背景
公司业务最近受到来自广东某ip的重复注册, 规则大致为:
- 邮箱为随机@163.com
- 密码完全一样 ( 哈希完全一样 )
- 能完成注册邮件激活 ( pop3协议 )
- 验证码校验通过 ( 两种判断:
OCR
或人工打码
)
各种方案
- 强化级验证码: 如阿里云 研究过一种验证码技术,点击图片上某个关键字或图片部位, 要求用户点击某块特殊区域, 将点击的点的相对坐标传入到验证码服务器, 确定在关键区域内, 才能通过验证
- 防火墙规则: 限制注册接口每个IP每小时可访问频率
- 强制短信验证: 新注册用户必需通过短信验证才能激活
- 表单input name混淆: 将每个提交项的name进行哈希或者其它算法的混淆, 让破解增加难度