如何避免注册流程的短信验证被滥用？

PMCAFF：最大互联网产品社区，是百度，腾讯，阿里等产品经理的学习交流平台。定期出品深度产品观察，互联产品研究首选。本文内容由PMCAFF会员凌伟胜发布于社区，未禁许可，禁止转载。

图片来源：搜狐网

首先我想说的是，你这种情况就是被轰炸机软件盯上了。

1、为什么有短信轰炸？

短信轰炸是某些不良商家出售用于报复某人使用的软件或者网页形态，该软件会搜集多家没有做好安全防范措施的客户代码，一般是用注册验证码对报复对象进行轰炸，短信发送平台跟平台客户都是受害者。

2. 短信轰炸出现情况：

1).莫名验证码注册突然增多或成倍增加

2).注册的手机号码打不通，但是不停的注册验证码

3).手机用户非实际操作，但是短信不停收

2、怎么防范短信轰炸？

根据多年累积的经验，创蓝253对于所有的用户都会给出以下几点意见：

使用网页或者app客户端进行验证码校验注册的界面上要做如下设置。

(一)点击获取验证码，当发送请求成功后，按钮默认60秒后才能重新发送（必选）做出刷新动作（如，按下F5），同一手机号码一分钟内无法注册（必选）退出网站或关闭App重新进入，同一手机号码一分钟内无法注册

交互行为：按钮倒计时继续，或点击后弹窗“您的手机一分钟内只能获取一次验证码”。

（二）当多次（2-5次）同一号码请求验证码，请弹出二次验证方式，或直接采用先识别图片验证码或者图形验证码后才允许获取短信验证码的方式（推荐）

图片验证码或图形验证码来验证该操作不为机器人，二次验证方式越难被机器识别，则效果越好。

（三）限制请求来源为同一ip地址的请求次数，可将次数限制为3-10次以内，根据项目实际情况进行配置（可选）

（四） 使用验证码的界面如有多个表单填写项，请设置为部分表单填写后才能使用短信验证码按钮（必选）

（五） 限制同一号码每小时3-5次请求次数，每天10次请求次数（可选）

交互：您的手机号码输入太频繁，请明天再来。

（六）在手机号码输入后，检验该手机号码是否已经在系统内存在（网易）

（七）可采用先输入手机号码，然后点击注册按钮后切换到第二个界面才能点击获取验证码，增加同一页面批量操作的难度（小米）

（八）在自助通后台配置绑定API发送请求服务器地址，可绑定多个ip（必选）

（九）如果以上措施都有做好，还是被轰炸？

可以请求创蓝技术协助查询平台接收请求的IP来源分布，如果出现非自有服务器的IP请求，则可能是账号跟密码泄露，请修改api密码和自助通密码；

如果请求来源为自有服务器IP请求，则为WEB跟APP的存在漏洞，导致被轰炸程序利用，可考虑暂停短信验证服务

考虑采用上行短信验证方式。

去年今日运营文章

1. 2023:  刘润：《底层逻辑》思维导图分享(0)
2. 2023:  刘润《底层逻辑》Xmind思维导图(0)
3. 2023:  刘润《底层逻辑》详解——看清世界的底牌(0)
4. 2023:  《100个思维模型系列》034.反向失败思维模型(2)
5. 2023:  视频号直播信用分与常见违禁词(0)