深度了解發(fā)送短信驗(yàn)證碼機(jī)制和原理

短信驗(yàn)證碼的運(yùn)作機(jī)制，破解驗(yàn)證碼A和短信驗(yàn)證碼A‘原理，以及短信驗(yàn)證碼未加防護(hù)存在的風(fēng)險(xiǎn)和對(duì)于短信驗(yàn)證碼出現(xiàn)的一些問(wèn)題應(yīng)該如何處理。

一般在用戶在注冊(cè)各大網(wǎng)站或者APP的時(shí)候，經(jīng)常會(huì)遇到填寫手機(jī)號(hào)碼后，需要點(diǎn)擊獲取短信驗(yàn)證碼的情況。其實(shí)短信驗(yàn)證碼是企業(yè)為用戶提供的一個(gè)用于注冊(cè)、驗(yàn)證等的安全憑證，這樣大大降低了非法注冊(cè)、重復(fù)注冊(cè)、以及用戶安全維護(hù)的風(fēng)險(xiǎn)。

一、短信驗(yàn)證碼運(yùn)作機(jī)制
1. 驗(yàn)證碼加密發(fā)送

在APP中點(diǎn)擊發(fā)送驗(yàn)證碼，向后臺(tái)發(fā)送一個(gè)發(fā)送驗(yàn)證碼請(qǐng)求；后臺(tái)收到請(qǐng)求，生成一個(gè)驗(yàn)證碼A，并反編譯成短信驗(yàn)證碼A‘；請(qǐng)求短信服務(wù)商發(fā)送短信驗(yàn)證碼A’至用戶手機(jī)，同時(shí)存儲(chǔ)驗(yàn)證碼A至后臺(tái)數(shù)據(jù)庫(kù)中；
注：出于安全性考慮，后臺(tái)數(shù)據(jù)庫(kù)只能查看驗(yàn)證碼A，無(wú)法查看短信驗(yàn)證碼A‘。

2. 驗(yàn)證碼解密驗(yàn)證

用戶收到短信驗(yàn)證碼A’，填寫至APP中，點(diǎn)擊注冊(cè)，向后臺(tái)發(fā)送驗(yàn)證驗(yàn)證碼請(qǐng)求并提交短信驗(yàn)證碼；
后臺(tái)收到請(qǐng)求后后反編譯短信驗(yàn)證碼A‘，驗(yàn)證反編譯之后的結(jié)果是否是驗(yàn)證碼A，是則驗(yàn)證碼成功，此次用戶注冊(cè)申請(qǐng)成功，否則驗(yàn)證失敗，反饋給APP，此次注冊(cè)申請(qǐng)不成功。
產(chǎn)品經(jīng)理只需要理解成為——“我們有一個(gè)密件，你用我短信傳給你的暗號(hào)打開(kāi)密件，然后把里面的東西交給我，我就把你要的東西給你”。

二、破解驗(yàn)證碼A、短信驗(yàn)證碼A‘原理

在這樣的一個(gè)機(jī)制下，而且需要驗(yàn)證碼不過(guò)于復(fù)雜，會(huì)出現(xiàn)兩種比較常見(jiàn)的對(duì)用戶賬戶的安全性造成威脅的情況：

（1）暴力破解短信驗(yàn)證碼A’

假設(shè)短信驗(yàn)證碼A’只有四位，暴力破解只需要模擬調(diào)取接口10000次就能夠把短信驗(yàn)證碼A‘破解出來(lái)。假設(shè)調(diào)取一次接口耗時(shí)0.1秒，那么1000秒就能夠成功破解驗(yàn)證碼A’，即只有短短的1000/60=16.67分鐘。

（2）暴力破解驗(yàn)證碼A

截取數(shù)據(jù)庫(kù)的數(shù)據(jù)包拿到驗(yàn)證碼A，對(duì)驗(yàn)證碼A執(zhí)行暴力破解，反推出短信驗(yàn)證碼A‘，相比直接暴力破解短信驗(yàn)證碼A’，時(shí)間會(huì)有點(diǎn)長(zhǎng)，但可以減少驗(yàn)證次數(shù)。

三、短信驗(yàn)證碼未加防護(hù)存在的風(fēng)險(xiǎn)

當(dāng)黑客發(fā)現(xiàn)某個(gè)未加防護(hù)的短信發(fā)送接口后，按照某個(gè)手機(jī)號(hào)碼列表，循環(huán)發(fā)送短信驗(yàn)證碼，不斷變換ip地址，如果我們沒(méi)有做任何限制的話，會(huì)存在兩個(gè)方面的風(fēng)險(xiǎn)：

