企業(yè)該如何應對短信驗證碼盜刷問題?
2020-05-12 00:00:00
來源:http://www.yzdtdq.net.cn/
點擊:4139
喜歡:0
在移動互聯(lián)網(wǎng)時期�����,大量的網(wǎng)站�、手機app和小程序等都在運用短信驗證碼作為驗證用戶身份的平安技術措施。在電商節(jié)和節(jié)假日期間�����,企業(yè)的促銷����、抽獎、互動活動等也讓會員營銷短信迎頂峰期���,生活中企業(yè)與用戶之間用到短信的場景十分頻繁�。企業(yè)短信驗證碼遭到盜刷刷量的現(xiàn)象也不在少數(shù)���。曾經(jīng)呈現(xiàn)不少企業(yè)用戶業(yè)務的短信驗證碼功用被攻擊�,短信接口被歹意應用�����,招致業(yè)務無法正常訪問的狀況。此外���,短信遭受盜刷也會形成企業(yè)營銷和運營資金的流失�。
第一����,手機號碼的有效性和真實性檢測:在注冊登錄窗口增加號碼的真實性和有效性檢測,避免歹意盜刷者運用無效的或非法的號碼�,第一時間屏蔽亂碼數(shù)字的號碼。 第二��,躲藏的驗證碼隨機校驗在注冊頁添加個躲藏的的隨機驗證碼��,發(fā)短信前驗證一下�,確保短信驗證碼的懇求是在真實的頁面上點擊。 第三�,增加一些簡單的圖形驗證碼:在用戶停止“獲取動態(tài)短信”操作前,先讓用戶辨認圖片驗證碼��,經(jīng)過圖形驗證后��,才干將動態(tài)的短信驗證碼發(fā)送到用戶手上����,該辦法可有效緩解短信轟炸問題�����。 第四,同號碼短信發(fā)送頻率限制:普通來說����,無論是短信效勞商還是企業(yè),都應該設置同一號碼的短信驗證碼懇求限制��,當單個用戶懇求發(fā)送一次動態(tài)短信之后���,效勞器端應該限制在一定時長之后(此處普通為30-60秒)����,才干停止第二次動態(tài)短信懇求����。該功用可進一步保證用戶體驗,防止包含手動攻擊歹意發(fā)送渣滓驗證短信��。 第五����,不同號碼懇求數(shù)量限制:依據(jù)業(yè)務特性����,針對不同手機號碼�����、不同訪問源IP訪問懇求停止頻率限制�,避免高并發(fā)非法懇求耗費更多的短信包和效勞器性能,進步業(yè)務穩(wěn)定性����。 第六,場景流程限定:將手機短信驗證和用戶名密碼設置分紅兩個步驟���,用戶在填寫和校驗有效的用戶名密碼后����,下一步才停止手機短信驗證�,并且需求在獲取第一步勝利的回執(zhí)之后才可停止校驗。 第七�����,啟用https協(xié)議:為網(wǎng)站配置證書�,啟用https加密協(xié)議�����,避免傳輸明文數(shù)據(jù)被剖析��。 第八,單IP懇求限定:同一IP和同一手機號碼一樣�����,當某個IP地址懇求發(fā)送一次動態(tài)短信之后����,效勞器端應該限制在一定時長之后(此處普通為30-60秒),才干停止第二次動態(tài)短信懇求���。同時設置同一天同一IP的短信驗證碼懇求次數(shù)限制����,免攻擊者經(jīng)過同一個IP盜刷大量的企業(yè)短信驗證碼條數(shù)�。
上一篇:國際短信驗證碼接口需要滿足什么條件?
下一篇:如何辨別106短信群發(fā)平臺的優(yōu)劣����?
流量二維碼
業(yè)務經(jīng)理1
業(yè)務經(jīng)理2
