怎样避免短信验证码被攻击

短信验证码作为用户的一种安全验证手段，已经在各类手机APP、各大银行和各种网站上广泛使用。短信验证码的目的就是安全，可在日常使用中仍会遭受到一些恶意攻击，无论是企业还是个人都会因此造成一些损失。

通常短信验证码受到攻击的情况有两种：一种情况是恶意刷取目标网站的短信验证码费用，经常会遭到攻击的地方是用户注册页面，以及验证码快速登录页面和在线投票等页面。而另一种则是针对某个手机号码进行攻击，骚扰机主的生活。那为了避免这样的事情发生该怎样防范呢？

1、可以让供应商把短信验证码接口绑定一个或多个服务器IP，当出现以外的服务器后就会报错。

2、在手机号码的窗口添加检测号码有的效性，屏蔽乱码等非手机的无效数字，及时制止攻击者使用的非法或无效号码。

3、改变一般的验证码发送流程，在用户注册时，可以在用户输入手机号之后，先设置密码，设置成功后再出现点击发送验证码，这样的流程会使攻击者的成本增加，可以大概率减少攻击。

4、为了避免客户被盗账号的情况，可以让短信服务商的短信接口对任意时间段的任意短信条数进行限制，或者提供预警。比如客户新上线的一款APP，日发送短信条数上限是一万条。

5、限制同一号码的短信发送频率，可以限制动态验证码的重复发送时长间隔，当单一用户请求发送动态验证码之后，服务器可限制在一定时长，通常是60~120秒之后才能进行第二次发送。该方法可进一步保障用户体验，避免恶意发送垃圾验证短信等恶意攻击。

比如客户端可以做如下操作

1当同一个手机号，连续请求2次，可在终端由交互样式阻碍用户持续请求；

2当同一手机号连续请求，则15分钟内为同一验证码；

3当同一手机号的请求，每天超过20次请求，则可直接先拒绝其接下来的请求；

4对于同一种验证类型，如忘记密码，注册等，3次填入验证码错误，则验证码失效；

综上所述，希望对您而言能起到好作用，另外，用户增强自我防范意识也是必要的。