短信驗(yàn)證碼如今的應(yīng)用之廣無(wú)需贅述,各大銀行的網(wǎng)上銀行、各種手機(jī)APP、各種類型的網(wǎng)站,都需要借助短信驗(yàn)證碼完成相關(guān)業(yè)務(wù)。在使用過(guò)程中,由于產(chǎn)品設(shè)計(jì)過(guò)程中防范意識(shí)薄弱,經(jīng)常會(huì)出現(xiàn)短信被惡意攻擊的事件,引起一些不必要的損失。下面我們就一起了解下短信驗(yàn)證碼產(chǎn)品設(shè)計(jì)過(guò)程中的一些注意事項(xiàng)。
短信驗(yàn)證碼被攻擊一般分為兩種情況,一是不法分子利用發(fā)送接口漏洞,通過(guò)不斷變換IP地址的方式偽裝成大批量手機(jī)號(hào)碼獲取驗(yàn)證,從而對(duì)企業(yè)短信費(fèi)用造成高額損失;二是不法分子只攻擊某個(gè)特定號(hào)碼,反復(fù)向同一個(gè)手機(jī)號(hào)碼發(fā)送驗(yàn)證碼,對(duì)機(jī)主形成嚴(yán)重騷擾,并可能給企業(yè)帶來(lái)投訴和處罰。6、采用一鍵登錄與短信驗(yàn)證碼組合模式。一鍵登錄是通過(guò)運(yùn)營(yíng)商網(wǎng)關(guān)取號(hào)的方式,自動(dòng)識(shí)別用戶號(hào)碼完成核驗(yàn),全過(guò)程采用安全系數(shù)高的非對(duì)稱加密算法加密處理,防篡改防抓包,在安全性上有可靠保障。一鍵登錄需要用戶具備數(shù)據(jù)蜂窩網(wǎng)絡(luò),假設(shè)在無(wú)網(wǎng)情況下,則不能完成驗(yàn)證。因而,企業(yè)可以采用一鍵登錄與短信驗(yàn)證碼組合的方式,當(dāng)一鍵登錄核驗(yàn)失敗時(shí)再切換到短信驗(yàn)證碼,盡可能的保障用戶操作的便捷性和流暢性。
7、其它發(fā)送頻次限制:針對(duì)手機(jī)號(hào)碼進(jìn)行發(fā)送限制,比如設(shè)置條件為: 次/分鐘;0次/小時(shí);次/天;次/天(相同內(nèi)容)