企業(yè)該如何應(yīng)對(duì)短信驗(yàn)證碼盜刷問題?
2020-05-12 00:00:00
來源:http://www.yzdtdq.net.cn/
點(diǎn)擊:4138
喜歡:0
在移動(dòng)互聯(lián)網(wǎng)時(shí)期�,大量的網(wǎng)站、手機(jī)app和小程序等都在運(yùn)用短信驗(yàn)證碼作為驗(yàn)證用戶身份的平安技術(shù)措施�。在電商節(jié)和節(jié)假日期間,企業(yè)的促銷��、抽獎(jiǎng)����、互動(dòng)活動(dòng)等也讓會(huì)員營銷短信迎頂峰期����,生活中企業(yè)與用戶之間用到短信的場景十分頻繁。企業(yè)短信驗(yàn)證碼遭到盜刷刷量的現(xiàn)象也不在少數(shù)�����。曾經(jīng)呈現(xiàn)不少企業(yè)用戶業(yè)務(wù)的短信驗(yàn)證碼功用被攻擊���,短信接口被歹意應(yīng)用�,招致業(yè)務(wù)無法正常訪問的狀況����。此外,短信遭受盜刷也會(huì)形成企業(yè)營銷和運(yùn)營資金的流失。
第一�����,手機(jī)號(hào)碼的有效性和真實(shí)性檢測(cè):在注冊(cè)登錄窗口增加號(hào)碼的真實(shí)性和有效性檢測(cè)����,避免歹意盜刷者運(yùn)用無效的或非法的號(hào)碼,第一時(shí)間屏蔽亂碼數(shù)字的號(hào)碼����。 第二,躲藏的驗(yàn)證碼隨機(jī)校驗(yàn)在注冊(cè)頁添加個(gè)躲藏的的隨機(jī)驗(yàn)證碼��,發(fā)短信前驗(yàn)證一下��,確保短信驗(yàn)證碼的懇求是在真實(shí)的頁面上點(diǎn)擊��。 第三�����,增加一些簡單的圖形驗(yàn)證碼:在用戶停止“獲取動(dòng)態(tài)短信”操作前����,先讓用戶辨認(rèn)圖片驗(yàn)證碼�,經(jīng)過圖形驗(yàn)證后�,才干將動(dòng)態(tài)的短信驗(yàn)證碼發(fā)送到用戶手上,該辦法可有效緩解短信轟炸問題����。 第四,同號(hào)碼短信發(fā)送頻率限制:普通來說���,無論是短信效勞商還是企業(yè)���,都應(yīng)該設(shè)置同一號(hào)碼的短信驗(yàn)證碼懇求限制���,當(dāng)單個(gè)用戶懇求發(fā)送一次動(dòng)態(tài)短信之后���,效勞器端應(yīng)該限制在一定時(shí)長之后(此處普通為30-60秒),才干停止第二次動(dòng)態(tài)短信懇求��。該功用可進(jìn)一步保證用戶體驗(yàn)��,防止包含手動(dòng)攻擊歹意發(fā)送渣滓驗(yàn)證短信�。 第五,不同號(hào)碼懇求數(shù)量限制:依據(jù)業(yè)務(wù)特性����,針對(duì)不同手機(jī)號(hào)碼�����、不同訪問源IP訪問懇求停止頻率限制�����,避免高并發(fā)非法懇求耗費(fèi)更多的短信包和效勞器性能�����,進(jìn)步業(yè)務(wù)穩(wěn)定性�����。 第六����,場景流程限定:將手機(jī)短信驗(yàn)證和用戶名密碼設(shè)置分紅兩個(gè)步驟�,用戶在填寫和校驗(yàn)有效的用戶名密碼后,下一步才停止手機(jī)短信驗(yàn)證���,并且需求在獲取第一步勝利的回執(zhí)之后才可停止校驗(yàn)����。 第七,啟用https協(xié)議:為網(wǎng)站配置證書���,啟用https加密協(xié)議�,避免傳輸明文數(shù)據(jù)被剖析�。 第八,單IP懇求限定:同一IP和同一手機(jī)號(hào)碼一樣��,當(dāng)某個(gè)IP地址懇求發(fā)送一次動(dòng)態(tài)短信之后����,效勞器端應(yīng)該限制在一定時(shí)長之后(此處普通為30-60秒),才干停止第二次動(dòng)態(tài)短信懇求��。同時(shí)設(shè)置同一天同一IP的短信驗(yàn)證碼懇求次數(shù)限制���,免攻擊者經(jīng)過同一個(gè)IP盜刷大量的企業(yè)短信驗(yàn)證碼條數(shù)。
上一篇:國際短信驗(yàn)證碼接口需要滿足什么條件����?
下一篇:如何辨別106短信群發(fā)平臺(tái)的優(yōu)劣?
流量二維碼
業(yè)務(wù)經(jīng)理1
業(yè)務(wù)經(jīng)理2
