?驗(yàn)證碼短信屬于移動集團(tuán)非常優(yōu)質(zhì)的短信應(yīng)用,但近期接移動集團(tuán)反饋:部分用戶投訴連續(xù)收到莫名驗(yàn)證碼短信,而用戶本身并未在該相關(guān)網(wǎng)站獲取驗(yàn)證碼,影響用戶正常的工作、生活,從而產(chǎn)生大量投訴,同時對客戶的品牌形象、經(jīng)濟(jì)投入也造成非常大的影響。
經(jīng)分析該問題是由一種互聯(lián)網(wǎng)惡意攻擊方法–“短信轟炸機(jī)”形成,該攻擊方式循環(huán)利用不同業(yè)務(wù)中的注冊邏輯向任意非注冊的手機(jī)號碼發(fā)送短信動態(tài)驗(yàn)證碼(如用戶注冊、短信驗(yàn)證碼登錄、好友邀請、密碼找回、郵箱綁定等等),甚至可向多個手機(jī)用戶同時連續(xù)發(fā)送大量驗(yàn)證碼短信,嚴(yán)重影響用戶的正常使用,造成不良影響與大量投訴。
由于投訴量與端口關(guān)停、處罰等緊密相關(guān),相關(guān)行為也會對客戶的正常業(yè)務(wù)造成嚴(yán)重影響及品牌形象的損失。《動態(tài)短信驗(yàn)證碼安全防護(hù)方案》是針對動態(tài)短信驗(yàn)證碼功能的安全實(shí)施方法與要求,適用于具備動態(tài)短信驗(yàn)證碼功能的業(yè)務(wù)與系統(tǒng)。請相關(guān)客戶對驗(yàn)證碼類信息下發(fā)機(jī)制進(jìn)行優(yōu)化,主要有如下動態(tài)短信驗(yàn)證碼安全防護(hù)方案,供大伙們參考:
方案1、使用安全圖片驗(yàn)證碼:防止通過自動化工具進(jìn)行攻擊請求,圖片校驗(yàn)碼一定在要在點(diǎn)擊獲取短信驗(yàn)證碼之前,從而起到校驗(yàn)作用,且每次在服務(wù)端動態(tài)變化。
方案2、單IP的請求次數(shù)限定:防止攻擊者對服務(wù)器進(jìn)行大量無效請求(在圖片驗(yàn)證碼未破解的情況下,自動化工具形成錯誤請求),增加服務(wù)器負(fù)擔(dān),根據(jù)業(yè)務(wù)情況設(shè)置ip限制次數(shù)
方案3、單用戶動態(tài)短信請求間隔時長限制:防止對單個用戶形成手工頻繁攻擊;防止圖片驗(yàn)證碼失效后對用戶形成大量攻擊。進(jìn)一步保障用戶體驗(yàn) 每次點(diǎn)擊短信驗(yàn)證碼,倒計(jì)時的時間戳在60秒以上,即當(dāng)單個用戶請求發(fā)送一次動態(tài)短信之后,服務(wù)器端鎖定60秒(以上)后,才能進(jìn)行第二次動態(tài)短信請求。
方案4、單用戶獲取動態(tài)驗(yàn)證碼次數(shù)限制:防止因圖片驗(yàn)證碼被破解,用戶頻繁收到莫名驗(yàn)證碼短信。一般單個用戶請求短信驗(yàn)證碼次數(shù)限制:一小時不超過3條,24小時不超過5條。此限制只針對獲取短信驗(yàn)證碼模塊生效,客戶其他業(yè)務(wù)(訂單通知、支付確認(rèn)等)可根據(jù)實(shí)際情況選擇是否限制。