售前电话:0592-5325980    400-0592-900售后电话:0592-7293295
当前位置:短信平台 > 资讯中心 > 常见问题  > 

大神支招:如何有效防止恶意刷取短信验证码?

发布日期:2020-09-24 20:16来源:厦门卡洛思作者:洛洛浏览量:

一、短信验证码运作机制
1. 验证码加密发送
在APP中点击发送验证码,向后台发送一个发送验证码请求;
后台收到请求,生成一个验证码A,并反编译成短信验证码A‘;
请求短信服务商发送短信验证码A’至用户手机,同时存储验证码A至后台数据库中;
注:出于安全性考虑,后台数据库只能查看验证码A,无法查看短信验证码A‘。
 
2. 验证码解密验证
用户收到短信验证码A’,填写至APP中,点击注册,向后台发送验证验证码请求并提交短信验证码;
后台收到请求后后反编译短信验证码A‘,验证反编译之后的结果是否是验证码A,是则验证码成功,此次用户注册申请成功,否则验证失败,反馈给APP,此次注册申请不成功。
产品经理只需要理解成为——“我们有一个密件,你用我短信传给你的暗号打开密件,然后把里面的东西交给我,我就把你要的东西给你”。
如何防范恶意刷短信验证码接口
 
二、破解验证码A、短信验证码A‘原理
在这样的一个机制下,而且需要验证码不过于复杂,会出现两种比较常见的对用户账户的安全性造成威胁的情况:
(1)暴力破解短信验证码A’
假设短信验证码A’只有四位,暴力破解只需要模拟调取接口10000次就能够把短信验证码A‘破解出来。假设调取一次接口耗时0.1秒,那么1000秒就能够成功破解验证码A’,即只有短短的1000/60=16.67分钟。
(2)暴力破解验证码A
截取数据库的数据包拿到验证码A,对验证码A执行暴力破解,反推出短信验证码A‘,相比直接暴力破解短信验证码A’,时间会有点长,但可以减少验证次数。
 
三、短信验证码未加防护存在的风险
当黑客发现某个未加防护的短信发送接口后,按照某个手机号码列表,循环发送短信验证码,不断变换ip地址,如果我们没有做任何限制的话,会存在两个方面的风险:
公司可能损失数以万计甚至更高的短信费用,发送验证码是需要向运营商付费,如果发出的短信大多数都是没有用的话,用户注册量越大资金支出越大,将让公司在这一块遭受不必要的损失;
流量攻击,用户无法登陆、注册;大批量的请求发送验证码,会导致访问流量大增,有可能使得发送验证码的数据接口瘫痪,用户无法继续使用该功能(造成用户无法登陆、注册),必定会收到用户的投诉,公司形象也会受损。
 
四、应对策略
为了防止黑客恶意刷取目标网站短信验证码,使用对短信发送次数、短信发送时间间隔进行限制以及发送之前增加动态验证。
 
(1)手机号获取短信验证码次数限制是其中一种防攻击策略,不过在设计这方面内容时,需要根据自己公司的业务情况具体制定的。
需要回答3个问题:
1、根据业务需要,短信验证码发送次数设置的上限为多少合适?单次短信验证码填写错误的次数?
2、一般超过这个上限,我们需要锁定用户手机号多长时间?6小时,12小时,还是24小时?
3、锁定用户手机号后,我们可以为用户提供的后续方案是什么?需不需要提示对方,让他打电话给客服,自己主动申请解锁?走邮箱的验证方式、增加语音验证码也是一种可行的解决方案。

(2)设置短信发送时间间隔是其中的一种防攻击策略,为了防止用户重复获取验证码,一般设置60s左右的间隔获取时间,但验证码的有效期一般是5-30分钟不等。一般来说,5分钟有效的都是4位验证码,30分钟有效的都是6位验证码。不过这方面手段不能防止黑客更换手机号进行攻击,防护等级较低。
(3)发送验证码之前需要填写一次验证码,不过此种传统的方式利用机器学习的知识很容易破解。另外可以增加滑块拼图这种需要人为干预的动态验证。
 
至于如何研究这一块,各位可以看一下各大手机银行的APP,他们的安全防护措施都非常强大,无论是登录还是注册还是找回密码都有极高的安全性。



热门资讯

“伪基站”工作原理揭秘和危害

伪基站设备是当前一种实施电信诈骗手段的高科技仪器,主要由主机和 笔记本...

发验证码、营销短信的短信公司哪个比较好?如何找到又好又便宜的

如今是移动互联网的天下,验证码、营销短信的应用非常普遍。前者几乎是通向...

群发短信时接收时间很长,是不是延时?

群发短信时接收时间很长,是不是延时? 因为平台的用户比较多,周末和节假日...

简历石沉大海,怎么向企业HR发求职面试短信?

应聘者可以直接向HR发送一条态度非常诚恳的求职短信,相当于毛遂自荐。求职...

有哪些免费的群发短信软件_怎么申请短信群发账号

时常会有一些用户存在群发短信的需求,因此大家在初次接触到这个概念时,往...

厦门有没有真正免费的短信群发平台或软件?

我们都知道,现在这个时代,无论做什么事情,一切用钱来说话。就拿企业品牌...

网关短信通道知多少?

在卡发短信越来越难做的今天,网关短信成为主流了。 网关短信是以106或各地...

阿里云服务器被cc的三种解决方案

阿里云服务器被攻击肯定是存在漏洞或者中病毒了,我们可以使用安全监测中心...

厦门卡洛思客服-400-888-5912

我们公司的背景优势:短信公司【10年累积】,上万用户信赖,独享三网合一106短信通道,省心又省钱,【做让用户心安的短信服务商】

我们的优质服务:注册即可享【免费试用】、一对一在线服务【服务有保障】、网关平台1069直连短信通道【发送快人一步】、短信价格实惠【节约成本】、我们做的不仅仅是短信群发,您的短信平台、短信接口使用将由我们的技术支持一路相随

我们公司的经营范围覆盖各省市,业务范围拓展到厦门、福州、漳州、上海、北京、深圳、广州、郑州、天津、青岛、大连、济南、长沙、南昌、廊坊、重庆、合肥、西安、成都、杭州、宁波、武汉、南京、太原等地区,为客户提供正规106短信平台、群发短信软件、短信接口、手机短信验证码、会员通知、彩信群发等服务。

我们公司的经营范围覆盖各省市,为客户提供正规106短信平台、群发短信软件、短信接口、手机短信验证码、会员通知、彩信群发、短信公众号等服务。