Pengguna memulai tindakan yang memerlukan verifikasi
2. Server menghasilkan kata sandi satu kali (OTP)
3. Server mengirim OTP melalui gateway SMS
4. Gateway SMS merutas pesan melalui jaringan operator
5. Pesan tiba di ponsel pengguna
6. Pengguna memasukkan OTP kembali ke aplikasi
7. Server memvalidasi OTP
8. Tindakan diizinkan atau ditolak

Marilah kita jelaskan setiap langkah secara detail.

Langkah 1: Memicu Verifikasi

Verifikasi SMS dipicu oleh tindakan pengguna tertentu yang memerlukan konfirmasi identitas:

• Penciptaan akun: Mengkonfirmasi nomor ponsel selama pendaftaran
• Login dari perangkat baru: Memverifikasi identitas saat mengakses dari perangkat atau lokasi yang tidak dikenal
• Reset kata sandi: Mengkonfirmasi pemilik akun sebelum mengizinkan perubahan kata sandi
• Autorizasi transaksi: Memverifikasi transaksi keuangan yang bernilai tinggi atau tidak biasa
• Perubahan profil: Mengkonfirmasi identitas sebelum mengubah pengaturan akun yang sensitif

Logika backend aplikasi menentukan kapan verifikasi diperlukan. Ini biasanya berdasarkan algoritma penilaian risiko yang mengevaluasi faktor-faktor seperti alamat IP, sidik jari perangkat, lokasi geografis, dan pola perilaku.

Pemicuan Berbasis Risiko

Platform modern tidak memverifikasi setiap tindakan. Sebagai gantinya, mereka menggunakan penilaian risiko adaptif:

• Risiko rendah (perangkat yang dikenal, lokasi biasa): Tidak ada verifikasi yang diperlukan
• Risiko sedang (perangkat baru, negara yang sama): Verifikasi email mungkin cukup
• Risiko tinggi (perangkat baru, negara berbeda, VPN terdeteksi): Verifikasi SMS dipicu
• Risiko kritis (transaksi keuangan, perubahan kata sandi): Verifikasi SMS wajib

Pendekatan berbasis risiko ini menyeimbangkan keamanan dengan pengalaman pengguna, mengurangi gesekan yang tidak perlu sambil mempertahankan perlindungan.

Langkah 2: Generasi OTP

Setelah verifikasi dipicu, server menghasilkan kata sandi satu kali. Inilah saat kriptografi berperan.

Bagaimana OTP Dihasilkan

There are two primary methods for generating OTPs:

HOTP (HMAC-based One-Time Password)

HOTP, didefinisikan dalam RFC 4226, menghasilkan kata sandi berdasarkan nilai penghitung:

1. Kunci rahasia disimpan di server
2. Nilai penghitung dipertahankan (bertambah dengan setiap permintaan OTP)
3. Algoritma HMAC-SHA1 menggabungkan kunci rahasia dan penghitung
4. Hasilnya dipotong untuk menghasilkan kode yang dapat dibaca manusia (biasanya 4-8 digit)

Rumus: HOTP(K, C) = Truncate(HMAC-SHA1(K, C))

Di mana K adalah kunci rahasia dan C adalah nilai penghitung.

TOTP (Time-based One-Time Password)

TOTP, didefinisikan dalam RFC 6238, lebih umum digunakan untuk verifikasi SMS. Ini menggantikan penghitung dengan nilai berbasis waktu:

1. Waktu Unix saat ini dibagi dengan langkah waktu (biasanya 30 detik)
2. Nilai yang berasal dari waktu ini menggantikan penghitung dalam algoritma HOTP
3. Kode yang dihasilkan hanya berlaku selama langkah waktu saat ini

Rumus: TOTP(K) = HOTP(K, floor(T/X))

Di mana T adalah waktu saat ini dan X adalah langkah waktu (misalnya, 30 detik).

Generasi Nomor Acak

Many implementations skip HOTP/TOTP entirely and instead use cryptographically secure random number generators (CSPRNG) to produce codes:

1. Server menghasilkan nomor acak menggunakan sumber entropi yang aman
2. Nomor diformat sebagai kode 4-8 digit
3. Kode disimpan dalam database server dengan cap waktu kedaluwarsa
4. Saat pengguna mengirimkan kode, itu dibandingkan dengan nilai yang disimpan

Pendekatan ini lebih sederhana untuk diimplementasikan dan digunakan oleh banyak aplikasi web.

Sifat OTP

Berapa pun metode generasinya, OTP yang dirancang dengan baik memiliki sifat-sifat berikut:

• Unik: Setiap kode harus berbeda dari kode sebelumnya
• Tidak dapat ditebak: Mengetahui kode sebelumnya tidak membantu menebak kode berikutnya
• Terbatas waktu: Kode kedaluwarsa setelah periode singkat (biasanya 60-300 detik)
• Digunakan satu kali: Setiap kode hanya dapat digunakan sekali
• Entropi yang cukup: Cukup panjang untuk mencegah penebakan paksa (6 digit = 1.000.000 kombinasi yang mungkin)

Langkah 3: Komunikasi Gateway SMS

Setelah menghasilkan OTP, server perlu mengirimkannya melalui SMS. Inilah saat gateway SMS berperan.

Apa itu Gateway SMS?

Gateway SMS adalah layanan yang menjembatani internet dan jaringan operator seluler. Ini menerima pesan dari aplikasi melalui API dan mengirimkannya sebagai pesan SMS melalui infrastruktur operator.

Bagaimana Server Berkomunikasi dengan Gateway

Server aplikasi mengirimkan permintaan ke API gateway SMS. Permintaan API yang umum terlihat seperti ini:

POST /api/v1/messages
{
  "to": "+1234567890",
  "from": "VERIFY",
  "body": "Kode verifikasi Anda adalah: 847293. Berlaku selama 5 menit.",
  "callback_url": "https://app.example.com/sms/status"
}

Gateway merespons dengan ID pesan dan status:

{
  "message_id": "msg_abc123",
  "status": "queued",
  "price": 0.0075
}

Penyedia Gateway SMS Utama

Beberapa perusahaan menyediakan layanan gateway SMS dalam skala besar:

• Twilio: Yang paling populer, menangani miliaran pesan
• Vonage (Nexmo): Cakupan internasional yang kuat
• Sinch: Fokus pada pesan dan suara
• MessageBird: Penyedia berbasis Eropa
• AWS SNS: Layanan SMS Amazon
• Plivo: Alternatif yang efektif biaya

Penyedia ini memelihara hubungan dengan ratusan operator seluler di seluruh dunia, memungkinkan pengiriman pesan ke hampir semua nomor ponsel di planet ini.

Latest Articles

Tips, guides, and insights about virtual numbers and online privacy.

Frequently Asked Questions