實時驗證 API:如何在新年防盜

已發表: 2021-12-22

在防止不良數據進入您的 CRM 時,實時驗證可以大有不同。 但是您知道這也會使您的公司面臨風險嗎?

盜竊是實時驗證 API 的常見問題。 讓您的企業做好應對盜竊的準備可以幫助您保護數據、節省資金並防止未來的攻擊。

雖然您一直專注於增加您的郵件列表並在這個假日季節最大限度地提高收入,但您可能會讓您的公司容易被盜。

讓我們更深入地了解實時驗證 API、它們帶來的挑戰以及在新的一年裡您可以採取哪些措施來保護您的業務。

什麼是實時驗證?

假設客戶在您的電子郵件或社交媒體活動中點擊其中一個 CTA。 您提出從他們購買的產品中獲得 20% 的折扣,以換取每月的時事通訊。 聽起來是個不錯的提議! 因此,他們決定將他們的電子郵件地址添加到註冊表單中。

除了他們沒有。 他們輸入一個隨機的電子郵件地址,希望能避免討價還價。 或者也許他們輸入了真實的電子郵件地址,但不小心留下了錯字。 無論哪種方式,當他們提交時,他們都會收到一條溫和的反饋信息:“看起來您的電子郵件地址可能無效。 可以再查一下嗎?”

您只需確保一位客戶善意行事,而另一位客戶則優雅地從真正的錯誤中恢復過來。 那是實時驗證。

實時驗證通過在客戶提交表單之前對電子郵件地址、郵寄地址和電話號碼等信息執行驗證檢查(使用第三方驗證 API)來工作。 它可以用於時事通訊註冊、購買表格、註冊表單或任何其他類型的潛在客戶生成輸入。

實時驗證通過阻止不良信息首先到達您的聯繫人列表,將其排除在您的聯繫人列表之外。 這很重要,因為經常發送到無效地址會損害您在郵箱提供商中的聲譽並導致可傳遞性問題。

實時驗證 API 的挑戰

這一切聽起來都很棒。 但不幸的是,黑客也這麼認為。

當涉及實時驗證 API 時,盜竊是您將面臨的最大問題之一。 根據您的工程團隊的資源情況,可能很難預測。 但如果完全忽視,它很快就會成為嚴重的商業風險。

以下是您需要注意的兩種主要盜竊類型:

驗證盜竊

將驗證放在面向公眾的表單上意味著任何人都可以訪問它。 這很好,對吧?

是和不是。 這意味著不良行為者也可以訪問它。 這些人也希望他們的郵件列表得到驗證。 如果他們發現您的表單可以做到這一點,他們可以編寫自動化腳本來重複將他們的電子郵件地址插入您的表單,觸發驗證步驟並收集結果。 簡而言之,他們正在對您的一角錢進行驗證。

這些類型的攻擊可能會在幾分鐘內讓毫無戒心的企業損失數万美元。 經驗豐富的工程團隊可以(並且應該)防範這種攻擊,但它需要額外的規劃和開發時間,這些時間可能在集成項目開始時不會考慮,或者只是由於資源而無法使用。

API 密鑰盜竊

驗證服務將為您的帳戶提供一個 API 密鑰,允許您訪問其 API。 持有此密鑰的人可以訪問您支付的服務。 API 密鑰對於表單中的實時驗證也是必需的,因此它需要包含在您的代碼中。

加載網頁就像烤蛋糕一樣。 起初,整個配方(包括秘密成分,或者在這種情況下,API 密鑰)只有麵包師知道。 但是一旦它被烘烤,許多成分都是固定的,任何人都可以看到。

網絡也是如此。 只需打開任何瀏覽器,加載頁面,打開代碼檢查器,您就會看到可見的成分(或面向客戶端的代碼)。 代碼的可見部分通常是無害的。 但是,如果您的工程團隊決定採用簡單的方法並將 API 密鑰包含在面向客戶端的代碼中,那麼任何不良行為者都可以出現,獲取密鑰並使用您支付的驗證信用。

經驗豐富的工程團隊可以通過創建一種 API 密鑰保持機密的方式(在配方的機密部分或後端代碼中)來防範這種情況。 但這很容易被忽視,需要更多的工作才能以安全和快速的方式實施。

在大批量銷售期間風險更高

在假日季節、新年伊始,甚至情人節等高銷量銷售期間,增加郵件列表和產生收入的機會是巨大的。 但是,對於那些尋找不受保護的表單和 API 密鑰來掠奪您的業務的不良行為者來說,這也是最佳時機。

輸入公鑰

標準 API 密鑰是私鑰。 維護這種隱私的努力需要更多的時間、技能和更高的開發成本(如果你有資源的話)。

一個好的解決方案是不需要隱私的:公共 API 密鑰

想想私鑰和公鑰,就像你用來進入百貨公司的雙門(如果你仍然這樣做的話)。 兩扇門的存在是為了保護商店內部免受惡劣天氣的影響。 外面的任何東西都會被捕獲在第一扇門(公鑰)和第二扇門(私鑰)之間的空間中。

讓我們看看他們如何解決我們的兩個盜竊問題:

  • 驗證盜竊:您無法阻止不良行為者訪問您的網站並試圖劫持您的表單,但您可以降低風險。 使用公鑰(或“外門”)的美妙之處在於您可以控制兩者之間的空間。

由於驗證調用必須進入該空間,因此您可以決定如何處理它們。 通過限制給定用戶可以進行驗證調用的次數(每分鐘或每秒),您可以極大地限制劫持者可以造成的損害。 您還提出了一個不太有吸引力的目標。 如果您有資源,您的工程團隊可以構建自定義功能來執行此操作,或者您可以讓通過公共 API 密鑰提供節流的服務為您執行此操作。

  • API 密鑰盜竊:由於公鑰用於面向客戶端的代碼,因此您無需開發複雜的方法來對其保密。 你可以直接讓它暴露在外,因為你調節了門之間的空間。

您可以通過其原始域限制驗證調用,這意味著您可以拒絕來自與您無關的域的任何 API 調用。 因此,即使一個壞演員偷走了鑰匙,它對他們的價值也會大大降低。 公鑰的任何實現(無論是您自己的自定義解決方案還是驗證服務)都應該使用至少兩個因素來調解通過您的門進入的請求。 速率限制和域白名單是一個好的開始。

使用支持公鑰的驗證服務的最佳部分是您可以不必擔心開發時間和資源。 驗證 API 與公鑰的集成工作要簡單得多(因此速度更快),因為許多與安全性有關的問題都是提前解決的。

結論

新的一年將提供許多增加您的郵件列表的機會,因此確保只有有效數據才能進入您的 CRM 非常重要。 確保通過使用支持公鑰的驗證服務來防止不良行為者利用您的驗證 API。

例如,BriteVerify 可以幫助您降低 API 被盜的風險,同時仍然確保聯繫人將準確的數據輸入到您的 Web 表單中。

要了解更多信息,請立即與我們安排演示。