实时验证 API:如何在新年防盗

已发表: 2021-12-22

在防止不良数据进入您的 CRM 时,实时验证可以大有不同。 但是您知道这也会使您的公司面临风险吗?

盗窃是实时验证 API 的常见问题。 让您的企业做好应对盗窃的准备可以帮助您保护数据、节省资金并防止未来的攻击。

虽然您一直专注于增加您的邮件列表并在这个假日季节最大限度地提高收入,但您可能会让您的公司容易被盗。

让我们更深入地了解实时验证 API、它们带来的挑战以及在新的一年里您可以采取哪些措施来保护您的业务。

什么是实时验证?

假设客户在您的电子邮件或社交媒体活动中点击其中一个 CTA。 您提出从他们购买的产品中获得 20% 的折扣,以换取每月的时事通讯。 听起来是个不错的提议! 因此,他们决定将他们的电子邮件地址添加到注册表单中。

除了他们没有。 他们输入一个随机的电子邮件地址,希望能避免讨价还价。 或者也许他们输入了真实的电子邮件地址,但不小心留下了错字。 无论哪种方式,当他们提交时,他们都会收到一条温和的反馈信息:“看起来您的电子邮件地址可能无效。 可以再查一下吗?”

您只需确保一位客户善意行事,而另一位客户则优雅地从真正的错误中恢复过来。 那是实时验证。

实时验证通过在客户提交表单之前对电子邮件地址、邮寄地址和电话号码等信息执行验证检查(使用第三方验证 API)来工作。 它可以用于时事通讯注册、购买表格、注册表单或任何其他类型的潜在客户生成输入。

实时验证通过阻止不良信息首先到达您的联系人列表,将其排除在您的联系人列表之外。 这很重要,因为经常发送到无效地址会损害您在邮箱提供商中的声誉并导致可传递性问题。

实时验证 API 的挑战

这一切听起来都很棒。 但不幸的是,黑客也这么认为。

当涉及实时验证 API 时,盗窃是您将面临的最大问题之一。 根据您的工程团队的资源情况,可能很难预测。 但如果完全忽视,它很快就会成为严重的商业风险。

以下是您需要注意的两种主要盗窃类型:

验证盗窃

将验证放在面向公众的表单上意味着任何人都可以访问它。 这很好,对吧?

是和不是。 这意味着不良行为者也可以访问它。 这些人也希望他们的邮件列表得到验证。 如果他们发现您的表单可以做到这一点,他们可以编写自动化脚本来重复将他们的电子邮件地址插入您的表单,触发验证步骤并收集结果。 简而言之,他们正在对您的一角钱进行验证。

这些类型的攻击可能会在几分钟内让毫无戒心的企业损失数万美元。 经验丰富的工程团队可以(并且应该)防范这种攻击,但它需要额外的规划和开发时间,这些时间可能在集成项目开始时不会考虑,或者只是由于资源而无法使用。

API 密钥盗窃

验证服务将为您的帐户提供一个 API 密钥,允许您访问其 API。 持有此密钥的人可以访问您支付的服务。 API 密钥对于表单中的实时验证也是必需的,因此它需要包含在您的代码中。

加载网页就像烤蛋糕一样。 起初,整个配方(包括秘密成分,或者在这种情况下,API 密钥)只有面包师知道。 但是一旦它被烘烤,许多成分都是固定的,任何人都可以看到。

网络也是如此。 只需打开任何浏览器,加载页面,打开代码检查器,您就会看到可见的成分(或面向客户端的代码)。 代码的可见部分通常是无害的。 但是,如果您的工程团队决定采用简单的方法并将 API 密钥包含在面向客户端的代码中,那么任何不良行为者都可以出现,获取密钥并使用您支付的验证信用。

经验丰富的工程团队可以通过创建一种 API 密钥保持机密的方式(在配方的机密部分或后端代码中)来防范这种情况。 但这很容易被忽视,需要更多的工作才能以安全和快速的方式实施。

在大批量销售期间风险更高

在假日季节、新年伊始,甚至情人节等高销量销售期间,增加邮件列表和产生收入的机会是巨大的。 但是,对于那些寻找不受保护的表单和 API 密钥来掠夺您的业务的不良行为者来说,这也是最佳时机。

输入公钥

标准 API 密钥是私钥。 维护这种隐私的努力需要更多的时间、技能和更高的开发成本(如果你有资源的话)。

一个好的解决方案是不需要隐私的:公共 API 密钥

想想私钥和公钥,就像你用来进入百货公司的双门(如果你仍然这样做的话)。 两扇门的存在是为了保护商店内部免受恶劣天气的影响。 外面的任何东西都会被捕获在第一扇门(公钥)和第二扇门(私钥)之间的空间中。

让我们看看他们如何解决我们的两个盗窃问题:

  • 验证盗窃:您无法阻止不良行为者访问您的网站并试图劫持您的表单,但您可以降低风险。 使用公钥(或“外门”)的美妙之处在于您可以控制两者之间的空间。

由于验证调用必须进入该空间,因此您可以决定如何处理它们。 通过限制给定用户可以进行验证调用的次数(每分钟或每秒),您可以极大地限制劫持者可以造成的损害。 您还提出了一个不太有吸引力的目标。 如果您有资源,您的工程团队可以构建自定义功能来执行此操作,或者您可以让通过公共 API 密钥提供节流的服务为您执行此操作。

  • API 密钥盗窃:由于公钥用于面向客户端的代码,因此您无需开发复杂的方法来对其保密。 你可以直接让它暴露在外,因为你调节了门之间的空间。

您可以通过其原始域限制验证调用,这意味着您可以拒绝来自与您无关的域的任何 API 调用。 因此,即使一个坏演员偷走了钥匙,它对他们的价值也会大大降低。 公钥的任何实现(无论是您自己的自定义解决方案还是验证服务)都应该使用至少两个因素来调解通过您的门进入的请求。 速率限制和域白名单是一个好的开始。

使用支持公钥的验证服务的最佳部分是您可以不必担心开发时间和资源。 验证 API 与公钥的集成工作要简单得多(因此速度更快),因为许多与安全性有关的问题都是提前解决的。

结论

新的一年将提供许多增加您的邮件列表的机会,因此确保只有有效数据才能进入您的 CRM 非常重要。 确保通过使用支持公钥的验证服务来防止不良行为者利用您的验证 API。

例如,BriteVerify 可以帮助您降低 API 被盗的风险,同时仍然确保联系人将准确的数据输入到您的 Web 表单中。

要了解更多信息,请立即与我们安排演示。