Twilio Authy vs. Verify

Although phone verification with our Verify API and two-factor authentication with the Authy API use similar delivery mechanisms, they are each best suited for fundamentally different tasks. This article breaks down the differences between the two account security services and sheds some light on the situations where you'd pick one over the other.

Choosing between Twilio's Authy or Verify

2つのサービスのうちどちらを選択するかを判断するための重要なリトマステストとしては、エンドユーザーとの関係がしばらくの間継続するかどうかです。

• Verify is best used for proving the ownership of phone numbers for new accounts, short term events or transactions, such as user registration. It provides SMS and Voice channels for one-time passwords. Its primary use is for phone verification.
• Authy is a more complete authentication API and is best for ongoing relationships with a customer, for example log-ins and step-up transactions. Authy provides SMS and Voice time-based one-time passwords (OTP) as well as soft token (TOTP) and push authentication channels. It also creates an authyid, a specific identity in our API to keep track of how the user authenticates. Its primary use is two-factor authentication (2FA).

Verify APIを使用すべきとき

電話番号検証はユーザー登録や何らかの形の一度きりのデバイスプレゼンスのトランザクションなどといった、顧客との関係が短期間または一時的である場合の利用に最適です。

With Twilio Verify, no user identity is created for the phone number you are verifying. While appearing similar to a One-Time Password from the Authy API, Verify is only confirming that the device is present when a user completes a verification.

Verifyは主に、アカウント検証はユーザー登録における不正行為防止に役立ち、開発中のアプリケーションのセキュリティー問題の削減に寄与するサービスです。 登録中のユーザーが提示したデバイスを本当に持っているか確認することで、Webアプリケーションにおける登録スパムを削減できます。 また、デバイスがアクティブであり、かつそれがエンドユーザーの所有物であることを確認するため、以前に登録済みの電話番号による二重登録を防ぐ点で、エンドユーザー保護の要素もあります。

Authy APIを使用すべきとき

Reasons to use Authy instead of Verify include:

• Support for Soft Token (TOTP) and Push Authentication channels
• An ongoing relationship with a customer

二要素認証 (2FA) は、顧客との長期的な関係および認証の履歴がある（または今後そうなる可能性がある）場合に最適に機能します。 一般的に、これはユーザーログイン、高額取引における補助的な保護、パスワードレスなログイン、あるいは定期的なユーザーの確認といった用途に使用されます。 2FAはさらに、信頼性を減少させることなく、複数デバイスのサポートや電話番号の検証に使用する追加のChannelといった先進的なケースにも対応します。

When you first register a user with Authy, you are returned a user identity (authyid) which you store in your application. Unlike the Verify API, authyids are your ongoing touchpoint with users when you need to verify they still have their device in their possession. Having an unchanging ID means they can use the Authy app or Authenticator SDK for higher security 2FA channels, such as soft tokens and push authentications.

もちろん、すべてのユースケースがこの類型に当てはまる訳ではありません。 皆さん独自のアプリケーションニーズとVerify、Authyのどちら（あるいは両方）が最適化について、お気軽にご相談ください。