验证码的获取、填写是网络账号在注册、登录过程中必不可少的网络操作行为,然而当前验证码在安全防护方面面临着被破解、被绕过、被劫持等一系列的挑战。今天就带你去了解一下验证码、验证码使用过程中的安全风险和防范措施!
验证码是什么
验证码是一种在网络交互行为中用来区分人和计算机的自动化程序。验证码主要应用于网络账号的注册、登录、口令找回、评论发帖、投票、抢票、抢购商品等场合,用来防止撞库(暴力破解尝试登录)、恶意批量注册、批量发帖、刷票、恶意爬虫对网站数据爬取等非正常的网络行为。
验证码的种类
验证码的种类较多,可分为静态验证码、行为式验证码和间接式验证码。
静态验证码。根据验证码所呈现方式不同分为图片验证码、问答式验证码、视频验证码等。
行为式验证码。根据验证码的处理过程不同又可分为拖动式验证码和点击式验证码。
间接式验证码。如手机短信验证码、手机语音验证码、邮箱验证码等。
为何验证码使用成安全风险“高地”?
随着图像处理、机器学习以及网络渗透等技术的快速发展,某些传统的图片验证码已经形同虚设,完全不能胜任安全防护的功能。而已被广泛应用于账号注册、登录、修改口令、网络支付等场合的手机短信验证码,用户只要在规定的时间内输入正确的短信验证码就可以修改登录或支付口令,更有甚者可在某些场合利用短信验证码替代银行卡口令成为最后的安全验证手段,一旦这些被用来验证用户身份的短信验证码被中途劫持,就会带来巨大的损失。
风险防范措施
对开发人员来说,要做到确保验证码的生成和验证过程不发生在客户端;同时也应当尽量增加验证码生成的复杂度;使用未经任何变换的图片验证码;设置验证码输入值的过滤机制,增加验证的时效性(设置有效时间)及请求、认证频率的限制或者增加行为式验证码的使用等方式。
对普通的网络使用者来说,我们应当提高网络安全意识,验证码的设计并不是为了影响我们的网络使用体验,而是为了确保我们既能便捷地使用网络又能维护好我们的个人信息安全。多一道防线,便是多一分安全。(保密办宣)