本文深度剖析了關于短信驗證碼的運作機制,破解驗證碼A和短信驗證碼A‘原理,以及短信驗證碼未加防護存在的風險和對于短信驗證碼出現的一些問題應該如何處理。
一、短信驗證碼運作機制
1. 驗證碼加密發送
- 在APP中點擊發送驗證碼,向後台發送一個發送驗證碼請求;
- 後台收到請求,生成一個驗證碼A,并反編譯成短信驗證碼A‘;
- 請求短信服務商發送短信驗證碼A’至用戶手機,同時存儲驗證碼A至後台數據庫中;
注:出于安全性考慮,後台數據庫隻能查看驗證碼A,無法查看短信驗證碼A‘。
2. 驗證碼解密驗證
- 用戶收到短信驗證碼A’,填寫至APP中,點擊注冊,向後台發送驗證驗證碼請求并提交短信驗證碼;
- 後台收到請求後後反編譯短信驗證碼A‘,驗證反編譯之後的結果是否是驗證碼A,是則驗證碼成功,此次用戶注冊申請成功,否則驗證失敗,反饋給APP,此次注冊申請不成功。
産品經理隻需要理解成為——“我們有一個密件,你用我短信傳給你的暗号打開密件,然後把裡面的東西交給我,我就把你要的東西給你”。
二、破解驗證碼A、短信驗證碼A‘原理
在這樣的一個機制下,而且需要驗證碼不過于複雜,會出現兩種比較常見的對用戶賬戶的安全性造成威脅的情況:
(1)暴力破解短信驗證碼A’
假設短信驗證碼A’隻有四位,暴力破解隻需要模拟調取接口10000次就能夠把短信驗證碼A‘破解出來。假設調取一次接口耗時0.1秒,那麼1000秒就能夠成功破解驗證碼A’,即隻有短短的1000/60=16.67分鐘。
(2)暴力破解驗證碼A
截取數據庫的數據包拿到驗證碼A,對驗證碼A執行暴力破解,反推出短信驗證碼A‘,相比直接暴力破解短信驗證碼A’,時間會有點長,但可以減少驗證次數。
三、短信驗證碼未加防護存在的風險
當黑客發現某個未加防護的短信發送接口後,按照某個手機号碼列表,循環發送短信驗證碼,不斷變換ip地址,如果我們沒有做任何限制的話,會存在兩個方面的風險:
- 公司可能損失數以萬計甚至更高的短信費用,發送驗證碼是需要向運營商付費,如果發出的短信大多數都是沒有用的話,用戶注冊量越大資金支出越大,将讓公司在這一塊遭受不必要的損失;
- 流量攻擊,用戶無法登陸、注冊;大批量的請求發送驗證碼,會導緻訪問流量大增,有可能使得發送驗證碼的數據接口癱瘓,用戶無法繼續使用該功能(造成用戶無法登陸、注冊),必定會收到用戶的投訴,公司形象也會受損。
四、應對策略
為了防止黑客惡意刷取目标網站短信驗證碼,使用對短信發送次數、短信發送時間間隔進行限制以及發送之前增加動态驗證。
(1)手機号獲取短信驗證碼次數限制是其中一種防攻擊策略,不過在設計這方面内容時,需要根據自己公司的業務情況具體制定的。
需要回答3個問題:
- 根據業務需要,短信驗證碼發送次數設置的上限為多少合适?單次短信驗證碼填寫錯誤的次數?
- 一般超過這個上限,我們需要鎖定用戶手機号多長時間?6小時,12小時,還是24小時?
- 鎖定用戶手機号後,我們可以為用戶提供的後續方案是什麼?需不需要提示對方,讓他打電話給客服,自己主動申請解鎖?走郵箱的驗證方式、增加語音驗證碼也是一種可行的解決方案。
(2)設置短信發送時間間隔是其中的一種防攻擊策略,為了防止用戶重複獲取驗證碼,一般設置60s左右的間隔獲取時間,但驗證碼的有效期一般是5-30分鐘不等。一般來說,5分鐘有效的都是4位驗證碼,30分鐘有效的都是6位驗證碼。不過這方面手段不能防止黑客更換手機号進行攻擊,防護等級較低。
(3)發送驗證碼之前需要填寫一次驗證碼,不過此種傳統的方式利用機器學習的知識很容易破解。另外可以增加滑塊拼圖這種需要人為幹預的動态驗證。
至于如何研究這一塊,各位可以看一下各大手機銀行的APP,他們的安全防護措施都非常強大,無論是登錄還是注冊還是找回密碼都有極高的安全性。
本文由 @ 碼農 原創發布于人人都是産品經理。未經許可,禁止轉載
題圖來自 Pixabay,基于 CC0 協議
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!