必威体育Betway必威体育官网
当前位置:首页 > 运营推广

产品安全:短信验证码的防攻击策略

时间:2019-09-27 08:10:00来源:运营推广作者:seo实验室小编阅读:86次「手机版」
 

防攻击

在短信验证码的产品设计过程中有哪些事项是需要注意的呢?

短信验证码如今的应用之广无需赘述,各大银行的网上银行、各种手机APP、各种类型的网站,都需要借助短信验证码完成相关业务。在使用过程中,由于产品设计过程中防范意识薄弱,经常会出现短信被恶意攻击的事件,引起一些不必要的损失。下面我们就一起了解下短信验证码产品设计过程中的注意事项。

短信恶意攻击的目的是什么?

目前市面上的短信恶意攻击无非是有两种目的:

第一是以攻击某个特定的手机号为目的,黑客利用互联网中多个未经防护的短信发送接口,循环调用接口向该手机号发送短信,使手机号的拥有者不堪其扰。

第二是以恶意刷取目标网站短信验证码费用为目的,黑客发现某个未加防护的短信发送接口后,会按照某个手机号码列表,循环发送短信验证码,攻击期间黑客会不断变换ip地址,可刷取数以万计甚至更高的短信费用。被攻击的公司在损失费用的同时,也必定会收到用户的投诉,公司形象也会受损。

容易被攻击的场景

最常被攻击的场景是用户注册页面,或者是手机短信验证码快捷登录页面、网络在线投票等页面。此类场景下的发送短信验证码的接口,往往未对调用方进行相关的身份验证。

几种防攻击策略使用过程中的思考

几种防攻击策略都能在一定程度上起作用,但是会对用户体验产生不同的影响,在实际使用过程中,需要考虑到实际情况,组合使用以下策略。

设置短信发送时间间隔

设置同一个号码重复发送的时间间隔,一般设置为60-120秒。该手段可以在一定程度上防止短信接口被恶意攻击,且对用户体验没有什么伤害。但是不能防止黑客更换手机号进行攻击,防护等级较低。

手机号获取短信验证码次数限制

限制某个特定手机号某个特定时间段内获取短信验证码次数的上限。采用这种策略时在产品设计过程中,有几点值得认真思考。

谨慎定义上限值。根据业务真实的情况,甚至需要考虑到将来业务的发展定一个合适的上限值,避免因用户无法收到短信验证码而带来的投诉。

谨慎定义锁定时间段。可以是24小时,可以是12小时、6小时。需要根据业务情况进行定义。

考虑用户手机无法获取到短信验证码的后续方案。如果真的有用户无意间触发了上限值,但是他真的需要使用某项业务,有可能打客服电话。此时可以让用户等待,渡过锁定期后自行解锁。也可以在客服操作的后台,增加手动解锁功能,这里就不展开说了。

IP限制

设置单个IP地址某个时间段内最大的发送量。该手段可很好的预防单一IP地址的攻击,但是也有两个很明显的缺点:

对于经常变更IP地址进行攻击的黑客,该手段没有很好的效果。

IP的限制经常会造成误伤。如在一些使用统一无线网的场所,很多用户连接着同一个无线网,这个IP地址就容易很快达到上限,从而造成连接该无线网的用户都无法正常的收到验证码。

增加图形验证码

在发送短信验证码之前,必须通过通过图形验证码的校验。这种手段可有效地防止各种攻击,因此也是目前非常普遍的短信防攻击机制。但是在使用过程中涉及到用户体验问题,不能简单粗暴地套用这一策略。以下几个点值得仔细斟酌:

能不能每次发送短信验证码的时候,都先输入图形验证码?我的意见是最好不要,一般来说这样做会极大地影响用户体验,虽然是安全了,但是用户用着不爽了。

可以给一个安全范围。不妨结合手机号限制、IP限制来考虑,比如同一个手机号当天第3次获取图形验证码的时候,出现图形验证码;比如同一个IP地址当天获取验证码次数超过100次后,出现图形验证码。

图形验证码的具体选用类型。有文字(字母数字)验证码、滑动验证码、选字验证码等,根据具体的业务场景来选取。

改变发送验证码的流程设定

此类策略属于开脑洞式的、跳出常规思维的解决问题的办法,举两个例子:

注册的场景下,可以先让用户输入手机号,接着设置密码,密码设置成功之后再进行短信验证码的发送。这样就从流程上增大了黑客的攻击成本,可大大避免非攻击的概率。

微信、QQ以及一些其他应用那样,让用户先发送指定短信给企业,以此来验证用户是否掌握着这个手机,企业验证通过后再进行接下来的短信验证码发送。这真是一个绝妙的主意,从根本上杜绝了黑客攻击的可能。但是一般的应用需要谨慎使用这个功能,考虑自己的产品有没有必要做这种功能的开发,是不是普通的策略就够用了。而且面对这种用户体验不是那么好的方式,自己的产品是否有足够的信心相信用户一定会接受这种引导。

以上是对于几种防攻击策略的思考,在具体的产品设计过程中,可以综合使用,在产品安全和优秀的用户体验之间寻找一个极佳的平衡。

题图来自 pexels ,基于 CC0 协议

相关阅读

企业微信营销策略方案的10个成功案例

当微信营销策略方案的风头已经扫过中国大陆的每一个角落,当020营销策略方案以不可阻挡走势走过,你是否已经跟随时代的潮流了?您是否

市场营销策略有哪些?十种有效的市场营销策略!

一个企业想要获得成功的发展,需要努力提升企业的市场份额,而想要提高企业市场份额必须采取完善的市场营销策略,下面小编为大家整理了

案例分析:基于电商促销活动的产品风控策略分析

目前很多电商网站存在各种促销活动,往往在吸引流量的同时,带来了不少的“羊毛党”,本文就以京东京豆和秒杀活动为例,对此促销活动的产

美团外卖 VS 饿了么:外卖两巨头在产品运营策略上,谁更胜

从我们以往点外卖的经历来看,我们使用外卖app的需求其实很简单,无非就是:方便、好吃、实惠而且有保障。鉴于一款产品存在的价值,在于

市场布局如何应用产品组合策略?

产品组合策略是企业为面向市场,对所生产经营的多种产品进行最佳组合的谋略。市场布局如何应用产品组合策略?以下,笔者将为大家进行分

分享到:

栏目导航

推荐阅读

热门阅读