产品安全：短信验证码的防攻击策略

短信验证码如今的应用之广无需赘述，各大银行的网上银行、各种手机APP、各种类型的网站，都需要借助短信验证码完成相关业务。在使用过程中，由于产品设计过程中防范意识薄弱，经常会出现短信被恶意攻击的事件，引起一些不必要的损失。下面我们就一起了解下短信验证码产品设计过程中的注意事项。

一、短信恶意攻击的目的是什么？

目前市面上的短信恶意攻击无非是有两种目的：第一是以攻击某个特定的手机号为目的，黑客利用互联网中多个未经防护的短信发送接口，循环调用接口向该手机号发送短信，使手机号的拥有者不堪其扰。第二是以恶意刷取目标网站短信验证码费用为目的，黑客发现某个未加防护的短信发送接口后，会按照某个手机号码列表，循环发送短信验证码，攻击期间黑客会不断变换ip地址，可刷取数以万计甚至更高的短信费用。被攻击的公司在损失费用的同时，也必定会收到用户的投诉，公司形象也会受损。

二、容易被攻击的场景

最常被攻击的场景是用户注册页面，或者是手机短信验证码快捷登录页面、网络在线投票等页面。此类场景下的发送短信验证码的接口，往往未对调用方进行相关的身份验证。

三、几种防攻击策略使用过程中的思考

几种防攻击策略都能在一定程度上起作用，但是会对用户体验产生不同的影响，在实际使用过程中，需要考虑到实际情况，组合使用以下策略。

设置短信发送时间间隔

设置同一个号码重复发送的时间间隔，一般设置为60-120秒。该手段可以在一定程度上防止短信接口被恶意攻击，且对用户体验没有什么伤害。但是不能防止黑客更换手机号进行攻击，防护等级较低。

手机号获取短信验证码次数限制

限制某个特定手机号某个特定时间段内获取短信验证码次数的上限。采用这种策略时在产品设计过程中，有几点值得认真思考。

谨慎定义上限值。根据业务真实的情况，甚至需要考虑到将来业务的发展定一个合适的上限值，避免因用户无法收到短信验证码而带来的投诉。

谨慎定义锁定时间段。可以是24小时，可以是12小时、6小时。需要根据业务情况进行定义。

考虑用户手机无法获取到短信验证码的后续方案。如果真的有用户无意间触发了上限值，但是他真的需要使用某项业务，有可能打客服电话。此时可以让用户等待，渡过锁定期后自行解锁。也可以在客服操作的后台，增加手动解锁功能，这里就不展开说了。

IP限制

设置单个IP地址某个时间段内最大的发送量。该手段可很好的预防单一IP地址的攻击，但是也有两个很明显的缺点：

对于经常变更IP地址进行攻击的黑客，该手段没有很好的效果。

IP的限制经常会造成误伤。如在一些使用统一无线网的场所，很多用户连接着同一个无线网，这个IP地址就容易很快达到上限，从而造成连接该无线网的用户都无法正常的收到验证码。

增加图形验证码

在发送短信验证码之前，必须通过通过图形验证码的校验。这种手段可有效地防止各种攻击，因此也是目前非常普遍的短信防攻击机制。但是在使用过程中涉及到用户体验问题，不能简单粗暴地套用这一策略。以下几个点值得仔细斟酌：

能不能每次发送短信验证码的时候，都先输入图形验证码？我的意见是最好不要，一般来说这样做会极大地影响用户体验，虽然是安全了，但是用户用着不爽了。

可以给一个安全范围。不妨结合手机号限制、IP限制来考虑，比如同一个手机号当天第3次获取图形验证码的时候，出现图形验证码；比如同一个IP地址当天获取验证码次数超过100次后，出现图形验证码。

图形验证码的具体选用类型。有文字（字母数字）验证码、滑动验证码、选字验证码等，根据具体的业务场景来选取。

改变发送验证码的流程设定

此类策略属于开脑洞式的、跳出常规思维的解决问题的办法，举两个例子：

注册的场景下，可以先让用户输入手机号，接着设置密码，密码设置成功之后再进行短信验证码的发送。这样就从流程上增大了黑客的攻击成本，可大大避免非攻击的概率。

像微信、QQ以及一些其他应用那样，让用户先发送指定短信给企业，以此来验证用户是否掌握着这个手机，企业验证通过后再进行接下来的短信验证码发送。这真是一个绝妙的主意，从根本上杜绝了黑客攻击的可能。但是一般的应用需要谨慎使用这个功能，考虑自己的产品有没有必要做这种功能的开发，是不是普通的策略就够用了。而且面对这种用户体验不是那么好的方式，自己的产品是否有足够的信心相信用户一定会接受这种引导。

以上是对于几种防攻击策略的思考，在具体的产品设计过程中，可以综合使用，在产品安全和优秀的用户体验之间寻找一个极佳的平衡。