L'onboarding tramite numero di telefono è un modello di registrazione in cui il numero di telefono dell'utente diventa il principale identificatore dell'account. Invece di creare prima un nome utente separato, il servizio collega l'account a un'identità basata sulla SIM e di solito la verifica con un codice SMS o vocale. Questo è comune nelle app di messaggistica perché semplifica la scoperta dei contatti e il recupero dell'account, ma aumenta anche il collegamento dell'identità: il servizio può associare un account a un numero del mondo reale, a un dispositivo e a un grafo di contatti.
Per la sicurezza informatica, questo collegamento è importante perché amplia la superficie di attacco. Gli aggressori possono prendere di mira la verifica via SMS con phishing, SIM swapping, riciclo del numero o intercettazione dell'OTP per assumere il controllo degli account. I difensori dovrebbero considerare l'onboarding tramite numero di telefono come una decisione di fiducia, non solo come una funzione di comodità: aggiungere limiti di frequenza, vincolamento del dispositivo, controlli di recupero più forti e ridurre al minimo la sincronizzazione dei contatti e la raccolta dei metadati, ove possibile.