作為一種重要的認(rèn)證工具，短信驗(yàn)證碼因其操作簡單，安全性高，時(shí)效性強(qiáng)而被開發(fā)人員廣泛使用。但是，由于其便利性和訪問受限，惡意人員很容易利用短信接口，進(jìn)行用戶騷擾或者消耗短信費(fèi)用，給公司或個(gè)人帶來一定的損失。

這主要是由產(chǎn)品的實(shí)際設(shè)計(jì)過程引起的。由于產(chǎn)品人員對(duì)該技術(shù)知之甚少，因此預(yù)防意識(shí)薄弱，簡單或直接忽略對(duì)短信驗(yàn)證碼的限制。這會(huì)導(dǎo)致犯罪分子惡意使用短信界面。

在介紹反刷策略之前，我們需要了解短信驗(yàn)證的常見行為。

1.刷短信驗(yàn)證代碼，以攻擊移動(dòng)電話號(hào)碼。

此類攻擊的目標(biāo)主要是攻擊者使用網(wǎng)站短消息界面對(duì)目標(biāo)手機(jī)號(hào)碼進(jìn)行短信轟炸。攻擊者首先在互聯(lián)網(wǎng)上收集多個(gè)未受保護(hù)的網(wǎng)站短信界面，設(shè)置被攻擊的手機(jī)號(hào)碼以模擬用戶，并向后臺(tái)的短信驗(yàn)證碼接口請(qǐng)求，以達(dá)到攻擊手機(jī)號(hào)碼的目的。對(duì)于此類攻擊，驗(yàn)證碼的一般用途可用于保護(hù)目的。

2.攻擊旨在惡意刷掉目標(biāo)網(wǎng)站上的短信費(fèi)用

這種攻擊的主要目的是清除目標(biāo)網(wǎng)站的短信成本。在此基礎(chǔ)上，攻擊者會(huì)不斷改變各種接口參數(shù)，如手機(jī)號(hào)碼、IP（使用隱藏代理）請(qǐng)求后臺(tái)發(fā)送短消息驗(yàn)證代碼、惡意刷子短信、后臺(tái)無法區(qū)分用戶的真假。以下是對(duì)攻擊者的一些響應(yīng)。

1.在前端添加圖形驗(yàn)證碼

在獲取短消息驗(yàn)證碼之前添加圖形和文本驗(yàn)證碼是一種常見的方法。攻擊者通常使用自動(dòng)攻擊。在添加圖形和文本身份驗(yàn)證代碼后，攻擊者需要成功地識(shí)別和驗(yàn)證驗(yàn)證驗(yàn)證，然后才能向模擬用戶發(fā)送請(qǐng)求。此步驟需要在頁面上執(zhí)行，因此不能使用自動(dòng)攻擊。

第一次攻擊基本上是無效的，在選擇認(rèn)證碼時(shí)，在增加第二次攻擊的成本（可能使用人工編碼進(jìn)行驗(yàn)證）的同時(shí)，不僅要考慮用戶在操作過程中的流暢性，還要考慮安全性的程度。

2.限制單個(gè)移動(dòng)電話號(hào)碼接收短信的次數(shù)和時(shí)間間隔

限制單個(gè)手機(jī)號(hào)碼的每日收票數(shù)量，可以防止單個(gè)手機(jī)號(hào)碼對(duì)短信的無限刷卡，設(shè)置時(shí)間間隔可以有效防止人工刷卡。根據(jù)平臺(tái)的特點(diǎn)，可以限制短信接收者的數(shù)量，驗(yàn)證碼的數(shù)量約為每天5次。發(fā)送同一個(gè)號(hào)碼的時(shí)間間隔一般為60秒，前后應(yīng)一致，以避免只有前端有倒計(jì)時(shí)限制，后端沒有限制的低級(jí)錯(cuò)誤。

3.對(duì)IP進(jìn)行限制

限制單個(gè)IP的更大傳輸容量可以有效地防止在單個(gè)IP下刷多個(gè)手機(jī)號(hào)碼的問題。更大發(fā)送限制是防止惡意攻擊者在IP下刷具有不同手機(jī)號(hào)碼的短信驗(yàn)證碼。根據(jù)平臺(tái)的實(shí)際情況，設(shè)計(jì)一條短信更大發(fā)送數(shù)量，超過數(shù)量限制將不會(huì)發(fā)送短信。

驗(yàn)證方式除了短信之外，往往和語音驗(yàn)證碼配合使用，當(dāng)一種情況出現(xiàn)異常，另外一個(gè)更為備選，不至于用戶無法注冊(cè)而流失。

在運(yùn)營上，一般用于短信和彩信群發(fā)居多，可以對(duì)不同的用戶進(jìn)行不同的短信內(nèi)容的推送，提升用戶活躍度或者是對(duì)用戶進(jìn)行召回。

用戶召回方式目前也就屬短信和視頻短信的方式更佳，如果有郵箱的話，郵件也算是一種很好的召回方式，現(xiàn)在注冊(cè)登錄10658云通信平臺(tái)，可免費(fèi)在線試用所有產(chǎn)品和服務(wù)哦！