PHP安全:人机识别方案
发布时间:2022-07-11 15:07:14 所属栏目:安全 来源:互联网
导读:人机识别策略是区分正常用户与恶意攻击者的重要保障机制。在没有人机识别的情况下,攻击者很容易就能对密码进行暴力破解或者用一个通用密码对用户进行暴力破解,导致在许多场景中不得不降低用户体验。增加人机识别策略,可防止恶意攻击者暴力破解数据,并减
|
人机识别策略是区分正常用户与恶意攻击者的重要保障机制。在没有人机识别的情况下,攻击者很容易就能对密码进行暴力破解或者用一个通用密码对用户进行暴力破解,导致在许多场景中不得不降低用户体验。增加人机识别策略,可防止恶意攻击者暴力破解数据,并减轻服务器的压力,例如更好地支持登录注册、密码找回、支付、转账、论坛回帖,有效防范强刷页面、刷票等。在项目中常用的人机识别方式有图片验证码、短信验证、语音验证、滑块验证等。 使用图片验证码要注意以下问题。 (1)验证码的字符范围要尽可能大,尽量使用字母、数字、汉字、符号组合的字符集,这种字符集比单纯为数字的字符集效果要好。 (2)尽量让字符进行变形、扭曲,或使用干扰性强的图案,这样能有效增加验证码的识别难度,但这对人眼识别是基本无障碍的。 (3)防止暴力猜解,要对生成的每一个验证码都设置有效期,验证码验证失败一次后一定要设置为失效,并重新生成新的验证码。 2、短信验证码 短信验证码的安全使用通常会遇到以下问题。 (1)短信炸弹。如果没有进行短信发送频率限制,容易被利用来发送短信炸弹,骚扰用户。 (2)经济损失。限制不严格容易造成短信浪费。由于每条短信都需要给运营商缴纳费用,因此会造成没必要的经济损失。 (3)短信内容注入。限制不严格容易被注入广告内容发送给用户,不但会对用户产生骚扰,而且会损失企业的信誉。 安全使用短信验证码的解决方案如下。 (1)使用短信验证码时,在发送短信验证码时一定要先进行人机校验,如校验图形验证码。 (2)限制单个手机号某个时段内最多接收的短信数量,如根据业务需要每小时或每天最多发送五条,每分钟最多发送一条。 (3)根据业务需求限制短信发送的时间段,如每天早9点以前、晚8点以后禁止发送短信。 (4)防止用户直接或间接地自定义短信内容,防止被用于发送广告或非法内容。 3、语音验证码 通过播放语音的方式将验证码告诉用户,用户再将验证码填写至页面中,提交给系统审核。如果用户对图形形式的验证码识别有困难,建议使用语音形式的验证码。语音认证主要有以下三种形式。 (1)在认证页面进行播放。通过Web页面中的播放器将验证码以语音方式播放出来。 (2)用户主动呼叫系统的预留电话获取验证码。这种方式良好地解决了操作终端对音频设备的依赖,且更加私密,安全性高。 (3)由用户触发,系统通过拨打用户的绑定电话接听验证码。 使用语音验证的需要注意以下事项。 (1)使用语音验证码时,一定要先进行图形验证码人机校验。 (2)对验证码要进行有效期的设置,在认证失败后将验证码进行失效处理,防止暴力猜解。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号