«Отправить код на email или на телефон?» — этот выбор на этапе проектирования системы безопасности влияет на конверсию, надёжность и затраты. Сравниваем два подхода честно.
Принципиальное отличие двух подходов
SMS-аутентификация привязана к физическому устройству — SIM-карте. Чтобы получить код, нужно иметь телефон в руках.
Email-аутентификация привязана к учётной записи — паролю и устройству, где открыт почтовый ящик. Доступ к email часто возможен с любого устройства через браузер.
Сравнительная таблица
| Критерий | SMS | |
|---|---|---|
| Скорость доставки | 5–15 секунд | 5 секунд — 5 минут |
| Зависимость от интернета | Только сотовая сеть | Нужен интернет |
| Работа в роуминге | Платный, иногда недоступен | Всегда работает |
| Риск фишинга | Средний (смишинг) | Высокий (phishing) |
| Риск перехвата | Средний (SS7) | Низкий (TLS) |
| Стоимость для бизнеса | ~0,5–2,5 руб./код | Практически бесплатно |
| Конверсия при регистрации | Высокая | Ниже (попадает в спам) |
| Барьер для пользователя | Минимальный | Нужно открыть почту |
Когда SMS лучше email
- Финансовые операции — подтверждение перевода нужно здесь и сейчас, email-код может зависнуть в спаме
- Мобильные приложения — пользователь уже держит телефон в руках
- Высокие требования к безопасности — телефон сложнее скомпрометировать, чем email
- Аудитория 50+ — SMS знакомее и привычнее
- Критичная конверсия — SMS доходит быстро и не теряется
Когда email лучше SMS
- SaaS-продукты с глобальной аудиторией — нет проблем с роумингом и международными SMS
- Корпоративные сервисы — у сотрудников всегда есть корпоративный email, а рабочий телефон — не всегда
- Низкорисковые действия — смена второстепенных настроек, подтверждение рассылки
- Ограниченный бюджет — email-отправка через SMTP обходится в тысячи раз дешевле
Гибридный подход: SMS + Email
Лучшие практики крупных сервисов (ВКонтакте, Яндекс, Сбер) — предложить пользователю выбор:
- Email при регистрации (активация аккаунта)
- SMS для входа и финансовых операций
- Email как резервный канал при недоступности SMS
Это даёт максимальную гибкость и страхует от ситуации «не прошёл вход, потому что SMS не пришла».
А что с приложениями-аутентификаторами?
TOTP-приложения (Google Authenticator, Яндекс Ключ, Authy) — третий вариант, который становится всё популярнее. Они не требуют ни SMS, ни email, работают офлайн и более стойки к фишингу. Минус — нужно установить приложение, что снижает конверсию при регистрации на 15–20%.
Итог
Нет универсального ответа. SMS лучше там, где важна скорость и удобство для широкой аудитории. Email выигрывает при международной аудитории и ограниченном бюджете. Оптимальное решение для большинства сервисов — SMS как основной канал с email в качестве резервного.
Смс 100% надежнее
почта для дешевых проектов, когда вижу, что отп идет через почту — сразу все понятно) смс конечно дорого, но есть же голосовые каналы, не скупитесь)