網站串OTP與簡訊驗證
【客製化系統】網站加入OTP驗證、簡訊驗證機制|天矽科技客製化網頁設計
OTP驗證碼
客製化網頁有辦法在驗證機制中,加入簡訊驗證嗎?可以!
所謂的簡訊驗證,就是 OTP簡訊驗證;而 OTP 就是 One Time Password 的簡寫,中文為動態密碼、一次性密碼,其使用方式是透過發送一串「單次的有效性密碼簡訊」到使用者手機中,來達成確認使用者身分的真實性認證。
OTP驗證碼最常用於金融產業,當使用者在線上進行金融交易時,銀行就會發送OTP簡訊驗證碼給客戶進行身分的真實性認證。
不過在近年來,許多網站為了避免系統遭到大量的惡意假帳號註冊,也會將此功能加入到自家網站中,當使用者在註冊、加入會員或是忘記密碼時,只要需要輸入手機號碼並獲取驗證簡訊中的一串密碼,再將此密碼輸入到網站中,即可達到確認身分的機制,並可繼續下一步驟。
※ OTP驗證碼不僅限於簡訊,也可用於APP推播或E-mail中,但簡訊是其中最大宗且方便、安全的傳送方式。
▲ 財政部 忘記密碼 一次性密碼
OPT動態密碼原理
OTP驗證碼的產生方式是以「時間差」做為伺服器與密碼產生器的同步條件,在需要登錄的時候利用密碼產生器產生動態密碼,而OTP在進行認證之後即廢棄不可使用。
OTP一般分為「計次使用」和「計時使用」,計次使用在OTP產出後可不限時間使用,計時使用則有限時間,大多從30秒到3分鐘不等,但兩者所產生的密碼都只能使用一次。
OTP動態密碼特色
OTP動態密碼的好處在於…
- 解決使用者在記憶與儲存密碼上的困難
- 密碼只能使用一次,且是動態產生、難以預測,可大幅提升使用的安全性
不過仍有相對的缺點,如…
- 一次性密碼大多須手機號碼收取簡訊,需搭配手機使用
- 使用者可能會發生延遲或無法收到驗證碼的問題
資料來源:維基百科|一次性密碼
天矽科技OTP驗證碼
以這間遠信線上申請貸款的網站為例,貸款屬於金融產業的其中一個項目,因此在做線上申請時,就會需要做身分上的驗證,身分驗證成功才能繼續進行下一個步驟,步驟如下。
▲ 輸入手機號碼進行驗證
▲ 身分確認成功後才能進行下個步驟
▲ 輸入驗證碼 (驗證碼有效時間為3分鐘)
▲ 手機簡訊獲得一組OTP動態密碼
此貸款網站使用了 OTP簡訊驗證,當使用者輸入了手機號碼進行驗證時,不僅加強了使用者的使用意圖,同時也證實申請者為本人。
此案例後續還有加入「圖像辨識/證件辨識」的功能,有興趣可延伸閱讀此篇:【客製化系統】圖像辨識/證件辨識可以放到我的網站上嗎?
另外,會員忘記密碼的OTP驗證,則以PLUS普樂士為例,若會員忘記申請時的密碼,須通過簡訊驗證,系統才會發送新的密碼給會員進行新密碼設定,如以下。
▲ 輸入註冊帳號(mail)並發送手機驗證碼
▲ 收到驗證碼並輸入後即可更改密碼