公司可能損失數(shù)以萬(wàn)計(jì)甚至更高的短信費(fèi)用，發(fā)送驗(yàn)證碼是需要向運(yùn)營(yíng)商付費(fèi)，如果發(fā)出的短信大多數(shù)都是沒(méi)有用的話，用戶注冊(cè)量越大資金支出越大，將讓公司在這一塊遭受不必要的損失；
流量攻擊，用戶無(wú)法登陸、注冊(cè)；大批量的請(qǐng)求發(fā)送驗(yàn)證碼，會(huì)導(dǎo)致訪問(wèn)流量大增，有可能使得發(fā)送驗(yàn)證碼的數(shù)據(jù)接口癱瘓，用戶無(wú)法繼續(xù)使用該功能（造成用戶無(wú)法登陸、注冊(cè)），必定會(huì)收到用戶的投訴，公司形象也會(huì)受損。
四、應(yīng)對(duì)策略
為了防止黑客惡意刷取目標(biāo)網(wǎng)站短信驗(yàn)證碼，使用對(duì)短信發(fā)送次數(shù)、短信發(fā)送時(shí)間間隔進(jìn)行限制以及發(fā)送之前增加動(dòng)態(tài)驗(yàn)證。

（1）手機(jī)號(hào)獲取短信驗(yàn)證碼次數(shù)限制是其中一種防攻擊策略，不過(guò)在設(shè)計(jì)這方面內(nèi)容時(shí)，需要根據(jù)自己公司的業(yè)務(wù)情況具體制定的。

需要回答3個(gè)問(wèn)題：

根據(jù)業(yè)務(wù)需要，短信驗(yàn)證碼發(fā)送次數(shù)設(shè)置的上限為多少合適？單次短信驗(yàn)證碼填寫錯(cuò)誤的次數(shù)？
一般超過(guò)這個(gè)上限，我們需要鎖定用戶手機(jī)號(hào)多長(zhǎng)時(shí)間？6小時(shí)，12小時(shí)，還是24小時(shí)？
鎖定用戶手機(jī)號(hào)后，我們可以為用戶提供的后續(xù)方案是什么？需不需要提示對(duì)方，讓他打電話給客服，自己主動(dòng)申請(qǐng)解鎖？走郵箱的驗(yàn)證方式、增加語(yǔ)音驗(yàn)證碼也是一種可行的解決方案。
（2）設(shè)置短信發(fā)送時(shí)間間隔是其中的一種防攻擊策略，為了防止用戶重復(fù)獲取驗(yàn)證碼，一般設(shè)置60s左右的間隔獲取時(shí)間，但驗(yàn)證碼的有效期一般是5-30分鐘不等。一般來(lái)說(shuō)，5分鐘有效的都是4位驗(yàn)證碼，30分鐘有效的都是6位驗(yàn)證碼。不過(guò)這方面手段不能防止黑客更換手機(jī)號(hào)進(jìn)行攻擊，防護(hù)等級(jí)較低。

（3）發(fā)送驗(yàn)證碼之前需要填寫一次驗(yàn)證碼，不過(guò)此種傳統(tǒng)的方式利用機(jī)器學(xué)習(xí)的知識(shí)很容易破解。另外可以增加滑塊拼圖這種需要人為干預(yù)的動(dòng)態(tài)驗(yàn)證。

至于如何研究這一塊，各位可以看一下各大手機(jī)銀行的APP，他們的安全防護(hù)措施都非常強(qiáng)大，無(wú)論是登錄還是注冊(cè)還是找回密碼都有極高的安全性。

   發(fā)送短信的服務(wù)一般是由第三方短信服務(wù)商提供的，他們整合了移動(dòng)，聯(lián)通、電信三方資源，三網(wǎng)都可以發(fā)送，這樣就不需要直接對(duì)接運(yùn)營(yíng)商了。比如說(shuō)Mob短信驗(yàn)證碼接口的應(yīng)用，發(fā)送短信驗(yàn)證碼主要是為了驗(yàn)證手機(jī)方的真實(shí)性，實(shí)現(xiàn)原理簡(jiǎn)單說(shuō)就是系統(tǒng)先生成一個(gè)驗(yàn)證碼，調(diào)用Mob第三方服務(wù)商的短信接口，發(fā)送到手機(jī)方，手機(jī)方輸入驗(yàn)證碼，再由系統(tǒng)去校驗(yàn)是否符合，符合則說(shuō)明手機(jī)真實(shí)有效。

    短信驗(yàn)證碼功能在各大app上都是必不可少的一項(xiàng)功能，比如說(shuō)app驗(yàn)證碼登陸功能，注冊(cè)功能，支付功能，身份驗(yàn)證等等方面，雖然只是一串?dāng)?shù)字，但是app短信驗(yàn)證碼功能卻是影響著我們生活的方方面面。

賞