产品防护：5种常见的短信验证码防刷策略

导读： 产品人员要在防护与用户体验之间寻找平衡，结合自身产品特点选择，要未雨绸缪不应到短信被刷才进行防护。

短信验证码作为重要的身份验证工具，因其操作简便、安全性高、时效性强等优点已被开发人员广泛使用。但因其获取便利、限制较少容易被不法分子利用进行短信轰炸，恶意刷掉大量短信费用，给公司或个人造成大量的金钱损失，造成这种情况原因主要是在产品实际设计过程中，有些产品人员因为对技术实现不太了解，防范意识薄弱，简单或直接忽略对短信验证码进行限制，这才造成短信接口恶意被不法分子利用。

在介绍防刷策略前我们需要了解下常见的刷短信验证的行为。

1.以攻击手机号为目的刷短信验证码

这类攻击目标主要是攻击者借助web网站短信接口对目标手机号进行短信轰炸。攻击者会先收集互联网上多个未经防护的网站短信接口，设定要攻击的手机号码通过模拟用户，循环向后台发送短信验证码请求，达到攻击手机号的目的。对于这类攻击通过一般验证码设置即可达到防护目的。