網(wǎng)站短信驗證碼的安全保障問題
如今短信驗證碼的應用范圍已經(jīng)是很普遍了,安全問題也是不容忽視的, 伴隨而來的網(wǎng)絡運營安全問題越來越嚴重。短信平臺的安全性再次被企業(yè)所重視起來。短信網(wǎng)關再接入到SMSC,用戶到網(wǎng)絡是通過無線接入,平臺之間是通過TCP/IP 接入,安全系數(shù)相對較低,安全隱患是存在的,這個時候,就需要給短信平臺加上一把安全的鎖。
如果用戶的短信平臺遭受惡意攻擊,則會導致手機短信驗證碼或其他短信條數(shù)被盜刷,不僅加大了公司的運營成本,也給APP和網(wǎng)站帶來了極大的品牌負面影響,同時也使開通的短信通道受到投訴。出現(xiàn)安全隱患的情況:第一種是惡意盜刷:網(wǎng)絡在線投票、網(wǎng)站注冊、手機短信動態(tài)碼、平臺遭受黑客攻擊。第二種是惡意點擊手機短信驗證碼:人工頻繁點擊;通過軟件連續(xù)點擊,危害較大。
短信平臺防范安全隱患的手段主要有以下幾方面:
1.短信發(fā)送間隔設置--設置同一號碼重復發(fā)送的時間間隔,一般注冊或者校驗頁面設置時間限制為60-120秒。
2.IP限定--根據(jù)企業(yè)業(yè)務特點,設置每個IP每天的最大發(fā)送量。
3.手機號碼限定--設置每個手機號碼每天的最大發(fā)送量。
4.綁定后臺登錄手機號碼。短信管理后臺可以查看到每一條短信的發(fā)送詳情,為了保證數(shù)據(jù)安全,必須要指定專人管理,登錄后臺要收到手機短信驗證碼才能登錄成功。
驗證碼等安全并不完全由短信平臺服務商單方面控制,平臺開發(fā)者也要從自身做起,也需要做好防范機制,三大運營商也特別提出整改要求,完善網(wǎng)站入口處的二次驗證。可以參考以下2種方式:
1.流程限定--一般手機短信驗證碼和用戶名密碼設置分成兩個步驟,用戶在設置成功用戶名密碼后,下一步獲取手機驗證碼。并且需要在獲取第一步成功的回執(zhí)之后才可進行校驗,這也是常用的安全設置。
2.綁定圖文校驗碼--將圖文校驗碼和手機驗證碼進行綁定,這樣系統(tǒng)能夠判定是人來識別的,就可以有效的防止惡意軟件注冊刷短信。
登錄
注冊