一下验证码防攻击策略使用过程中的思考(组图)

如果短信验证码在使用过程中被恶意攻击，这是短信功能设计过程中的bug造成的。如果情况严重，公司将蒙受巨大损失。下面我们来看看防止验证码攻击的方法。

关于使用几种反攻击策略的思考

短信验证码集中式防攻击策略各有利弊，起到不同的保护作用，但在实际使用过程中，最好结合自身情况iphone验证码输入错误次数过多，采取组合策略。

1.设置发送短信的时间间隔

将重复发送相同号码的间隔设置为 60-120 秒。这种方法可以防止对短信界面的恶意攻击，起到一定的保护作用，对企业没有影响。但无法防止黑客更换手机进行攻击，因此防护等级较低。

2.手机号获取短信验证码的次数有限

限制每个手机号码在一个时间段内获取短信验证码的次数，采用这种产品设计策略，有几点需要考虑。

仔细定义值的上限。根据业务实际情况设置上限值，以免用户无法接受短时验证码而影响业务。

仔细定义锁定期。可以是6小时，也可以是12小时，24小时。需要更加真实和定制。

考虑用户手机无法获取短信验证码怎么办。如果一个用户不小心触发了上限值，但是他真的要处理这个业务，那么这是为了让用户能够打到客服电话。同时，用户也可以等到锁定期后自行解锁等。

短信验证码

3.IP限制

设置单个IP地址在一定时间内的最大访问次数。这种方法可以很好的防止单个IP的攻击，但是对于黑客改变IP地址是无效的。

如果IP限制经常会造成意外伤害。如果手机验证码是在肯德基等无线网络统一的地方发送的，说明很多用户共享一个WIFI，IP地址会很快达到IP限制iphone验证码输入错误次数过多，所以连接到无线网络的用户不会能正常收到验证码。

4.添加图形验证码

发送短信验证码前，请使用图形验证码进行验证。这种送房策略是当下非常流行的一种方式，但是在使用的时候会出现用户体验方面的问题，不能一概而论，以下几点值得慎重考虑：

每次输入短信验证码都可以验证图形验证码吗？在我看来，最好不要，因为这会极大地影响用户体验，增加用户认证失败的概率。

可以给出一个相对安全的范围。您不妨结合IP限制和手机号码限制来考虑。例如，同一手机号当天第三次获取短信验证码时，出现二次验证图文验证码；出现二次验证图形验证码。

流行的图形验证码有这几种：有文字（字母数字）验证码、选词验证码、滑动验证码等，根据具体业务场景选择。

以上是防范短信验证码攻击的几点思考。企业可以慎重考虑自身需求，关注验证码界面，在安全性能和卓越用户体验之间取得公认的平衡。