聊聊短信验证码功能的防范攻击思路

[软件开发] 季雨林 2021/9/3 18:54:20

短信验证码,可以说是随着社会发展,被大家都看好并认同的一种快捷登录方式。


对于帐号登录:

最早都是用户名+密码的简单方案

后来采用邮箱作为辅助安全方式,甚至支持邮箱登录

再后来就是手机号辅助认证+支持登录

再后来就更多了:加密狗登录,银行U盾等各种方案案例


回归标题,短信验证码的安全防范思路:

1,凡是短信发送,非登录场景下都需要有图形验证码;

图形验证码是最原始的防止机器人操作做法,入门级防御,避免写个脚本就能轻松发出短信,既耗费平台方的短信费用成本,又让用户受到骚扰。


2,限制对单个手机号的发送频率;

现在流行往往是一分钟内最多发送1次。这个操作主要是对用户的保护,避免过量发送,甚至被恶意发送造成单个平台的“短信轰炸”。不过显然还不够,因为可以通过多个平台等方是对用户进行大量短信的发送。


3,限制每天对同一个手机号的发送总量;

具体做法比如一天内对同一个手机号,登录场景最多允许发送10次。出发点往往是为了给平台控制费用成本,避免恶意重复操作导致短信成本费用多大,同时也是对于猜解用户密码,故意穷举试错的一种防御策略。


4,平台单日限制总发送量阈值;

平台对外公开免费提供了短信登录功能,就必然有他的成本所在,这个限制就是平台方的自我保护,来避免过量支出短信费用。具体指标需要各平台自行根据业务进行约束,比如qq这种用户级别的平台,可能每天上亿都正常,但是注册量不足一万的平台,可能日活几百,连1000条登录短信都用不完


原文地址: https://www.opengps.cn/Blog/View.aspx?id=924 文章的更新编辑依此链接为准。欢迎关注源站原创文章!

评论

暂无评论!

发表评论:

用于接收作者回复信息
点击更换验证码 - openGPS提示