PHP安全 人机识别战略
发布时间:2021-11-13 13:24:29 所属栏目:安全 来源:互联网
导读:人机识别策略是区分正常用户与恶意攻击者的重要保障机制。在没有人机识别的情况下,攻击者很容易就能对密码进行暴力破解或者用一个通用密码对用户进行暴力破解,导致在许多场景中不得不降低用户体验。增加人机识别策略,可防止恶意攻击者暴力破解数据,并减轻
|
人机识别策略是区分正常用户与恶意攻击者的重要保障机制。在没有人机识别的情况下,攻击者很容易就能对密码进行暴力破解或者用一个通用密码对用户进行暴力破解,导致在许多场景中不得不降低用户体验。增加人机识别策略,可防止恶意攻击者暴力破解数据,并减轻服务器的压力,例如更好地支持登录注册、密码找回、支付、转账、论坛回帖,有效防范强刷页面、刷票等。在项目中常用的人机识别方式有图片验证码、短信验证、语音验证、滑块验证等。 图片验证码 图片验证码的形态多样,主要有数字、字母、中文组合、计算题等,验证码生成算法以及程序实现流程上都有可能带来问题,容易被攻击者突破。 使用图片验证码要注意以下问题。 (1)验证码的字符范围要尽可能大,尽量使用字母、数字、汉字、符号组合的字符集,这种字符集比单纯为数字的字符集效果要好。 (2)尽量让字符进行变形、扭曲,或使用干扰性强的图案,这样能有效增加验证码的识别难度,但这对人眼识别是基本无障碍的。 (3)防止暴力猜解,要对生成的每一个验证码都设置有效期,验证码验证失败一次后一定要设置为失效,并重新生成新的验证码。 (4)防止生成的验证码返回到响应中。比如研发人员忘记注释掉调试信息,导致验证码可能出现在响应包中的Cookie、URL、页面注释中,甚至验证码在展示的时候直接就是文本方式,这样就完全失去了使用验证码的价值。 (5)推荐使用CAPTCHA项目提供的人机识别验证码。CAPTCHA提供一个PHP的验证码生成类cool-php-captcha,可以通过GitHub下载得到。如图1所示为CAPTCHA样式示例。 (编辑:辽源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |