等过短信验证码进行身份验证是一个快速登录网站的一种方式,因为其便捷性给现在的用户们的生活带来了许多的便利。但是也会有疑惑,这种方式是否真的安全呢?在使用的过程中会不会出现个人账号信息泄露的风险。
短信验证码接口可能会遭受到一种互联网恶意攻击——“短信轰炸”。这种攻击通过循环利用某些业务中的无需注册或验证即可向任意手机号发送短信验证码的正常业务需求(比如用户注册激活、登录、密码重置等),向固定手机号不停发送大量的验证短信,这种恶意行为不但对用户造成了困扰,相关企业也要因此承担不小的经济和名誉损失。
短信轰炸基于网络的方式,并且由两个模块组成,一个是前端的网页界面,可以用于提供输入被攻击的手机号,另外一个后台的攻击页面,利用从互联网各网站上找到的短信验证码 URL ,匹配前端输入的被攻击者手机号码,同时发送 HTTP 请求,调用业务服务器短信发送的接口,请求给用户发送一条短信验证码,通过不停的发送请求来实施“短信轰炸”攻击。
其实只要明白,短信轰炸形成的原因并非本人授权获得的动态短信,入用户注册时手机验证短信,用户获取验证码短信前与系统并没有建立任何业务关联。针对这种情况要更加严格的限制验证码获取短信的的业务使用的安全性。
从技术的角度来说我们增加IP的请求次数限制,用户请求时长的限制,还有二次验证的过程,这样可以有效的限制恶意请求的连续申请,从而保障验证码短信接口的安全性。