短信验证码的安全性与防御策略

一、短信恶意攻击的目的

现如今，短信恶意攻击通常有两种目的：

1. 针对特定手机号的攻击

攻击者利用互联网中没有防护的短信发送接口，持续发送大量短信给特定手机号，以此扰乱手机使用者的正常使用，甚至导致用户流失。

2. 刷取短信验证码的费用

攻击者发现没有加强防护的短信验证码接口，可以按照手机号序列循环发送短信验证码，导致公司损失费用并收到用户投诉，进而损害公司形象。

二、容易被攻击的场景

常见的容易被攻击的场景包括注册页面和验证码快捷登录界面等。这些场景下的短信验证码接口通常没有调用方身份验证机制。

三、多种防攻击策略的思考

以下防攻击策略在一定程度上都能起到作用，且对用户体验有不同程度的影响。可以根据实际情况组合使用以下策略：

四、设置短信发送时间间隔

对同一号码设置发送时间间隔，正常设置为60-120秒。这种方法在一定程度上可以防止短信接口被恶意攻击，且对用户体验影响较小。不过，该方法无法防止更换手机号进行攻击，防护等级较低。

五、限制手机号获取短信验证码次数

该方法限制手机号在特定时间段内获取短信验证码的次数上限。在设置时需要考虑产品的实际情况，包括上限值和锁定时间段的设定。上限值需要结合业务发展选择合适的值，避免用户无法接收验证码而投诉。锁定时间段一般设定为24小时、12小时或6小时，具体根据公司业务情况灵活调整。如果用户无意间触发上限值，可以提供客服电话供其联系。

六、设置IP限制

IP限制是限制单个IP在某时间段的最大发送量。虽然可以有效预防单一IP攻击，但对于经常更换IP的攻击者效果较差。此外，IP限制容易对公共无线网络使用者造成误伤，因为公共无线网络连接的人数众多，IP上限很容易达到，导致有限用户无法正常接收短信验证码。

七、增加图形验证码

在发送短信验证码之前，要求用户通过图形验证校验。这是目前最常使用的防止手段之一，但会对用户体验产生影响。可以根据手机号限制和IP限制综合考虑，例如当同一手机号当天第2次获取短信验证码时，出现图形验证码；当同一IP地址当天获取验证码次数超过100次后，出现图形验证码等。图形验证码的类型包括文字（字母数字）验证码、滑动验证码和选字验证码等，可以根据业务需求选择合适的类型。

八、改变发送验证码的流程设定

这是一种创新性的策略，可以跳出常规思维解决被攻击的问题。例如，在注册情况下，先要求输入密码，密码正确后再发送验证码。许多企业已经采用了这种方法，通过增加流程长度来增加攻击成本。综上所述，目前短信验证码的安全性较高，一般不会出现恶意攻击现象，最常见的问题是手机无法接收到短信，不利于用户体验。在选择短信验证码平台时，九天企信王验证码平台的响应时间大约在3-5秒左右，是打造良好用户体验的选择之一。