短信驗證碼的問世,在很大程度上保護(hù)了用戶的網(wǎng)上信息及資金安全,對用戶身份進(jìn)行二次驗證,確保身份真實有效。但世界上沒有誰能肯定有百分之百安全的事情,短信驗證碼也會出現(xiàn)惡意訪問、點擊的情況。因此,為了讓短信驗證碼更好的起到保護(hù)作用,避免惡意訪問、點擊的問題,以下幾個安全措施還是有必要做一下的。
1.限定時間
為了防止有人惡意訪問短信驗證碼或者利用工具點擊驗證碼攻擊用戶手機(jī),網(wǎng)站或APP可設(shè)置一個連續(xù)獲取驗證碼的時間間隔,一般為60-120秒。另外,對于收到的短信驗證碼的有效時間也要加以限制,超過限定時間,驗證碼即刻失效,進(jìn)一步保障用戶的賬戶安全。
2.限定IP
一般來說,正常用戶注冊賬號的操作不會頻繁多次,一人一個賬號就足夠了,而有時候服務(wù)器卻會在同一時間內(nèi)頻繁多次的接收到同一個IP發(fā)送來的請求消息,而這很可能就是有人在惡意搗亂,對此限制IP或單個用戶手機(jī)號碼可接收發(fā)送的短信驗證碼的數(shù)量,將極大減少風(fēng)險性及資源浪費。
3.流程限定
短信驗證碼在應(yīng)用時還要做好流程設(shè)計,一般正確的做法是將手機(jī)短信驗證碼和用戶賬戶號及密碼分成兩個步驟進(jìn)行,當(dāng)用戶正確設(shè)置完用戶的使用賬戶還有密碼之后,才能做下一步的獲取手機(jī)短信驗證碼操作。這種流程的限定,也為惡意訪問驗證碼增加了流程上的操作難度。
4.綁定圖形校驗碼
將圖形校驗碼與手機(jī)驗證碼相結(jié)合,也是防止驗證碼惡意訪問的有效方法之一。當(dāng)用戶輸入手機(jī)號碼后,需要先輸入正確的隨機(jī)圖形校驗碼才可觸發(fā)獲取短信驗證碼按鈕,這樣能有效的防止不法分子利用軟件進(jìn)行惡意點擊。
最后要說的是,短信驗證碼遭遇惡意點擊或訪問,不僅會增加企業(yè)的運營成本,還會給企業(yè)的形象造成極壞的影響,企業(yè)方面不得不引起重視。
發(fā)布日期:2020.05.05