短信驗證碼的運作機制��,破解驗證碼A和短信驗證碼A‘原理����,以及短信驗證碼未加防護存在的風(fēng)險和對于短信驗證碼出現(xiàn)的一些問題應(yīng)該如何處理。
一般在用戶在注冊各大網(wǎng)站或者APP的時候���,經(jīng)常會遇到填寫手機號碼后��,需要點擊獲取短信驗證碼的情況�。其實短信驗證碼是企業(yè)為用戶提供的一個用于注冊�����、驗證等的安全憑證��,這樣大大降低了非法注冊���、重復(fù)注冊����、以及用戶安全維護的風(fēng)險。
一��、短信驗證碼運作機制
1. 驗證碼加密發(fā)送
在APP中點擊發(fā)送驗證碼,向后臺發(fā)送一個發(fā)送驗證碼請求;后臺收到請求���,生成一個驗證碼A�,并反編譯成短信驗證碼A‘����;請求短信服務(wù)商發(fā)送短信驗證碼A’至用戶手機,同時存儲驗證碼A至后臺數(shù)據(jù)庫中�����;
注:出于安全性考慮����,后臺數(shù)據(jù)庫只能查看驗證碼A,無法查看短信驗證碼A‘�。
2. 驗證碼解密驗證
用戶收到短信驗證碼A’����,填寫至APP中�����,點擊注冊��,向后臺發(fā)送驗證驗證碼請求并提交短信驗證碼��;
后臺收到請求后后反編譯短信驗證碼A‘����,驗證反編譯之后的結(jié)果是否是驗證碼A,是則驗證碼成功�,此次用戶注冊申請成功,否則驗證失敗���,反饋給APP�����,此次注冊申請不成功���。
產(chǎn)品經(jīng)理只需要理解成為——“我們有一個密件��,你用我短信傳給你的暗號打開密件����,然后把里面的東西交給我����,我就把你要的東西給你”。
二�、破解驗證碼A、短信驗證碼A‘原理
在這樣的一個機制下�����,而且需要驗證碼不過于復(fù)雜�����,會出現(xiàn)兩種比較常見的對用戶賬戶的安全性造成威脅的情況:
(1)暴力破解短信驗證碼A’
假設(shè)短信驗證碼A’只有四位��,暴力破解只需要模擬調(diào)取接口10000次就能夠把短信驗證碼A‘破解出來���。假設(shè)調(diào)取一次接口耗時0.1秒��,那么1000秒就能夠成功破解驗證碼A’,即只有短短的1000/60=16.67分鐘。
(2)暴力破解驗證碼A
截取數(shù)據(jù)庫的數(shù)據(jù)包拿到驗證碼A���,對驗證碼A執(zhí)行暴力破解���,反推出短信驗證碼A‘,相比直接暴力破解短信驗證碼A’���,時間會有點長��,但可以減少驗證次數(shù)�。
三�����、短信驗證碼未加防護存在的風(fēng)險
當黑客發(fā)現(xiàn)某個未加防護的短信發(fā)送接口后��,按照某個手機號碼列表����,循環(huán)發(fā)送短信驗證碼����,不斷變換ip地址�,如果我們沒有做任何限制的話,會存在兩個方面的風(fēng)險:
公司可能損失數(shù)以萬計甚至更高的短信費用�����,發(fā)送驗證碼是需要向運營商付費���,如果發(fā)出的短信大多數(shù)都是沒有用的話���,用戶注冊量越大資金支出越大,將讓公司在這一塊遭受不必要的損失��;
流量攻擊��,用戶無法登陸�、注冊;大批量的請求發(fā)送驗證碼�����,會導(dǎo)致訪問流量大增,有可能使得發(fā)送驗證碼的數(shù)據(jù)接口癱瘓�,用戶無法繼續(xù)使用該功能(造成用戶無法登陸、注冊)����,必定會收到用戶的投訴,公司形象也會受損��。
四�、應(yīng)對策略
為了防止黑客惡意刷取目標網(wǎng)站短信驗證碼,使用對短信發(fā)送次數(shù)�、短信發(fā)送時間間隔進行限制以及發(fā)送之前增加動態(tài)驗證。
(1)手機號獲取短信驗證碼次數(shù)限制是其中一種防攻擊策略����,不過在設(shè)計這方面內(nèi)容時�,需要根據(jù)自己公司的業(yè)務(wù)情況具體制定的。
需要回答3個問題:
根據(jù)業(yè)務(wù)需要���,短信驗證碼發(fā)送次數(shù)設(shè)置的上限為多少合適���?單次短信驗證碼填寫錯誤的次數(shù)?
一般超過這個上限��,我們需要鎖定用戶手機號多長時間?6小時����,12小時,還是24小時���?
鎖定用戶手機號后����,我們可以為用戶提供的后續(xù)方案是什么�����?需不需要提示對方����,讓他打電話給客服,自己主動申請解鎖�����?走郵箱的驗證方式���、增加語音驗證碼也是一種可行的解決方案�。
(2)設(shè)置短信發(fā)送時間間隔是其中的一種防攻擊策略,為了防止用戶重復(fù)獲取驗證碼��,一般設(shè)置60s左右的間隔獲取時間�,但驗證碼的有效期一般是5-30分鐘不等。一般來說�,5分鐘有效的都是4位驗證碼,30分鐘有效的都是6位驗證碼��。不過這方面手段不能防止黑客更換手機號進行攻擊����,防護等級較低。
(3)發(fā)送驗證碼之前需要填寫一次驗證碼��,不過此種傳統(tǒng)的方式利用機器學(xué)習(xí)的知識很容易破解���。另外可以增加滑塊拼圖這種需要人為干預(yù)的動態(tài)驗證���。
至于如何研究這一塊�,各位可以看一下各大手機銀行的APP,他們的安全防護措施都非常強大���,無論是登錄還是注冊還是找回密碼都有極高的安全性���。
發(fā)送短信的服務(wù)一般是由第三方短信服務(wù)商提供的�����,他們整合了移動��,聯(lián)通����、電信三方資源��,三網(wǎng)都可以發(fā)送�,這樣就不需要直接對接運營商了。比如說Mob短信驗證碼接口的應(yīng)用����,發(fā)送短信驗證碼主要是為了驗證手機方的真實性,實現(xiàn)原理簡單說就是系統(tǒng)先生成一個驗證碼�����,調(diào)用Mob第三方服務(wù)商的短信接口�����,發(fā)送到手機方,手機方輸入驗證碼���,再由系統(tǒng)去校驗是否符合�,符合則說明手機真實有效�����。
短信驗證碼功能在各大app上都是必不可少的一項功能���,比如說app驗證碼登陸功能����,注冊功能�,支付功能,身份驗證等等方面�����,雖然只是一串數(shù)字�����,但是app短信驗證碼功能卻是影響著我們生活的方方面面����。
賞
