14
2018-05

短信验证码的防攻击策略 665 中昱维信

短信服务商 验证码接口平台 短信验证码 常见问题 短信验证码接口

使用短信验证码过程中有时会出现短信被恶意攻击的事件,这是由于短信功能设计的一点缺陷造成的,严重的话会引起不必要的损失下面就和中昱维信一起了解下短信验证码防攻击的策略。

 

几种防攻击策略使用过程中的思考

 

短信验证码集中防攻击策略均是有利有弊,起到不同的防护作用,但在实际使用过程中,最好考虑自身的情况,采取组合使用的策略。


1、设置短信发送时间间隔

 

把同一个号码重复发送的时间间隔设置为60-120秒。该手段可以读防止短信接口恶意攻击起到一定防护作用,而且对企业没有什么影响。但是不能防止黑客换手机进行攻击,因此防护等级较低。

 

2、手机号获取短信验证码次数限制

 

限制每个手机号在时间段内获取短信验证码的次数限制,采用这种产品设计的策略,有几点需要思考。

 

谨慎定义数值上限。更具业务真实情况设置一个上限值,以免用户无法接受短线验证码而对业务造成影响。

 

谨慎定义锁定时间段。可以是6小时,可以是12小时、24小时。需要更具真实情况而自定义。

 

考虑用户手机无法获取到短信验证码之后应该如何处理如果有用户不小心触发上限值,但是他真的要办理业务那么这是可以让用户达客服电话同时也可以让用户等待渡过锁定期后自行解锁等等。

 

短信验证码


3、IP限制

 

设置单个IP地址某时间内的最大访问量。该手段能很好阻止单一IP的攻击,但是对于黑客变更IP地址攻击是没有效果的。

 

如果IP的限制经常会造成误伤。假如在肯德基等统一无线网络的场所发送手机验证码这意味很多用户共用一个WIFI,这个IP地址会迅速达到IP上限所以会造成连接该无线网的用户都无法正常的收到验证码。

 

4、增加图形验证码

 

在发送短信验证码之前,现用图形验证码进行校验。这种房供给的策略是当下十分普遍流行的一种方法,但在使用时会有用户体验的问题出现,不能一概而论,并且以下几个点值得仔细斟酌:

 

能不能每次输入短信验证码前都验证图形验证码?我的意见时最好不要,因为这会极大影响用户体验,造成用户验证失败的概率加大。

 

可以给一个相对安全范围。不妨结合IP限制手机号限制来考虑,比如同一个手机号当天第3次获取短信验证码的时候,出现图形验证码二次验证;比如同一个IP地址当天获取验证码次数超过100次后,出现图形验证码二次验证

 

图形验证码当下有这些热门类型:有文字(字母数字)验证码、选字验证码滑动验证码等,根据具体的业务场景来选取。

 

以上是几种关于短信验证码防攻击的思考,企业可以仔细斟酌综合考量自身的需要,在验证码接口上也应该注意一下,在安全性能和卓越的用户体验之间达到认可的平衡。