PHP安全 人机识别战略
发布时间:2022-08-04 11:44:35 所属栏目:安全 来源:互联网
导读:人机识别策略是区分正常用户与恶意攻击者的重要保障机制。在没有人机识别的情况下,攻击者很容易就能对密码进行暴力破解或者用一个通用密码对用户进行暴力破解,导致在许多场景中不得不降低用户体验。增加人机识别策略,可防止恶意攻击者暴力破解数据,并减
|
人机识别策略是区分正常用户与恶意攻击者的重要保障机制。在没有人机识别的情况下,攻击者很容易就能对密码进行暴力破解或者用一个通用密码对用户进行暴力破解,导致在许多场景中不得不降低用户体验。增加人机识别策略,可防止恶意攻击者暴力破解数据,并减轻服务器的压力,例如更好地支持登录注册、密码找回、支付、转账、论坛回帖,有效防范强刷页面、刷票等。在项目中常用的人机识别方式有图片验证码、短信验证、语音验证、滑块验证等。 1、图片验证码 图片验证码的形态多样,主要有数字、字母、中文组合、计算题等,验证码生成算法以及程序实现流程上都有可能带来问题,容易被攻击者突破。 使用图片验证码要注意以下问题。 (1)验证码的字符范围要尽可能大,尽量使用字母、数字、汉字、符号组合的字符集,这种字符集比单纯为数字的字符集效果要好。 (2)尽量让字符进行变形、扭曲,或使用干扰性强的图案,这样能有效增加验证码的识别难度,但这对人眼识别是基本无障碍的。 2、短信验证码 短信验证码的安全使用通常会遇到以下问题。 (1)短信炸弹。如果没有进行短信发送频率限制,容易被利用来发送短信炸弹,骚扰用户。 (2)经济损失。限制不严格容易造成短信浪费。由于每条短信都需要给运营商缴纳费用,因此会造成没必要的经济损失。 (3)短信内容注入。限制不严格容易被注入广告内容发送给用户,不但会对用户产生骚扰,而且会损失企业的信誉。 安全使用短信验证码的解决方案如下。 (1)使用短信验证码时,在发送短信验证码时一定要先进行人机校验,如校验图形验证码。 (2)限制单个手机号某个时段内最多接收的短信数量,如根据业务需要每小时或每天最多发送五条,每分钟最多发送一条。 (3)根据业务需求限制短信发送的时间段,如每天早9点以前、晚8点以后禁止发送短信。 (4)防止用户直接或间接地自定义短信内容,防止被用于发送广告或非法内容。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号