短信驗證碼的深度剖析
本文深度剖析了關于短信驗證碼的運作機制,破解驗證碼A和短信驗證碼A‘原理,以及短信驗證碼未加防護存在的風險和對于短信驗證碼出現(xiàn)的一些問題應該如何處理。
一、短信驗證碼運作機制
1. 驗證碼加密發(fā)送
- 在APP中點擊發(fā)送驗證碼,向后臺發(fā)送一個發(fā)送驗證碼請求;
- 后臺收到請求,生成一個驗證碼A,并反編譯成短信驗證碼A‘;
- 請求短信服務商發(fā)送短信驗證碼A’至用戶手機,同時存儲驗證碼A至后臺數(shù)據(jù)庫中;
注:出于安全性考慮,后臺數(shù)據(jù)庫只能查看驗證碼A,無法查看短信驗證碼A‘。
2. 驗證碼解密驗證
- 用戶收到短信驗證碼A’,填寫至APP中,點擊注冊,向后臺發(fā)送驗證驗證碼請求并提交短信驗證碼;
- 后臺收到請求后后反編譯短信驗證碼A‘,驗證反編譯之后的結果是否是驗證碼A,是則驗證碼成功,此次用戶注冊申請成功,否則驗證失敗,反饋給APP,此次注冊申請不成功。
產品經理只需要理解成為——“我們有一個密件,你用我短信傳給你的暗號打開密件,然后把里面的東西交給我,我就把你要的東西給你”。
二、破解驗證碼A、短信驗證碼A‘原理
在這樣的一個機制下,而且需要驗證碼不過于復雜,會出現(xiàn)兩種比較常見的對用戶賬戶的安全性造成威脅的情況:
(1)暴力破解短信驗證碼A’
假設短信驗證碼A’只有四位,暴力破解只需要模擬調取接口10000次就能夠把短信驗證碼A‘破解出來。假設調取一次接口耗時0.1秒,那么1000秒就能夠成功破解驗證碼A’,即只有短短的1000/60=16.67分鐘。
(2)暴力破解驗證碼A
截取數(shù)據(jù)庫的數(shù)據(jù)包拿到驗證碼A,對驗證碼A執(zhí)行暴力破解,反推出短信驗證碼A‘,相比直接暴力破解短信驗證碼A’,時間會有點長,但可以減少驗證次數(shù)。
三、短信驗證碼未加防護存在的風險
當黑客發(fā)現(xiàn)某個未加防護的短信發(fā)送接口后,按照某個手機號碼列表,循環(huán)發(fā)送短信驗證碼,不斷變換ip地址,如果我們沒有做任何限制的話,會存在兩個方面的風險:
- 公司可能損失數(shù)以萬計甚至更高的短信費用,發(fā)送驗證碼是需要向運營商付費,如果發(fā)出的短信大多數(shù)都是沒有用的話,用戶注冊量越大資金支出越大,將讓公司在這一塊遭受不必要的損失;
- 流量攻擊,用戶無法登陸、注冊;大批量的請求發(fā)送驗證碼,會導致訪問流量大增,有可能使得發(fā)送驗證碼的數(shù)據(jù)接口癱瘓,用戶無法繼續(xù)使用該功能(造成用戶無法登陸、注冊),必定會收到用戶的投訴,公司形象也會受損。
四、應對策略
為了防止黑客惡意刷取目標網站短信驗證碼,使用對短信發(fā)送次數(shù)、短信發(fā)送時間間隔進行限制以及發(fā)送之前增加動態(tài)驗證。
(1)手機號獲取短信驗證碼次數(shù)限制是其中一種防攻擊策略,不過在設計這方面內容時,需要根據(jù)自己公司的業(yè)務情況具體制定的。
需要回答3個問題:
- 根據(jù)業(yè)務需要,短信驗證碼發(fā)送次數(shù)設置的上限為多少合適?單次短信驗證碼填寫錯誤的次數(shù)?
- 一般超過這個上限,我們需要鎖定用戶手機號多長時間?6小時,12小時,還是24小時?
- 鎖定用戶手機號后,我們可以為用戶提供的后續(xù)方案是什么?需不需要提示對方,讓他打電話給客服,自己主動申請解鎖?走郵箱的驗證方式、增加語音驗證碼也是一種可行的解決方案。
(2)設置短信發(fā)送時間間隔是其中的一種防攻擊策略,為了防止用戶重復獲取驗證碼,一般設置60s左右的間隔獲取時間,但驗證碼的有效期一般是5-30分鐘不等。一般來說,5分鐘有效的都是4位驗證碼,30分鐘有效的都是6位驗證碼。不過這方面手段不能防止黑客更換手機號進行攻擊,防護等級較低。
(3)發(fā)送驗證碼之前需要填寫一次驗證碼,不過此種傳統(tǒng)的方式利用機器學習的知識很容易破解。另外可以增加滑塊拼圖這種需要人為干預的動態(tài)驗證。
至于如何研究這一塊,各位可以看一下各大手機銀行的APP,他們的安全防護措施都非常強大,無論是登錄還是注冊還是找回密碼都有極高的安全性。
本文由 @?碼農 原創(chuàng)發(fā)布于人人都是產品經理。未經許可,禁止轉載
題圖來自 Pixabay,基于 CC0 協(xié)議
專業(yè)提供短信驗證通道,一鍵登錄驗證。商務合作聯(lián)系WX:13128049287
可以將驗證碼位數(shù)增加至8位或10位嗎?或采用組合輸入的辦法。 比如本身的六位數(shù)字驗證碼發(fā)送給用戶,同時隨機生成2位英文字符,用戶獲取后,填寫驗證碼+英文,實現(xiàn)驗證。
復雜的驗證碼不便于用戶記憶輸入,反而丟失用戶體驗,一般都是4或6位純數(shù)字碼。防盜刷策略應放在接口調用側較為合適。
都是有道理的,還是得具體問題具體考慮吧,得綜合評估是否足夠的理由犧牲用戶體驗去滿足安全性,金融行業(yè)對于安全性要求更高
感謝建議,應對策略一塊確實寫的不夠全面。一定程度上增加驗證碼的長度,采用混合驗證碼提高驗證碼的復雜度,都能進一步提高暴力破解的難度。
應對策略各位童鞋有更好的實現(xiàn)方法,歡迎指導交流……