人机识别策略是区分正常用户与恶意攻击者的重要保障机制。在没有人机识别的情况下,攻击者很容易就能对密码进行暴力破解或者用一个通用密码对用户进行暴力破解,导致在许多场景中不得不降低用户体验。增加人机识别策略,可防止恶意攻击者暴力破解数据,并减轻服务器的压力,例如更好地支持登录注册、密码找回、支付、转账、论坛回帖,有效防范强刷页面、刷票等。在项目中常用的人机识别方式有图片验证码、短信验证、语音验证、滑块验证等。
1、图片验证码
图片验证码的形态多样,主要有数字、字母、中文组合、计算题等,验证码生成算法以及程序实现流程上都有可能带来问题,容易被攻击者突破。
使用图片验证码要注意以下问题。
(1)验证码的字符范围要尽可能大,尽量使用字母、数字、汉字、符号组合的字符集,这种字符集比单纯为数字的字符集效果要好。
(2)尽量让字符进行变形、扭曲,或使用干扰性强的图案,这样能有效增加验证码的识别难度,但这对人眼识别是基本无障碍的。
(3)防止暴力猜解,要对生成的每一个验证码都设置有效期,验证码验证失败一次后一定要设置为失效,并重新生成新的验证码。
(4)防止生成的验证码返回到响应中。比如研发人员忘记注释掉调试信息,导致验证码可能出现在响应包中的Cookie、URL、页面注释中,甚至验证码在展示的时候直接就是文本方式,这样就完全失去了使用验证码的价值。
(5)推荐使用CAPTCHA项目提供的人机识别验证码。CAPTCHA提供一个PHP的验证码生成类cool-php-captcha,可以通过GitHub下载得到。如图1所示为CAPTCHA样式示例。
图1 CAPTCHA样式示例
2、短信验证码
短信验证码的安全使用通常会遇到以下问题。
(1)短信炸弹。如果没有进行短信发送频率限制,容易被利用来发送短信炸弹,骚扰用户。
(2)经济损失。限制不严格容易造成短信浪费。由于每条短信都需要给运营商缴纳费用,因此会造成没必要的经济损失。
(3)短信内容注入。限制不严格容易被注入广告内容发送给用户,不但会对用户产生骚扰,而且会损失企业的信誉。
安全使用短信验证码的解决方案如下。
(1)使用短信验证码时,在发送短信验证码时一定要先进行人机校验,如校验图形验证码。
(2)限制单个手机号某个时段内最多接收的短信数量,如根据业务需要每小时或每天最多发送五条,每分钟最多发送一条。
(3)根据业务需求限制短信发送的时间段,如每天早9点以前、晚8点以后禁止发送短信。
(4)防止用户直接或间接地自定义短信内容,防止被用于发送广告或非法内容。
图2是一个推荐的通用的短信验证码发送校验流程。
图2 短信发送检验流程
3、语音验证码
通过播放语音的方式将验证码告诉用户,用户再将验证码填写至页面中,提交给系统审核。如果用户对图形形式的验证码识别有困难,建议使用语音形式的验证码。语音认证主要有以下三种形式。
(1)在认证页面进行播放。通过Web页面中的播放器将验证码以语音方式播放出来。
(2)用户主动呼叫系统的预留电话获取验证码。这种方式良好地解决了操作终端对音频设备的依赖,且更加私密,安全性高。
(3)由用户触发,系统通过拨打用户的绑定电话接听验证码。
使用语音验证的需要注意以下事项。
(1)使用语音验证码时,一定要先进行图形验证码人机校验。
(2)对验证码要进行有效期的设置,在认证失败后将验证码进行失效处理,防止暴力猜解。
(3)防止频繁请求,要限制单个用户单个手机号在某个时间段的认证次数,失败一定次数后应该拒绝其认证请求,避免骚扰用户和造成资源浪费。
4、其他验证方式
除了常见的图片、短信、语音验证码外,根据自己业务情况还可以选择其他方式的人机验证,如图片滑块拖拽验证、文字按顺序选择在图片上点击、好友确认等。
