动态短信验证码怎样做好安全防护

每当我们要登录某一个网站的帐号或是手机进行某项支付操作的时候，时常会碰到要输入动态短信验证码的情况，而这样做也是为了保护大家使用过程中账户的安全性。但是在实际使用过程中，缺少防护的网站的短信验证码极容易被不法分子利用，用于恶意攻击他人手机号或者恶意刷取网站的短信费用，严重影响正常使用。为了进一步保证网站验证码的合理使用，所以还需要采用一些别的安全防护措施。

一、增加图片验证码

攻击者采取自动化工具连续调用“动态短信获取”接口对个人手机号进行动态短信验证码发送，归根究底是因为攻击者可以自动对接口进行大量的调用。而增加图片验证码后的网站能有效防止自动化工具对接口的调用。当用户进行“获取动态短信验证码”操作前，弹出图片验证码，要求用户输入图片验证码后，网站服务器端再发送动态验证码到用户手机上。这种措施可有效解决个人手机号被攻击的问题。

另外注意使用图片验证码的时候要注意几个问题，一是图片本身在生成的时候要是安全的，还有在使用过程时，应该是单次使用，不要重复，再者要有强劲的技术支持，不能轻易被一些工具给识别，要有防止破解的可能。

二、限制同一IP的请求次数

虽然使用了图片验证码后，能有效防止攻击者对“动态短信获取”接口的自动化调用，但是，若攻击者忽略图片验证码验证错误的情况，大量重复请求也会给网站服务器带来负担，影响其他正常使用者的使用。为此建议在服务器端限制单个IP在一定时间内的请求次数。一旦用户请求次数超过设定的次数，则暂停对这个IP的请求；若是碰到情况特别严重的，可以将这个IP加入黑名单，禁止访问。这种措施能限制来源于一个IP的大量请求，避免攻击者从同一个IP对网站进行大量攻击，提前增加攻击难度，保证业务正常运行。

三、设置用户请求时间间隔

为了让使用者可以正常开展业务，为此可以设定一个重复再次发送动态短信验证码的时间，也就是说每个用户在发送了一次短信验证码后，要等待一定的时间后才可以收到第二次的验证码。这样做也是为了优化用户的体验度，保障使用者的安全，避免让用户收到很多恶意性的短信或是无用的垃圾信息。