Голос как пароль: как двадцать лет эволюции OTP-верификации привели к голосовому звонку с кодом

Идея одноразового пароля кажется очевидной задним числом — но путь к ней был длиннее, чем кажется. А голосовая верификация, которую принято считать устаревшей, до сих пор решает задачи, с которыми SMS и Flash Call не справляются.

Сначала было кодовое слово

В начале 2000-х, когда банки начали переводить клиентов на дистанционное обслуживание, первым рубежом защиты стало кодовое слово — секретная фраза, известная только владельцу счёта. Оператор спрашивал, клиент отвечал, операция проходила. Работало, пока злоумышленники не научились узнавать кодовые слова через социальную инженерию — один звонок «из службы безопасности», и фраза раскрыта.

Нужно было что-то, чего нельзя узнать заранее. Так появился одноразовый пароль: банк генерирует случайный код прямо перед операцией, код действует несколько минут, перехватить его бессмысленно — он уже не работает. Первые OTP-коды рассылали по пейджерам. Потом пришли SMS. Потом появился голосовой звонок.

Почему голос — и почему он выжил

Голосовой звонок как канал доставки OTP появился как решение для тех, у кого SMS недоступен. Логика была железная: голосовой звонок принимает любой телефон — кнопочный, стационарный, телефон в роуминге, где SMS идёт часами. Можно смеяться над кнопочным телефоном 2003 года, но в 2026-м аудитория без смартфона — это не только ностальгирующие, это пожилые клиенты банков, корпоративные SIM с ограниченным функционалом, устройства на промышленных объектах.

Механика Voice Code проще, чем кажется: система генерирует код, передаёт синтезатору речи, тот произносит его дважды во время звонка. Никакого заранее записанного голоса — синтез в реальном времени. Пауза между цифрами автоматически увеличивается при плохом качестве линии. Код произносится дважды не из педантизма: исследования показали, что при однократном произнесении ошибки при вводе случаются заметно чаще.

Три сценария, где Voice Code незаменим сегодня

Заблокированный Flash Call. Flash Call основан на автоматическом звонке без разговора — часть операторов такие вызовы блокирует. Voice Code использует обычный голосовой звонок: с точки зрения сети он неотличим от звонка от человека. Там, где Flash Call не проходит, Voice Code работает.

Роуминг. SMS в международном роуминге может задерживаться на часы. Голосовой звонок проходит значительно быстрее и надёжнее — поэтому банки с международной аудиторией часто держат Voice Code как резерв именно для этого сценария.

Аудитория без смартфона. Для клиентов с кнопочными телефонами, пожилых пользователей или корпоративных SIM без доступа к мессенджерам Voice Code остаётся единственным способом пройти верификацию без визита в отделение.

Честный недостаток

У Voice Code есть принципиальное ограничение, которого нет у SMS и Flash Call: нужно принять звонок. В шумном месте — барьер. На беззвучном режиме — барьер. Молодая аудитория, которая не берёт трубку у незнакомых номеров, — тоже барьер. По этой причине конверсия Voice Code в успешную верификацию ниже, чем у других методов. Это не недостаток технологии — это особенность формата, которую нужно учитывать при проектировании каскада.

Место в архитектуре: второй шаг, не первый

Правильная роль Voice Code — промежуточный шаг в каскадной верификации. Flash Call первым: быстро, дёшево, без трения при наличии приложения. Voice Code вторым: если Flash Call заблокирован у оператора, Voice Code дешевле SMS и покрывает больше сценариев. SMS финальным резервом с гарантированной доставкой. Ключевой параметр: таймаут Voice Code должен быть 30–45 секунд — в отличие от Flash Call с 10–15 секундами. Пользователю нужно время услышать звонок, взять трубку, прослушать. Короткий таймаут обнуляет экономию: система переходит к SMS раньше, чем человек успевает ответить.

Что дальше

На горизонте — верификация по голосовому отпечатку (voiceprint): пользователь произносит код сам, система узнаёт его по голосу. Технология существует и тестируется в ряде банков. Главные барьеры — уязвимость к синтезу речи с помощью ИИ и настороженность пользователей к сбору биометрических данных. Voice Code в нынешнем виде пока надёжнее.

Инфраструктура каскадной верификации с поддержкой Voice Code реализована, в частности, в i-Digital.