发表于: 2019-08-12 19:23:53
1 602
.今天完成的事情:任务四提交
明天计划的事情:任务五调研
遇到的问题:找回密码如何判断是否为恶意注册
收获:
在用户密码找回中现有的模式有手机验证码找回,密保问题找回,还有账号申诉,现在由于静态密码的安全性较低密保模式在被逐渐淘汰,所以现有的密码找回流程分为两种
流程1:登录困难->忘记密码,找回->输入手机号->获取验证码->输入新密码。
流程2:登录困难->手机号不能用->人工申诉->验证账号所有权->人工修改登录账号与密码。
在流程一中手机验证就是验证这个账号的手段,也是防止恶意破解的有效手段,所以现在的恶意破解大多都是在直接破解密码或者在账号申诉中进行恶意破解。
在找回密码模块中最重要的一点是验证账号相关性与账号密码找回凭据有效性。
1.账号相关性
什么是账号相关性?比如登录账号是testxss,关联的手机登录账号是15017592905,则testxss和15017592905 具有相关性,修改testxss 时不能输入别的手机号。
2.密码找回凭据有效性
比如15017592905手机验证码为3214,输入验证码时一定要检查3214与手机号15017592905 是否关联,一旦用户输入的验证码和手机具有关联关系,生成修改密码的有效凭据,凭借此凭据修改对应的账号的密码。
所以现在的恶意破解大多集中在流程二中,有些盗号人会使用脚本进行大量的恶意申诉,所以现在的账号申诉中,先要防止的就是使用脚本的恶意申诉,现有的机制有如下几个
1.图片验证
现在的图片验证是通过滑动滑块进行验证,可以有效的降低脚本的效率。
2.语音短信验证
输入你在用的手机号码,然后用短信或者语音信息进行验证消息。
3.时限机制
在一段时间内进行申诉次数限制。
评论