如何设计短信验证码防刷机制

来源： 做产品经理 

编辑：刘光昕

    最近遇到一个关于防止短信验证码被刷的产品设计问题，后来在面试一个前来应聘JAVA开发的程序员的时候，他也提到了他以前公司的系统也遭遇过这个被刷短信的问题。因此，就“如何设计短信验证码防刷机制”作一个总结和分享。

短信验证码防刷机制

现在，大部分的产品都会涉使用到短信验证码的接口，特别是移动产品，短信验证码几乎成为了所有移动产品的标配。因此，防止短信被刷也就成了每一个产品经理和开发者关注的问题。

没有遇到过短信被刷问题的产品经理，或许对于这个问题并不是很重视。在此，先简单介绍一下刷短信的黑工具——短信轰炸机。短信轰炸机就是一个利用写好的程序来大批量刷短信的软件，它能够通过自动批量提交手机号、模拟IP等方式去刷短信。

因此，我们在设计需要用到短信验证码的产品的时候，一定要制定限制规则，避免短信被刷光。

防刷的常见做法，估计大家都不会陌生，PC时代，大部分平台都是通过图形验证码的形式来减少平台被机器所刷的风险，最典型的例子莫过于12306的“奇葩验证码”了。然而，在移动互联网时代，用户的体验非常重要，有时候使用图形验证码的同时会对用户的体验有一定的影响。那么，除了图形验证码的方式之外，还有哪些方法能够解决短信被刷的问题呢？以下提供几种方式可供参考：

1、时间限制：60秒后才能再次发送

从发送验证码开始，前端（客户端）会进行一个60秒的倒数，在这一分钟之内，用户是无法提交多次发送信息的请求的。这种方法虽然使用得比较普遍，但是却不是非常有用，技术稍微好点的人完全可以绕过这个限制，直接发送短信验证码。

2、手机号限制：同一个手机号，24小时之内不能够超过5条

对使用同一个手机号码进行注册或者其他发送短信验证码的操作的时候，系统可以对这个手机号码进行限制，例如，24小时只能发送5条短信验证码，超出限制则进行报错（如：系统繁忙，请稍后再试）。然而，这也只能够避免人工手动刷短信而已，对于批量使用不同手机号码来刷短信的机器，这种方法也是无可奈何的。

3、短信验证码限制：30分钟之内发送同一个验证码

网上还有一种方法说：30分钟之内，所有的请求，所发送的短信验证码都是同一个验证码。第一次请求短信接口，然后缓存短信验证码结果，30分钟之内再次请求，则直接返回缓存的内容。对于这种方式，不是很清楚短信接口商会不会对发送缓存信息收取费用，如果有兴趣可以了解了解。

4、前后端校验：提交Token参数校验

这种方式比较少人说到，个人觉得可以这种方法值得一试。前端（客户端）在请求发送短信的时候，同时向服务端提交一个Token参数，服务端对这个Token参数进行校验，校验通过之后，再向请求发送短信的接口向用户手机发送短信。

5、唯一性限制：微信产品，限制同一个微信ID用户的请求数量

如果是微信的产品的话，可以通过微信ID来进行识别，然后对同一个微信ID的用户限制，24小时之内最多只能够发送一定量的短信。

6、产品流程限制：分步骤进行

例如注册的短信验证码使用场景，我们将注册的步骤分成2步，用户在输入手机号码并设置了密码之后，下一步才进入验证码的验证步骤。

7、图形验证码限制：图形验证通过后再请求接口

用户输入图形验证码并通过之后，再请求短信接口获取验证码。为了有更好的用户体验，也可以设计成：一开始不需要输入图形验证码，在操作达到一定量之后，才需要输入图形验证码。具体情况请根据具体场景来进行设计。

8、IP及Cookie限制：限制相同的IP/Cookie信息最大数量

使用Cookie或者IP，能够简单识别同一个用户，然后对相同的用户进行限制（如：24小时内最多只能够发送20条短信）。然而，Cookie能够清理、IP能够模拟，而且IP还会出现局域网相同IP的情况，因此，在使用此方法的时候，应该根据具体情况来思考。

9、短信预警机制，做好出问题之后的防护

以上的方法并不一定能够完全杜绝短信被刷，因此，我们也应该做好短信的预警机制，即当短信的使用量达到一定量之后，向管理员发送预警信息，管理员可以立刻对短信的接口情况进行监控和防护。

以上所说到的方式，或许不是很完美，但是可以通过多个方式结合着来作使用，通过多个规则来降低短信被刷的风险。

  以上为短信被刷的传统防护方案，新昕科技的防护方案接近完美，兼顾用户体验和安全 。 

  新昕科技  www.newxtc.com ，创始团队来自百度旗下去哪儿、易宝支付、联动优势、高阳捷讯(19pay)等支付及航旅知名企业，历时3年时间，在价值百万的风控引擎基础上 ，训练出“防短信轰炸”智能模型，彻底解决“安全”与“用户体验”的矛盾，产品经理只需专注用户体验，无需为安全让步。

  1）无感：去类12306、对缺口拼图、拖动等所谓人机验证有感方式。 

 

化繁为简，简单到只需输入手机号，还产品本来面目

  2）保障：攻防对抗大数据训练的 AI模型，去前端交互验证方式，后端防御确保短信安全。

     比如，同一个IP ，即使有1万个正常用户同时共同使用，可以确保放行，但常规的防控大多数被误拦。

      反之，攻击者控制1万台主机，1万个不同IP、手机，也保证拦截，但常规的防控对此无能为力。

    

    如何做到的， 基于三层AI防御体系，

     “报文对抗层” 在最外层应用加解密及混淆技术，对抗普通的攻击，

     “蜂窝防护层” 由时空主体组成蜂窝，确保被攻击后“蜂窝”之间互不影响，缩小受影响的范围，

     “安全气囊”   在确保老用户不受影响下， 根据攻击规模自动启停并进行动态控制。

 

  3）高效：价值百万的风控引擎浓缩的10M “短信防火墙”安装包，本地部署运行，毫秒级响应。

避免“云模式”的网络延时问题，导致滑动条出不来等情况

 

关键技术说明：

    “悬浮式指标引擎”：加载AI模型，悬浮于磁盘超高速运行，随输入的业务数据生成统计指标，提供给决策引擎做进一步分析处理，

 “决策引擎”：加载“短信防轰炸”AI模型和指标后，和输入的业务数据流做逻辑判断后，输出风险结果，响应速度达到恐怖的1毫秒。

 

总结：随着互联网技术的不断发展，我们每日都离不开与互联网的交互。短信验证码作为互联网交互中的重要环节，保卫着网站的安全以及我们的信息安全。用户体验差、毫无安全性可言的图片验证码将退出历史舞台，未来将会是安全与体验双重保障的验证码的时代。