來源： 做產(chǎn)品經(jīng)理 

編輯：劉光昕

    最近遇到一個關(guān)于防止短信驗(yàn)證碼被刷的產(chǎn)品設(shè)計(jì)問題，后來在面試一個前來應(yīng)聘JAVA開發(fā)的程序員的時(shí)候，他也提到了他以前公司的系統(tǒng)也遭遇過這個被刷短信的問題。因此，就“如何設(shè)計(jì)短信驗(yàn)證碼防刷機(jī)制”作一個總結(jié)和分享。

短信驗(yàn)證碼防刷機(jī)制

現(xiàn)在，大部分的產(chǎn)品都會涉使用到短信驗(yàn)證碼的接口，特別是移動產(chǎn)品，短信驗(yàn)證碼幾乎成為了所有移動產(chǎn)品的標(biāo)配。因此，防止短信被刷也就成了每一個產(chǎn)品經(jīng)理和開發(fā)者關(guān)注的問題。

沒有遇到過短信被刷問題的產(chǎn)品經(jīng)理，或許對于這個問題并不是很重視。在此，先簡單介紹一下刷短信的黑工具——短信轟炸機(jī)。短信轟炸機(jī)就是一個利用寫好的程序來大批量刷短信的軟件，它能夠通過自動批量提交手機(jī)號、模擬IP等方式去刷短信。

因此，我們在設(shè)計(jì)需要用到短信驗(yàn)證碼的產(chǎn)品的時(shí)候，一定要制定限制規(guī)則，避免短信被刷光。

防刷的常見做法，估計(jì)大家都不會陌生，PC時(shí)代，大部分平臺都是通過圖形驗(yàn)證碼的形式來減少平臺被機(jī)器所刷的風(fēng)險(xiǎn)，最典型的例子莫過于12306的“奇葩驗(yàn)證碼”了。然而，在移動互聯(lián)網(wǎng)時(shí)代，用戶的體驗(yàn)非常重要，有時(shí)候使用圖形驗(yàn)證碼的同時(shí)會對用戶的體驗(yàn)有一定的影響。那么，除了圖形驗(yàn)證碼的方式之外，還有哪些方法能夠解決短信被刷的問題呢？以下提供幾種方式可供參考：

1、時(shí)間限制：60秒后才能再次發(fā)送

從發(fā)送驗(yàn)證碼開始，前端（客戶端）會進(jìn)行一個60秒的倒數(shù)，在這一分鐘之內(nèi)，用戶是無法提交多次發(fā)送信息的請求的。這種方法雖然使用得比較普遍，但是卻不是非常有用，技術(shù)稍微好點(diǎn)的人完全可以繞過這個限制，直接發(fā)送短信驗(yàn)證碼。

2、手機(jī)號限制：同一個手機(jī)號，24小時(shí)之內(nèi)不能夠超過5條

對使用同一個手機(jī)號碼進(jìn)行注冊或者其他發(fā)送短信驗(yàn)證碼的操作的時(shí)候，系統(tǒng)可以對這個手機(jī)號碼進(jìn)行限制，例如，24小時(shí)只能發(fā)送5條短信驗(yàn)證碼，超出限制則進(jìn)行報(bào)錯（如：系統(tǒng)繁忙，請稍后再試）。然而，這也只能夠避免人工手動刷短信而已，對于批量使用不同手機(jī)號碼來刷短信的機(jī)器，這種方法也是無可奈何的。

3、短信驗(yàn)證碼限制：30分鐘之內(nèi)發(fā)送同一個驗(yàn)證碼

網(wǎng)上還有一種方法說：30分鐘之內(nèi)，所有的請求，所發(fā)送的短信驗(yàn)證碼都是同一個驗(yàn)證碼。第一次請求短信接口，然后緩存短信驗(yàn)證碼結(jié)果，30分鐘之內(nèi)再次請求，則直接返回緩存的內(nèi)容。對于這種方式，不是很清楚短信接口商會不會對發(fā)送緩存信息收取費(fèi)用，如果有興趣可以了解了解。

4、前后端校驗(yàn)：提交Token參數(shù)校驗(yàn)

這種方式比較少人說到，個人覺得可以這種方法值得一試。前端（客戶端）在請求發(fā)送短信的時(shí)候，同時(shí)向服務(wù)端提交一個Token參數(shù)，服務(wù)端對這個Token參數(shù)進(jìn)行校驗(yàn)，校驗(yàn)通過之后，再向請求發(fā)送短信的接口向用戶手機(jī)發(fā)送短信。

5、唯一性限制：微信產(chǎn)品，限制同一個微信ID用戶的請求數(shù)量

如果是微信的產(chǎn)品的話，可以通過微信ID來進(jìn)行識別，然后對同一個微信ID的用戶限制，24小時(shí)之內(nèi)最多只能夠發(fā)送一定量的短信。

6、產(chǎn)品流程限制：分步驟進(jìn)行

例如注冊的短信驗(yàn)證碼使用場景，我們將注冊的步驟分成2步，用戶在輸入手機(jī)號碼并設(shè)置了密碼之后，下一步才進(jìn)入驗(yàn)證碼的驗(yàn)證步驟。

