房樂
2
CISAW
CISP-PTE
房樂2
CISAW
CISP-PTE
考慮短信驗證碼的風險,短信驗證碼通常是使用短信接口實現,短信驗證碼加固措施主要有:
使用圖形驗證碼,防止接口濫用;
限制發送頻率;
限制發送次數,可以限制一定時間段的總次數;
短信驗證碼長度和有效期控制;
API的防護策略可以通用。
趣能一姐
2
CISAW安全運維(專業級)
高級信息系統項目管理師
趣能一姐2
CISAW安全運維(專業級)
高級信息系統項目管理師
短信驗證碼加固手段有以下這些:
加鹽:通過使用鹽技術可以輕松地防止彩虹表攻擊,該技術是將隨機數據與純文本一起傳遞到哈希函數中的方法。這樣可以確保每個密碼都有一個唯一的生成的哈希值,因此可以防止彩虹表攻擊,該攻擊原理是防止多個文本可以具有相同的哈希值。
放棄哈希加密算法:已知彩虹表是應用于主流的哈希算法的,那么通過對哈希算法進行修改,自然能夠防御彩虹表破解。但這樣存在某些隱患,例如,黑客可以將產品的算法通過逆向工程提取出來,通過算法生成特定的彩虹表。如果私有加密算法強度不夠或是有設計缺陷的,屆時密碼破解將比使用彩虹表更加容易。
創建強密碼:保護登錄信息的最佳辦法,是創建強密碼,或者使用雙因子身份驗證(2FA)。作為網站擁有者,你可以要求用戶同時設置強密碼和2FA,以便緩解網絡罪犯猜出密碼的風險。
主要保護口令安全:無論是用戶還是管理員必須要保存好自己的密碼,一個密碼不要重復在多個網站使用,不要將密碼記錄在任何位置,定期修改密碼,企業可以嘗試選擇一款密碼管理器來管理密碼。
多次加密:彩虹表攻擊主要是哈希算法的數據庫,可以對密碼進行多次不同算法的加密,這會增加攻擊者的破解難度,并且很難通過單一數據庫就破解成功。
采用多因素認證:增加登錄安全功能有助于進行憑證填充防護。啟用雙因素身份驗證等功能,并在登錄時要求用戶填寫CAPTCHA(驗證碼),這兩種機制也有助于阻止惡意機器人。雖然這兩項機制會給用戶帶來諸多不便,但多數人承認,這能最大限度地減少安全威脅,即使不便也值得。
推薦文章
