短信驗(yàn)證碼的問(wèn)世,在很大程度上保護(hù)了用戶(hù)的網(wǎng)上信息及資金安全,對(duì)用戶(hù)身份進(jìn)行二次驗(yàn)證,確保身份真實(shí)有效。但世界上沒(méi)有誰(shuí)能肯定有百分之百安全的事情,短信驗(yàn)證碼也會(huì)出現(xiàn)惡意訪問(wèn)、點(diǎn)擊的情況。因此,為了讓短信驗(yàn)證碼更好的起到保護(hù)作用,避免惡意訪問(wèn)、點(diǎn)擊的問(wèn)題,以下幾個(gè)安全措施還是有必要做一下的。
1.限定時(shí)間
為了防止有人惡意訪問(wèn)短信驗(yàn)證碼或者利用工具點(diǎn)擊驗(yàn)證碼攻擊用戶(hù)手機(jī),網(wǎng)站或APP可設(shè)置一個(gè)連續(xù)獲取驗(yàn)證碼的時(shí)間間隔,一般為60-120秒。另外,對(duì)于收到的短信驗(yàn)證碼的有效時(shí)間也要加以限制,超過(guò)限定時(shí)間,驗(yàn)證碼即刻失效,進(jìn)一步保障用戶(hù)的賬戶(hù)安全。
2.限定IP
一般來(lái)說(shuō),正常用戶(hù)注冊(cè)賬號(hào)的操作不會(huì)頻繁多次,一人一個(gè)賬號(hào)就足夠了,而有時(shí)候服務(wù)器卻會(huì)在同一時(shí)間內(nèi)頻繁多次的接收到同一個(gè)IP發(fā)送來(lái)的請(qǐng)求消息,而這很可能就是有人在惡意搗亂,對(duì)此限制IP或單個(gè)用戶(hù)手機(jī)號(hào)碼可接收發(fā)送的短信驗(yàn)證碼的數(shù)量,將極大減少風(fēng)險(xiǎn)性及資源浪費(fèi)。
3.流程限定
短信驗(yàn)證碼在應(yīng)用時(shí)還要做好流程設(shè)計(jì),一般正確的做法是將手機(jī)短信驗(yàn)證碼和用戶(hù)賬戶(hù)號(hào)及密碼分成兩個(gè)步驟進(jìn)行,當(dāng)用戶(hù)正確設(shè)置完用戶(hù)的使用賬戶(hù)還有密碼之后,才能做下一步的獲取手機(jī)短信驗(yàn)證碼操作。這種流程的限定,也為惡意訪問(wèn)驗(yàn)證碼增加了流程上的操作難度。
4.綁定圖形校驗(yàn)碼
將圖形校驗(yàn)碼與手機(jī)驗(yàn)證碼相結(jié)合,也是防止驗(yàn)證碼惡意訪問(wèn)的有效方法之一。當(dāng)用戶(hù)輸入手機(jī)號(hào)碼后,需要先輸入正確的隨機(jī)圖形校驗(yàn)碼才可觸發(fā)獲取短信驗(yàn)證碼按鈕,這樣能有效的防止不法分子利用軟件進(jìn)行惡意點(diǎn)擊。
最后要說(shuō)的是,短信驗(yàn)證碼遭遇惡意點(diǎn)擊或訪問(wèn),不僅會(huì)增加企業(yè)的運(yùn)營(yíng)成本,還會(huì)給企業(yè)的形象造成極壞的影響,企業(yè)方面不得不引起重視。
發(fā)布日期:2020.05.05