短信驗證碼現(xiàn)在已經(jīng)廣泛使用，無需贅述，各銀行的網(wǎng)絡銀行、各種手機APP、各種網(wǎng)站都需要使用短信驗證碼完成相關業(yè)務。 在使用中，由于產(chǎn)品設計中的防范意識薄弱，經(jīng)常發(fā)生短信被惡意攻擊的事件，造成了不必要的損失。

短信驗證碼受到攻擊一般分為兩種情況。 一是不法分子利用發(fā)送接口的漏洞，通過不斷轉換IP地址偽裝成大量手機號碼獲得認證，給企業(yè)短信資費造成高額損失。 二是不法分子只攻擊某個特定號碼，向同一手機號碼重復發(fā)送驗證碼，可能會嚴重影響機器所有者，給企業(yè)帶來投訴和處罰。

無論其目的如何，短信驗證碼(www.complaintb.cn)如果受到攻擊，將會產(chǎn)生非常壞的影響。 關于提高驗證碼的安全性，請考慮以下幾點。

手機號碼發(fā)送頻率的限制。 限制每個手機號碼每天的限制發(fā)送次數(shù)。 超過次數(shù)就不能發(fā)送短信； 但是，必須仔細定義該號碼的鎖定時間段，以防止用戶的真正注冊、登錄操作受到影響，同時有效防止攻擊。

添加行為式驗證碼。 在用戶獲得驗證碼之前，可以通過觸點式和拖動式的行為驗證來驗證用戶的真實身份。

設定1個IP地址在一定期間內(nèi)的極限發(fā)送量。 雖然該方法可以有效防止單個IP地址的攻擊，但是對轉換IP地址的黑客沒有效果，通過禁止某個IP可以進行統(tǒng)一限制，在該IP下其他用戶也很可能無法正常獲取驗證碼。 例如，某集團公司對某APP進行集體登記。

改變驗證碼發(fā)行的流程。 首先完成用戶注冊，然后發(fā)放驗證碼綁定手機，這增加了用戶的操作步驟，影響用戶體驗的流暢度；

設置授權碼獲取間隔。 限制重復發(fā)送相同手機號碼的時間間隔，通常設定為60-120秒；

采用了一鍵登錄和短信驗證碼的組合模式。 一鍵登錄是通過運營商的網(wǎng)關取號碼的方式，自動識別用戶號碼并完成認證。 整個過程采用安全系數(shù)高的非對稱加密算法進行加密處理，具有防篡改、防篡改性，安全性可靠。 要一鍵登錄，用戶必須擁有數(shù)據(jù)蜂窩網(wǎng)絡，如果沒有網(wǎng)絡，則無法完成認證。 因而，企業(yè)采用了一鍵登錄和消息認證碼組合的方式，在一鍵登錄的認證失敗的情況下可以切換為消息認證碼，從而可以盡可能地保障用戶操作的便利性和順利性。

其他發(fā)送頻率限制：對手機號碼進行發(fā)送限制。 例如，設定條件為1次/分； 2次/小時；5次/天 (相同內(nèi)容)。