短信验证码,可以说是随着社会发展,被大家都看好并认同的一种快捷登录方式。
对于帐号登录:
最早都是用户名+密码的简单方案
后来采用邮箱作为辅助安全方式,甚至支持邮箱登录
再后来就是手机号辅助认证+支持登录
再后来就更多了:加密狗登录,银行U盾等各种方案案例
回归标题,短信验证码的安全防范思路:
1,凡是短信发送,非登录场景下都需要有图形验证码;
图形验证码是最原始的防止机器人操作做法,入门级防御,避免写个脚本就能轻松发出短信,既耗费平台方的短信费用成本,又让用户受到骚扰。
2,限制对单个手机号的发送频率;
现在流行往往是一分钟内最多发送1次。这个操作主要是对用户的保护,避免过量发送,甚至被恶意发送造成单个平台的“短信轰炸”。不过显然还不够,因为可以通过多个平台等方是对用户进行大量短信的发送。
3,限制每天对同一个手机号的发送总量;
具体做法比如一天内对同一个手机号,登录场景最多允许发送10次。出发点往往是为了给平台控制费用成本,避免恶意重复操作导致短信成本费用多大,同时也是对于猜解用户密码,故意穷举试错的一种防御策略。
4,平台单日限制总发送量阈值;
平台对外公开免费提供了短信登录功能,就必然有他的成本所在,这个限制就是平台方的自我保护,来避免过量支出短信费用。具体指标需要各平台自行根据业务进行约束,比如qq这种用户级别的平台,可能每天上亿都正常,但是注册量不足一万的平台,可能日活几百,连1000条登录短信都用不完
原文地址:
https://www.opengps.cn/Blog/View.aspx?id=924
文章的更新编辑依此链接为准。欢迎关注源站原创文章!