使用短信验证码过程中，有时会出现短信被恶意攻击的事件，这是由于短信功能设计的一点缺陷造成的，严重的话会引起不必要的损失。下面就和中昱维信一起了解下短信验证码防攻击的策略。

几种防攻击策略使用过程中的思考

短信验证码集中防攻击策略均是有利有弊，起到不同的防护作用，但在实际使用过程中，更好考虑自身的情况，采取组合使用的策略。

1、设置短信发送时间间隔

把同一个号码重复发送的时间间隔设置为60-120秒。该手段可以读防止短信接口恶意攻击起到一定防护作用，而且对企业没有什么影响。但是不能防止黑客换手机进行攻击，因此防护等级较低。

2、手机号获取短信验证码次数限制

限制每个手机号在时间段内获取短信验证码的次数限制，采用这种产品设计的策略，有几点需要思考。

谨慎定义数值上限。更具业务真实情况设置一个上限值，以免用户无法接受短线验证码而对业务造成影响。

谨慎定义锁定时间段。可以是6小时，可以是12小时、24小时。需要更具真实情况而自定义。

考虑用户手机无法获取到短信验证码之后应该如何处理。如果有用户不小心触发上限值，但是他真的要办理业务，那么这是可以让用户达客服电话。同时也可以让用户等待到渡过锁定期后自行解锁等等。

3、IP限制

设置单个IP地址某时间内的更大访问量。该手段能很好阻止单一IP的攻击，但是对于黑客变更IP地址攻击是没有效果的。

如果IP的限制经常会造成误伤。假如在肯德基等统一无线网络的场所发送手机验证码，这意味很多用户共用一个WIFI，这个IP地址会迅速达到IP上限，所以会造成连接该无线网的用户都无法正常的收到验证码。

4、增加图形验证码

在发送短信验证码之前，现用图形验证码进行校验。这种房供给的策略是当下十分普遍流行的一种方法，但在使用时会有用户体验的问题出现，不能一概而论，并且以下几个点值得仔细斟酌：

能不能每次输入短信验证码前都验证图形验证码？我的意见时更好不要，因为这会极大影响用户体验，造成用户验证失败的概率加大。

可以给一个相对安全范围。不妨结合IP限制、手机号限制来考虑，比如同一个手机号当天第3次获取短信验证码的时候，出现图形验证码二次验证；比如同一个IP地址当天获取验证码次数超过100次后，出现图形验证码二次验证。

图形验证码当下有这些热门类型：有文字(字母数字)验证码、选字验证码、滑动验证码等，根据具体的业务场景来选取。

以上是几种关于短信验证码防攻击的思考，企业可以仔细斟酌综合考量自身的需要，在验证码接口上也应该注意一下，在安全性能和卓越的用户体验之间达到认可的平衡。