Utilizzare le regioni SMS per proteggere l'app da comportamenti illeciti tramite SMS

Questa guida mostra come utilizzare le regioni SMS per limitare l'utilizzo della verifica tramite SMS di Identity Platform e visualizzare le metriche di utilizzo.

Panoramica delle regioni SMS

Le regioni SMS sono una funzionalità di Identity Platform che puoi utilizzare per proteggere le tue app da comportamenti illeciti tramite SMS.

In genere, i comportamenti illeciti tramite SMS si verificano quando un attore malintenzionato fa in modo che un servizio invii SMS tramite un operatore con cui ha un accordo di condivisione delle entrate. I comportamenti illeciti tramite SMS possono comportare costi più elevati e danneggiare la reputazione del tuo prodotto presso i clienti.

Poiché Identity Platform consente le autorizzazioni telefoniche tramite SMS, possono verificarsi comportamenti illeciti tramite SMS.

La funzionalità delle regioni SMS ti consente di impostare le regioni che possono ricevere autorizzazioni telefoniche tramite SMS.

La funzionalità fornisce quanto segue:

  • Un'interfaccia della console Firebase per configurare la policy per le regioni SMS.
  • Un'API per configurare la policy per le regioni SMS.
  • Metriche che possono informare la tua decisione di utilizzare una policy per le regioni SMS.

Impostare una policy per le regioni

Questa sezione descrive una policy per le regioni di Identity Platform. Puoi configurare i seguenti tipi di policy e solo una può essere attiva:

  • Solo lista consentita: solo le regioni specificate in una lista consentita possono ricevere richieste di autorizzazione telefonica.
  • Solo lista bloccata: tutte le regioni possono ricevere richieste di autorizzazione telefonica, ad eccezione di quelle specificate in una lista bloccata.

Dopo aver modificato la configurazione, il sistema inizia immediatamente ad applicare la policy. Blocca le richieste di autorizzazione telefonica dalle regioni non consentite dalla policy in base al codice regione del numero di telefono.

Policy solo lista consentita

Per configurare una policy solo lista consentita:

Console Firebase

  1. Nella console Firebase, vai alla pagina Impostazioni di Firebase Authentication.

    Vai alle impostazioni di Firebase Authentication

    1. Seleziona Policy per le regioni SMS nel riquadro di navigazione.

    2. Seleziona Consenti.

    3. Fai clic su Seleziona regioni.

  2. Aggiungi solo le regioni in cui prevedi di inviare messaggi SMS. Le regioni non presenti nell'elenco sono bloccate.

  3. Fai clic su Salva.

    Puoi configurare una lista consentita o una lista bloccata, ma non entrambe. In questo modo, qualsiasi configurazione precedente viene sovrascritta.

API Identity Toolkit

  1. Nella Google Cloud console, esegui questo comando per stampare un token di accesso per il tuo progetto:

    gcloud auth print-access-token --project=PROJECT_ID

  2. Aggiorna la configurazione del progetto in modo da includere la nuova policy utilizzando l'API Identity Toolkit:

    curl -X PATCH -d "{'sms_region_config':{'allowlist_only':{'allowed_regions':['REGION_LIST']}}}" \
-H 'Authorization: Bearer ACCESS_TOKEN' \
-H 'Content-Type: application/json' \
'https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=sms_region_config'

Sostituisci quanto segue:

  • ACCESS_TOKEN: il token di accesso generato in precedenza.
  • REGION_LIST: una o più regioni, ad esempio IN o US. Per limitare i comportamenti illeciti, ti consigliamo di consentire solo le regioni in cui prevedi di inviare messaggi SMS.
  • PROJECT_ID: il tuo ID progetto.

Devi fornire una maschera di aggiornamento per impedire la modifica di altri campi.

Policy solo lista bloccata

Per configurare una policy solo lista bloccata:

Console Firebase

  1. Nella console Firebase, vai alla pagina Impostazioni di Firebase Authentication e seleziona Policy per le regioni SMS nel riquadro di navigazione.

    Vai alle impostazioni di Firebase Authentication

    1. Seleziona Nega.

    2. Fai clic su Seleziona regioni.

  2. Aggiungi le regioni a cui vuoi bloccare l'invio di messaggi SMS. Le regioni non presenti nell'elenco saranno consentite. Per una maggiore protezione da comportamenti illeciti, ti consigliamo di utilizzare una policy solo lista consentita e di disattivare tutte le regioni in cui non prevedi di inviare messaggi SMS.

  3. Fai clic su Salva.

    Puoi configurare una lista consentita o una lista bloccata, ma non entrambe. In questo modo, qualsiasi configurazione precedente viene sovrascritta.

API Identity Toolkit

  1. Nella Google Cloud console, esegui questo comando per stampare un token di accesso per il tuo progetto:

    gcloud auth print-access-token --project=PROJECT_ID

  2. Aggiorna la configurazione del progetto in modo da includere la nuova policy utilizzando l'API Identity Toolkit:

    curl -X PATCH -d "{'sms_region_config':{'allow_by_default':{'disallowed_regions':['REGION_LIST']}}}" \
-H 'Authorization: Bearer ACCESS_TOKEN' \
-H 'Content-Type: application/json' \
'https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=sms_region_config'

Sostituisci quanto segue:

  • ACCESS_TOKEN: il token di accesso generato in precedenza.
  • REGION_LIST: una o più regioni, ad esempio IN o US.
  • PROJECT_ID: il tuo ID progetto.

Devi fornire una maschera di aggiornamento per impedire la modifica di altri campi.

Accedere alle metriche di utilizzo degli SMS regionali

Questa sezione descrive come visualizzare le metriche di utilizzo degli SMS.

Per visualizzare le metriche:

  1. Nella Google Cloud console, vai alla pagina Esplora metriche in Cloud Monitoring:

    Vai a Cloud Monitoring.

  2. Seleziona i seguenti campi:

    • identitytoolkit.googleapis.com/usage/sent_sms_count,
    • identitytoolkit.googleapis.com/usage/blocked_sms_count e
    • firebaseauth.googleapis.com/phone_auth/phone_verification_count.

    Tieni presente che le metriche hanno un campo region_code. Utilizza questo codice per visualizzare le regioni che ricevono le autorizzazioni tramite SMS.

  3. Calcola la percentuale di successo della verifica come verification_success_rate = phone_verification_count/sent_sms_count in una regione specifica. In genere, le percentuali di successo della verifica superiori al 75% sono considerate accettabili.

Una verification_success_rate bassa può indicare comportamenti illeciti, soprattutto in una regione in cui non ti aspetteresti di avere utenti. In genere, le percentuali di successo della verifica inferiori al 75% sono considerate basse.

Se sospetti comportamenti illeciti tramite SMS, puoi impostare una policy per le regioni.