1、IP限定——根据自己的业务特点,设置每个IP每天的最大发送量(防止攻击者对服务器进行大量无效请求(
在图片验证码未破解的情况下,自动化工具形成错误请求,增加服务器负担
)
2、短信发送间隔设置——设置同一号码重复发送的时间间隔,一般设置为60-120秒(
防止对单个用户形成手工攻击;防止图片验证码失效后对用户形成大量攻击。
)
3、手机号码限定——根据业务特点,设置每个手机号码每天的最大发送量
4、流程限定——将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。
5、绑定图型校验码——将图形校验码和手机验证码进行绑定,这样能比较有效的防止软件恶意注册(
防止通过自动化工具进行攻击请求
)
生成过程安全:图片验证码必须在服务器端进行产生与校验;
使用过程安全:单次有效,且以用户的验证请求为准;
验证码自身安全:不易被识别工具识别,能有效防止暴力破解;