短信验证码的问世,在很大程度上保护了用户的网上信息及资金安全,对用户身份进行二次验证,确保身份真实有效。但世界上没有谁能肯定有百分之百安全的事情,短信验证码也会出现恶意访问、点击的情况。因此,为了让短信验证码更好的起到保护作用,避免恶意访问、点击的问题,以下几个安全措施还是有必要做一下的。
1.限定时间
为了防止有人恶意访问短信验证码或者利用工具点击验证码攻击用户手机,网站或APP可设置一个连续获取验证码的时间间隔,一般为60-120秒。另外,对于收到的短信验证码的有效时间也要加以限制,超过限定时间,验证码即刻失效,进一步保障用户的账户安全。
2.限定IP
一般来说,正常用户注册账号的操作不会频繁多次,一人一个账号就足够了,而有时候服务器却会在同一时间内频繁多次的接收到同一个IP发送来的请求消息,而这很可能就是有人在恶意捣乱,对此限制IP或单个用户手机号码可接收发送的短信验证码的数量,将极大减少风险性及资源浪费。
3.流程限定
短信验证码在应用时还要做好流程设计,一般正确的做法是将手机短信验证码和用户账户号及密码分成两个步骤进行,当用户正确设置完用户的使用账户还有密码之后,才能做下一步的获取手机短信验证码操作。这种流程的限定,也为恶意访问验证码增加了流程上的操作难度。
4.绑定图形校验码
将图形校验码与手机验证码相结合,也是防止验证码恶意访问的有效方法之一。当用户输入手机号码后,需要先输入正确的随机图形校验码才可触发获取短信验证码按钮,这样能有效的防止不法分子利用软件进行恶意点击。
最后要说的是,短信验证码遭遇恶意点击或访问,不仅会增加企业的运营成本,还会给企业的形象造成极坏的影响,企业方面不得不引起重视。
发表回复