短信驗(yàn)證碼的作用對(duì)于APP、網(wǎng)站而言不言而喻，是核驗(yàn)用戶身份、保障用戶賬戶安全的一道防線。然而，在企業(yè)網(wǎng)站和應(yīng)用運(yùn)營(yíng)過(guò)程中，產(chǎn)品設(shè)計(jì)的小漏洞很容易造成短信驗(yàn)證碼被攻擊，進(jìn)而給用戶和企業(yè)帶來(lái)麻煩。例如，用戶注冊(cè)頁(yè)、短信驗(yàn)證碼快速登錄頁(yè)、在線投票頁(yè)等，諸如此類(lèi)接口未調(diào)用對(duì)方身份驗(yàn)證的場(chǎng)景，都是常被攻擊的。

短信驗(yàn)證碼被攻擊分為兩種情況，一是不法分子利用發(fā)送接口漏洞，通過(guò)不斷變換IP地址的方式偽裝成大批量手機(jī)號(hào)碼獲取驗(yàn)證，從而對(duì)企業(yè)短信費(fèi)用造成高額損失；二是不法分子只攻擊某個(gè)特定號(hào)碼，反復(fù)向同一個(gè)手機(jī)號(hào)碼發(fā)送驗(yàn)證碼，對(duì)機(jī)主形成嚴(yán)重騷擾，并可能給企業(yè)帶來(lái)投訴和處罰。

無(wú)論是出于那個(gè)目的，短信驗(yàn)證碼一旦被攻擊都會(huì)產(chǎn)生非常不良的影響，關(guān)于提高驗(yàn)證碼安全性有一般都會(huì)往以下幾方面思考。

1、手機(jī)號(hào)碼限制。限制單個(gè)手機(jī)號(hào)碼每天的最大發(fā)送次數(shù)。超過(guò)次數(shù)則不能再發(fā)送短信；不過(guò)也需要謹(jǐn)慎定義該號(hào)碼的鎖定時(shí)段，需要既保障用戶真實(shí)的注冊(cè)、登錄操作不受影響，又能有效防范攻擊；

2、增加行為式驗(yàn)證碼。用戶獲取驗(yàn)證碼之前，可通過(guò)觸點(diǎn)式和拖動(dòng)式行為驗(yàn)證確保用戶真實(shí)身份，將黑客和刷機(jī)工具拒之門(mén)外；不過(guò)這樣增加了用戶的操作步驟，影響用戶體驗(yàn)的流暢度，還很容易被黑客破解。

3、設(shè)置單個(gè)IP地址某個(gè)時(shí)間段內(nèi)最大的發(fā)送量。該手段可很好的預(yù)防單一IP地址的攻擊，但是對(duì)于變換IP地址的黑客不奏效，并且很可能會(huì)因?yàn)榻鼓硞€(gè)IP形成一刀切的限制，導(dǎo)致該IP下其他用戶也無(wú)法正常獲取驗(yàn)證碼。例如，某集團(tuán)公司集體注冊(cè)某APP。

4、改變驗(yàn)證碼下發(fā)流程。先完成用戶注冊(cè)，再下發(fā)驗(yàn)證碼綁定手機(jī)，不過(guò)這樣增加了用戶的操作步驟，影響用戶體驗(yàn)的流暢度。

5、設(shè)置驗(yàn)證碼獲取間隔。限制同一個(gè)手機(jī)號(hào)碼重復(fù)發(fā)送的時(shí)間間隔，通常設(shè)置為60-120秒；

這些常用的防護(hù)手段的防護(hù)效果顯然是相當(dāng)雞助，短信風(fēng)控防火墻完美的解決了這一問(wèn)題。短信風(fēng)控防火強(qiáng)采用設(shè)備指紋精準(zhǔn)區(qū)分每臺(tái)客戶設(shè)備，通過(guò)手機(jī)號(hào)、IP地址、設(shè)備指紋等信息生成關(guān)聯(lián)圖譜，有效識(shí)別新老用戶。采用層層防護(hù)策略，有效攔截惡意請(qǐng)求。

在確保網(wǎng)站業(yè)務(wù)正常運(yùn)行條件下實(shí)時(shí)有效防護(hù)短信安全，真正做到無(wú)感響應(yīng)，提高用戶體驗(yàn)。