Authy phone verification：APIはあまりにも多くの推測を防止しますか？

Question

現在、TwilioのAuthy電話確認APIとの統合を構築中です。

悪意のあるユーザーがsmsコードを確認しようとしている間に、エンドポイントverification/checkに多くの推測を送信した場合に、何が起きるかについては特に言及していません。

Authyはこれを防ぐために何かを用意しておく必要があると思いますが、明示的には言及されていません。独自のAPI統合コードでいくつかの保護（推測カウンタの制限など）を構築する必要があるかどうかは疑問です。

Answer 1

ここではTwilioの開発者のエバンジェリストです。

電話機検証用にAuthyには制限があります。コードを無差別に強制するのを避けるため、検証コードあたり最大5回の試行があります。

私はこれがなぜ文書化されていないのかを調べようとしていますが、その間に自分で保護を構築する必要はありません。