短信驗證碼的安全性與防御策略

一、短信惡意攻擊的目的

現(xiàn)如今，短信惡意攻擊通常有兩種目的：

1. 針對特定手機號的攻擊

攻擊者利用互聯(lián)網(wǎng)中沒有防護的短信發(fā)送接口，持續(xù)發(fā)送大量短信給特定手機號，以此擾亂手機使用者的正常使用，甚至導(dǎo)致用戶流失。

2. 刷取短信驗證碼的費用

攻擊者發(fā)現(xiàn)沒有加強防護的短信驗證碼接口，可以按照手機號序列循環(huán)發(fā)送短信驗證碼，導(dǎo)致公司損失費用并收到用戶投訴，進而損害公司形象。

二、容易被攻擊的場景

常見的容易被攻擊的場景包括注冊頁面和驗證碼快捷登錄界面等。這些場景下的短信驗證碼接口通常沒有調(diào)用方身份驗證機制。

三、多種防攻擊策略的思考

以下防攻擊策略在一定程度上都能起到作用，且對用戶體驗有不同程度的影響。可以根據(jù)實際情況組合使用以下策略：

四、設(shè)置短信發(fā)送時間間隔

對同一號碼設(shè)置發(fā)送時間間隔，正常設(shè)置為60-120秒。這種方法在一定程度上可以防止短信接口被惡意攻擊，且對用戶體驗影響較小。不過，該方法無法防止更換手機號進行攻擊，防護等級較低。

五、限制手機號獲取短信驗證碼次數(shù)

該方法限制手機號在特定時間段內(nèi)獲取短信驗證碼的次數(shù)上限。在設(shè)置時需要考慮產(chǎn)品的實際情況，包括上限值和鎖定時間段的設(shè)定。上限值需要結(jié)合業(yè)務(wù)發(fā)展選擇合適的值，避免用戶無法接收驗證碼而投訴。鎖定時間段一般設(shè)定為24小時、12小時或6小時，具體根據(jù)公司業(yè)務(wù)情況靈活調(diào)整。如果用戶無意間觸發(fā)上限值，可以提供客服電話供其聯(lián)系。

六、設(shè)置IP限制

IP限制是限制單個IP在某時間段的最大發(fā)送量。雖然可以有效預(yù)防單一IP攻擊，但對于經(jīng)常更換IP的攻擊者效果較差。此外，IP限制容易對公共無線網(wǎng)絡(luò)使用者造成誤傷，因為公共無線網(wǎng)絡(luò)連接的人數(shù)眾多，IP上限很容易達到，導(dǎo)致有限用戶無法正常接收短信驗證碼。

七、增加圖形驗證碼

在發(fā)送短信驗證碼之前，要求用戶通過圖形驗證校驗。這是目前最常使用的防止手段之一，但會對用戶體驗產(chǎn)生影響�？梢愿鶕�(jù)手機號限制和IP限制綜合考慮，例如當同一手機號當天第2次獲取短信驗證碼時，出現(xiàn)圖形驗證碼；當同一IP地址當天獲取驗證碼次數(shù)超過100次后，出現(xiàn)圖形驗證碼等。圖形驗證碼的類型包括文字（字母數(shù)字）驗證碼、滑動驗證碼和選字驗證碼等，可以根據(jù)業(yè)務(wù)需求選擇合適的類型。

八、改變發(fā)送驗證碼的流程設(shè)定

這是一種創(chuàng)新性的策略，可以跳出常規(guī)思維解決被攻擊的問題。例如，在注冊情況下，先要求輸入密碼，密碼正確后再發(fā)送驗證碼。許多企業(yè)已經(jīng)采用了這種方法，通過增加流程長度來增加攻擊成本。綜上所述，目前短信驗證碼的安全性較高，一般不會出現(xiàn)惡意攻擊現(xiàn)象，最常見的問題是手機無法接收到短信，不利于用戶體驗。在選擇短信驗證碼平臺時，九天企信王驗證碼平臺的響應(yīng)時間大約在3-5秒左右，是打造良好用戶體驗的選擇之一。