短信验证码已经融入了我们日常生活中了,有更改密码以及各项操作的权限,验证码被攻击之后的影响特别大,会严重的影响用户者的用户体验。要避免验证码被恶意的攻击,需要对攻击的目的和攻击的场景有思考,从这两个方面展开应对策略。
一、短信恶意攻击的目的是什么?
现在的短信恶意攻击一般就是有两种目的:
一是针对特定手机号,利用互联网中没有防护的短信发送接口,接连发送手机短信,让手机使用者恼怒,以至于丢失用户。
二是刷取短信验证码的费用,当有心者发现没有加防护或者防护很弱的短信验证码接口的时候,可以按照手机号序列表,循环的发送短信验证码,导致公司不仅损失费用,也会收到用户的投诉,导致公司的形象受损。
二、容易被攻击的场景
经常被攻击的场景也就是注册的页面或者是验证码快捷登陆的界面等等,这类情况下的短信验证码接口,一般都是没有调用方进行身份验证。
三、多种防攻击策略使用过程中的思考
以下几张防攻击策略在一定的程度上都是可以起到作用,对用户的体验也是不一样的,可以在实际的运用过程中,组合使用以下策略。
四、可以设置短信发送的时间间隔
对同一号码设置发送时间间隔,正常设置时间间隔为60-120秒,这种方法可以在一定程度上防止短信接口被恶意攻击,而且对用户体验基本没有什么伤害,缺点是无法防止更换手机号进行攻击,防护等级不高。
五、可以设置手机号获取短信验证码次数限制
这种方法是限制手机号再特定的时间段获得短信验证码的次数上限,设置的时候需要对产品进行几个思考,设定上限的值和锁定的时间段,如下详细介绍说明一下。
设定验证码定义的上限值。这个需要结合业务发展,选择一个合适的上限,避免用户无法接受到验证码而带来的投诉。
设定锁定时间段。一般的设定时间是24小时、12小时、6小时。这个没有固定值,需要结合公司的业务情况考虑,如果真的有用户无意间触发了上限值,,可以让其拨打客服电话。
六、设置IP限制
IP 限制故名思议就是限制单个IP在某时间段的更大发送量,虽然可以很好的预防单一IP攻击,但是对于经常换IP的攻击者来说,效果很不好。
IP限制还容易对无线网公共场所的使用用户造成误伤,公共无线网络连接的人数很多,IP的上限很容易达到,会导致有限用户无法正常接受到短信验证码。
七、增加图形验证码
可以在发送短信验证码之前,必须要通过图形验证校验,这也是目前使用更多的一种防止手段,主要的缺点是影响用户体验。
一般考虑的是给一个范围。需要结合手机号限制和IP限制进行考虑,比如同一个手机号当天第2次获取短信验证码的时候,就会出现图形验证码;比如同一个IP地址当天获取验证码次数超过100次后,出现图形验证码等,这些都是可以更具自己平台综合搭配的。
目前的图形验证码的类型有:文字(字母数字)验证码、滑动验证码、选字验证码等,可以更具自身业务进行选择。
八、也可以改变发送验证码的流程设定
这个策略是创新性的策略,可以跳出常规思维,解决这个被攻击的问题,例如:可以在注册的情况下,先输入密码,在密码正确之后在需要验证码的发送,这类方法很多企业已经在用了。这种手段可以从流程长增加攻击的成本。
总的来说,目前的短信验证码的安全性还是很高的,一般不会出现恶意攻击的现象,发生的更多的是手机接不到短信,不利于用户体验。中昱维信验证码平台响应时间大约在3-5的左右,是打造良好用户体验的选择之一。