Red de conocimiento informático - Conocimiento sistemático - ¿Cómo registrar un código de verificación por SMS para evitar que otros accedan maliciosamente a la interfaz?

¿Cómo registrar un código de verificación por SMS para evitar que otros accedan maliciosamente a la interfaz?

Autodesarrollo general

Intervalo de tiempo de envío

Establezca el intervalo de tiempo para el envío repetido del mismo número, generalmente establecido en 60-120 segundos. Este método puede evitar hasta cierto punto que la interfaz de SMS sea atacada maliciosamente sin causar ningún daño a la experiencia del usuario. Sin embargo, no puede evitar que los piratas informáticos cambien los números de teléfonos móviles para atacar, por lo que el nivel de protección es bajo.

Límite de tiempos de obtención

Limita el número máximo de veces que un número de teléfono móvil puede obtener códigos de verificación por SMS dentro de un período de tiempo determinado. Hay varios puntos a tener en cuenta durante el proceso de diseño del producto al adoptar esta estrategia.

Definir el valor límite superior. Según la situación empresarial real, incluso es necesario establecer un límite superior adecuado teniendo en cuenta el desarrollo empresarial futuro para evitar quejas causadas por la incapacidad de los usuarios de recibir códigos de verificación por SMS.

Definir el periodo de bloqueo. Pueden ser 24 horas, pueden ser 12 horas o 6 horas. Debe definirse según la situación empresarial.

Límite de IP

Establece el volumen máximo de envío de una única dirección IP dentro de un período de tiempo determinado. Este método puede muy bien prevenir ataques desde una única dirección IP, pero también tiene dos desventajas obvias:

Para los piratas informáticos que a menudo cambian las direcciones IP para atacar, este método no tiene un buen efecto.

Las restricciones de IP a menudo causan lesiones accidentales. Por ejemplo, en lugares donde se utiliza una red inalámbrica unificada y muchos usuarios están conectados a la misma red inalámbrica, la dirección IP puede alcanzar fácilmente el límite superior rápidamente, lo que hace que los usuarios conectados a la red inalámbrica no puedan recibir el código de verificación normalmente. .

Código de verificación gráfico

Antes de enviar el código de verificación por SMS, deberás pasar la verificación del código de verificación gráfico. Este método puede prevenir relativamente ciertos ataques, por lo que también es un mecanismo de prevención de ataques por SMS muy común en la actualidad. Sin embargo, cuando se trata de problemas de experiencia del usuario durante el uso, esta estrategia no se puede aplicar de manera simple y cruda. Los siguientes puntos merecen una cuidadosa consideración:

¿El usuario necesita ingresar un código de verificación gráfico cada vez antes de obtener el código de verificación por SMS? En términos generales, hacerlo afectará en gran medida la experiencia del usuario. relativamente seguro, los usuarios no están contentos con él.

Se puede dar un alcance seguro. Considere combinar con restricciones de número de teléfono móvil y restricciones de IP. Por ejemplo, cuando el mismo número de teléfono móvil obtiene un código de verificación por SMS por tercera vez ese día, aparece un código de verificación gráfico, por ejemplo, cuando la misma dirección IP obtiene más códigos de verificación; de 100 veces ese día, aparece un código de verificación gráfico.

Restricciones de cifrado

Al cifrar varios parámetros transmitidos al servidor y luego descifrarlos cuando llegan al servidor, el token se utiliza como verificación de identificación única y el token se verificado en el back-end Solo después de pasar la verificación se puede enviar el mensaje de texto normalmente. Este método puede prevenir eficazmente ciertos ataques y al mismo tiempo garantizar la experiencia del usuario, por lo que también es un mecanismo de prevención de ataques por SMS relativamente común en la actualidad. Al mismo tiempo, también tiene deficiencias obvias:

El algoritmo de cifrado y descifrado utilizado puede estar descifrado, por lo que debes considerar el uso de un algoritmo de cifrado y descifrado que sea más difícil de descifrar.

Los ataques a mensajes se pueden prevenir eficazmente si el algoritmo no está descifrado, pero los ataques al simulador de navegador no se pueden prevenir.

Las anteriores son varias estrategias comunes de control de riesgos de SMS, que se pueden utilizar de manera integral en el proceso de diseño de producto específico.

Utilice defensa de terceros

firewall de SMS

Para encontrar un excelente equilibrio entre la seguridad del producto y una excelente experiencia de usuario. El equipo de investigación y desarrollo de productos de Xinxin Technology desarrolló un firewall SMS combinando las ventajas de varias estrategias de control de riesgos. Para resumir de los siguientes aspectos:

Para garantizar una excelente experiencia de usuario, se han abandonado los programas de verificación hombre-máquina, como los códigos de verificación gráficos, que actualmente tienen el impacto más grave en la experiencia del usuario, para lograr no verificación inductiva. Consiguiendo así una experiencia de usuario perfecta.

Establezca diferentes dimensiones de las estrategias de control de riesgos en función del número de teléfono móvil, la dirección IP y la huella digital del dispositivo del usuario. Cooperar entre sí para lograr el indicador de límite de control de riesgos más razonable.

Escale automáticamente las restricciones de control de riesgos según las condiciones comerciales, aumente automáticamente las restricciones de control de riesgos cuando se ataca un punto de detección y vuelva a los estándares normales de control de riesgos en circunstancias normales.

Teniendo en cuenta las diferencias entre clientes nuevos y antiguos, se agregan especialmente canales VIP para clientes antiguos para garantizar que los canales de clientes antiguos no estén obstruidos cuando sean atacados y que los indicadores de control de riesgos se ajusten, reduciendo así las lesiones accidentales. tasa.

Las estrategias anteriores pueden evitar que los piratas informáticos roben mensajes de texto cambiando aleatoriamente números de teléfono móvil y direcciones IP. Al mismo tiempo, se agregan estrategias de control de riesgos, como la detección del simulador y el cifrado de parámetros, para prevenir eficazmente los ataques de piratas informáticos.

Puede observar los resultados del control de riesgos en tiempo real a través de la consola del firewall de control de riesgos y lograr el efecto de alerta temprana al ser atacado.

Si desea obtener más información, siga el sitio web oficial de New Xin Technology: newxtc.com

SMS Firewall

Haga clic para ingresar la descripción de la imagen.

Haga clic para ingresar la descripción de la imagen

SMS Firewall

上篇: Buscando palabras de uso común en programación 下篇: Tarjeta de señal IoT

Artículos populares