普通自開發
發送時間間隔
設置同壹個號碼重復發送的時間間隔,壹般設置為60-120秒。該手段可以在壹定程度上防止短信接口被惡意攻擊,且對用戶體驗沒有什麽傷害。但是不能防止黑客更換手機號進行攻擊,防護等級較低。
獲取次數限制
限制某個手機號在某個時間段內獲取短信驗證碼次數的上限。采用這種策略時在產品設計過程中,有幾點需要註意。
定義上限值。根據業務真實的情況,甚至需要考慮到將來業務的發展定壹個合適的上限值,避免因用戶無法收到短信驗證碼而帶來的投訴。
定義鎖定時間段。可以是24小時,可以是12小時、6小時。需要根據業務情況進行定義。
IP限制
設置單個IP地址某個時間段內最大的發送量。該手段可很好的預防單壹IP地址的攻擊,但是也有兩個很明顯的缺點:
對於經常變更IP地址進行攻擊的黑客,該手段沒有很好的效果。
IP的限制經常會造成誤傷。如在壹些使用統壹無線網的場所,很多用戶連接著同壹個無線網,這個IP地址就容易很快達到上限,從而造成連接該無線網的用戶都無法正常的收到驗證碼。
圖形驗證碼
在發送短信驗證碼之前,必須通過通過圖形驗證碼的校驗。這種手段相對來說可以防止某些攻擊,因此也是目前非常普遍的短信防攻擊機制。但是在使用過程中涉及到用戶體驗問題,不能簡單粗暴地套用這壹策略。以下幾個點值得仔細考慮:
是不是每次獲取短信驗證碼之前都需要用戶輸入圖形驗證碼,壹般來說這樣做會極大地影響用戶體驗,雖然是相對安全,但是用戶用著不爽了。
可以給壹個安全範圍。結合手機號限制、IP限制來考慮,比如同壹個手機號當天第3次獲取短信驗證碼的時候,出現圖形驗證碼;比如同壹個IP地址當天獲取驗證碼次數超過100次後,出現圖形驗證碼。
加密限制
通過對傳向服務器各項參數進行加密,到了服務器再進行解密,同時用token作為唯壹性識別驗證,在後端對token進行驗證,驗證通過才能正常將短信發送。該手段可以在保證用戶體驗的情況下,可以有效防止某些攻擊,因此也是目前比較常見的短信防攻擊機制。同時也有很明顯的缺點:
使用的加解密算法可能會被破解,需要考慮使用破解難度較大的加解密算法。
在算法不被破解的情況下可以有效防止報文攻擊,但是無法防止瀏覽器模擬機式攻擊。
以上是幾種常見的短信風控策略,在具體的產品設計過程中,可以綜合使用。
使用第三方防禦
短信防火墻
為了在產品安全和優秀的用戶體驗之間尋找壹個極佳的平衡。新昕科技的產品研發團隊結合各種風控策略的優點研發出了壹款短信防火墻。 從以下幾個方面概括壹下:
為保障優秀的用戶體驗,擯棄了目前影響用戶體驗最為嚴重的圖形驗證碼等人機校驗程序,做到無感驗證。從而達到完美的用戶體驗。
結合用戶的手機號碼 、IP地址 、設備指紋三個唯壹身份標識設置不同維度的風控策略。將各個維度之間相互配合,達到壹個最為合理的風控限制指標。
根據業務情況自動伸縮風控限制,在檢測處受攻擊時自動加大風控限制力度,在正常是再歸回到正常風控標準。
考慮到存在新老客戶的區別,特意增加老客戶VIP通道,在受到攻擊時,風控指標緊縮的情況下,保證老客戶通道暢通無阻,從而降低誤傷率。
通過以上策略可以有防止黑客通過隨意切換手機號及IP地址的方式可以刷取短信。同時加入模擬器檢測,以及參數加密等風控策略,有效防止黑客攻擊。
可通過風控防火墻控制臺,實時觀測風控結果,在受到攻擊時達到第壹時間預警的效果。
如需了解更多請關註新昕科技官網:newxtc.com
短信防火墻
請點擊輸入圖片描述
請點擊輸入圖片描述
短信防火墻