使用短信验证码过程中,有时会出现短信被恶意攻击的事件,这是由于短信功能设计的一点缺陷造成的,严重的话会引起不必要的损失。下面就和中昱维信一起了解下短信验证码防攻击的策略。
几种防攻击策略使用过程中的思考
短信验证码集中防攻击策略均是有利有弊,起到不同的防护作用,但在实际使用过程中,更好考虑自身的情况,采取组合使用的策略。
1、设置短信发送时间间隔
把同一个号码重复发送的时间间隔设置为60-120秒。该手段可以读防止短信接口恶意攻击起到一定防护作用,而且对企业没有什么影响。但是不能防止黑客换手机进行攻击,因此防护等级较低。
2、手机号获取短信验证码次数限制
限制每个手机号在时间段内获取短信验证码的次数限制,采用这种产品设计的策略,有几点需要思考。
谨慎定义数值上限。更具业务真实情况设置一个上限值,以免用户无法接受短线验证码而对业务造成影响。
谨慎定义锁定时间段。可以是6小时,可以是12小时、24小时。需要更具真实情况而自定义。
考虑用户手机无法获取到短信验证码之后应该如何处理。如果有用户不小心触发上限值,但是他真的要办理业务,那么这是可以让用户达客服电话。同时也可以让用户等待到渡过锁定期后自行解锁等等。
3、IP限制
设置单个IP地址某时间内的更大访问量。该手段能很好阻止单一IP的攻击,但是对于黑客变更IP地址攻击是没有效果的。
如果IP的限制经常会造成误伤。假如在肯德基等统一无线网络的场所发送手机验证码,这意味很多用户共用一个WIFI,这个IP地址会迅速达到IP上限,所以会造成连接该无线网的用户都无法正常的收到验证码。
4、增加图形验证码
在发送短信验证码之前,现用图形验证码进行校验。这种房供给的策略是当下十分普遍流行的一种方法,但在使用时会有用户体验的问题出现,不能一概而论,并且以下几个点值得仔细斟酌:
能不能每次输入短信验证码前都验证图形验证码?我的意见时更好不要,因为这会极大影响用户体验,造成用户验证失败的概率加大。
可以给一个相对安全范围。不妨结合IP限制、手机号限制来考虑,比如同一个手机号当天第3次获取短信验证码的时候,出现图形验证码二次验证;比如同一个IP地址当天获取验证码次数超过100次后,出现图形验证码二次验证。
图形验证码当下有这些热门类型:有文字(字母数字)验证码、选字验证码、滑动验证码等,根据具体的业务场景来选取。
以上是几种关于短信验证码防攻击的思考,企业可以仔细斟酌综合考量自身的需要,在验证码接口上也应该注意一下,在安全性能和卓越的用户体验之间达到认可的平衡。