全国服务热线:400-8480-114
|
在线交谈
|
在线交谈
资讯类别
产品安全:分享短信验证码在设计产品中的一些注意事项

      短信验证码如今的应用之广无需赘述,各大银行的网上银行、各种手机APP、各种类型的网站,都需要借助短信验证码完成相关业务。在使用过程中,由于产品设计过程中防范意识薄弱,经常会出现短信被恶意攻击的事件,引起一些不必要的损失。下面我们就一起了解下短信验证码产品设计过程中的一些注意事项。

       短信验证码被攻击一般分为两种情况,一是不法分子利用发送接口漏洞,通过不断变换IP地址的方式伪装成大批量手机号码获取验证,从而对企业短信费用造成高额损失;二是不法分子只攻击某个特定号码,反复向同一个手机号码发送验证码,对机主形成严重骚扰,并可能给企业带来投诉和处罚。
无论是出于那个目的,短信验证码一旦被攻击都会产生非常不良的影响,关于提高验证码安全性有以下几方面思考。
1、手机号码发送频次的限制。限制单个手机号码每天的极限发送次数。超过次数则不能再发送短信;不过也需要谨慎定义该号码的锁定时段,需要既保障用户真实的注册、登录操作不受影响,又能有效防范攻击;
2、增加行为式验证码。用户获取验证码之前,可通过触点式和拖动式行为验证确保用户真实身份,将黑客和刷机工具拒之门外;
3、设置单个IP地址某个时间段内极限的发送量。该手段可很好的预防单一IP地址的攻击,但是对于变换IP地址的黑客不奏效,并且很可能会因为禁止某个IP形成一刀切的限制,导致该IP下其他用户也无法正常获取验证码。例如,某集团公司集体注册某APP;
4、改变验证码下发流程。先完成用户注册,再下发验证码绑定手机,不过这样增加了用户的操作步骤,影响用户体验的流畅度;
5、设置验证码获取间隔。限制同一个手机号码重复发送的时间间隔,通常设置为60-120秒;

6、采用一键登录与短信验证码组合模式。一键登录是通过运营商网关取号的方式,自动识别用户号码完成核验,全过程采用安全系数高的非对称加密算法加密处理,防篡改防抓包,在安全性上有可靠保障。一键登录需要用户具备数据蜂窝网络,假设在无网情况下,则不能完成验证。因而,企业可以采用一键登录与短信验证码组合的方式,当一键登录核验失败时再切换到短信验证码,尽可能的保障用户操作的便捷性和流畅性。

7、其它发送频次限制:针对手机号码进行发送限制,比如设置条件为: 次/分钟;0次/小时;次/天;次/天(相同内容)

发布日期:2020.04.08
  • 上一篇:
  • 下一篇:信息安全特别提醒
  • 现在注册,即刻享受多种免费体验服务
    立即注册
    版权所有Copyright@2019-2020 All Right Reserved  深圳新锐信息科技有限公司
    106短信验证码   106短信平台   三网合一短信平台   短信平台群发短信   验证码短信接口   400电话号码申请   新锐业务办公系统
    客户服务热线电话:0755-21618520  137-2863-8953
    粤ICP备19125602号