7、圖形驗(yàn)證碼限制：圖形驗(yàn)證通過后再請求接口

用戶輸入圖形驗(yàn)證碼并通過之后，再請求短信接口獲取驗(yàn)證碼。為了有更好的用戶體驗(yàn)，也可以設(shè)計(jì)成：一開始不需要輸入圖形驗(yàn)證碼，在操作達(dá)到一定量之后，才需要輸入圖形驗(yàn)證碼。具體情況請根據(jù)具體場景來進(jìn)行設(shè)計(jì)。

8、IP及Cookie限制：限制相同的IP/Cookie信息最大數(shù)量

使用Cookie或者IP，能夠簡單識別同一個用戶，然后對相同的用戶進(jìn)行限制（如：24小時(shí)內(nèi)最多只能夠發(fā)送20條短信）。然而，Cookie能夠清理、IP能夠模擬，而且IP還會出現(xiàn)局域網(wǎng)相同IP的情況，因此，在使用此方法的時(shí)候，應(yīng)該根據(jù)具體情況來思考。

9、短信預(yù)警機(jī)制，做好出問題之后的防護(hù)

以上的方法并不一定能夠完全杜絕短信被刷，因此，我們也應(yīng)該做好短信的預(yù)警機(jī)制，即當(dāng)短信的使用量達(dá)到一定量之后，向管理員發(fā)送預(yù)警信息，管理員可以立刻對短信的接口情況進(jìn)行監(jiān)控和防護(hù)。

以上所說到的方式，或許不是很完美，但是可以通過多個方式結(jié)合著來作使用，通過多個規(guī)則來降低短信被刷的風(fēng)險(xiǎn)。

  以上為短信被刷的傳統(tǒng)防護(hù)方案，新昕科技的防護(hù)方案接近完美，兼顧用戶體驗(yàn)和安全 。 

  新昕科技 www.newxtc.com ，創(chuàng)始團(tuán)隊(duì)來自百度旗下去哪兒、易寶支付、聯(lián)動優(yōu)勢、高陽捷訊(19pay)等支付及航旅知名企業(yè)，歷時(shí)3年時(shí)間，在價(jià)值百萬的風(fēng)控引擎基礎(chǔ)上 ，訓(xùn)練出“防短信轟炸”智能模型，徹底解決“安全”與“用戶體驗(yàn)”的矛盾，產(chǎn)品經(jīng)理只需專注用戶體驗(yàn)，無需為安全讓步。

  1）無感：去類12306、對缺口拼圖、拖動等所謂人機(jī)驗(yàn)證有感方式。 

 

化繁為簡，簡單到只需輸入手機(jī)號，還產(chǎn)品本來面目

  2）保障：攻防對抗大數(shù)據(jù)訓(xùn)練的 AI模型，去前端交互驗(yàn)證方式，后端防御確保短信安全。

     比如，同一個IP ，即使有1萬個正常用戶同時(shí)共同使用，可以確保放行，但常規(guī)的防控大多數(shù)被誤攔。

      反之，攻擊者控制1萬臺主機(jī)，1萬個不同IP、手機(jī)，也保證攔截，但常規(guī)的防控對此無能為力。

    

    如何做到的， 基于三層AI防御體系，

     “報(bào)文對抗層” 在最外層應(yīng)用加解密及混淆技術(shù)，對抗普通的攻擊，

     “蜂窩防護(hù)層” 由時(shí)空主體組成蜂窩，確保被攻擊后“蜂窩”之間互不影響，縮小受影響的范圍，

     “安全氣囊”   在確保老用戶不受影響下， 根據(jù)攻擊規(guī)模自動啟停并進(jìn)行動態(tài)控制。

 

  3）高效：價(jià)值百萬的風(fēng)控引擎濃縮的10M “短信防火墻”安裝包，本地部署運(yùn)行，毫秒級響應(yīng)。

避免“云模式”的網(wǎng)絡(luò)延時(shí)問題，導(dǎo)致滑動條出不來等情況

 

關(guān)鍵技術(shù)說明：

    “懸浮式指標(biāo)引擎”：加載AI模型，懸浮于磁盤超高速運(yùn)行，隨輸入的業(yè)務(wù)數(shù)據(jù)生成統(tǒng)計(jì)指標(biāo)，提供給決策引擎做進(jìn)一步分析處理，

 “決策引擎”：加載“短信防轟炸”AI模型和指標(biāo)后，和輸入的業(yè)務(wù)數(shù)據(jù)流做邏輯判斷后，輸出風(fēng)險(xiǎn)結(jié)果，響應(yīng)速度達(dá)到恐怖的1毫秒。

 

總結(jié)：隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，我們每日都離不開與互聯(lián)網(wǎng)的交互。短信驗(yàn)證碼作為互聯(lián)網(wǎng)交互中的重要環(huán)節(jié)，保衛(wèi)著網(wǎng)站的安全以及我們的信息安全。用戶體驗(yàn)差、毫無安全性可言的圖片驗(yàn)證碼將退出歷史舞臺，未來將會是安全與體驗(yàn)雙重保障的驗(yàn)證碼的時(shí)代。