导读：现在不管是网站或App注册、登陆、绑定、解封，都逐渐的抛弃掉了传统的邮箱、账号、密码等验证方式，大范围的使用短信验证，首先短信验证可以减少了注册和登录花费的时间，也尽可能的避免密码等信息的泄漏，那么验证码真的这么安全吗？验证码还有其他的技能吗？本期文章小君就聊一下手机验证码的那些事，我们接着往下看！

短信轰炸机原理

首先我们先说一下最常见的手机短信轰炸机原理，手机短信轰炸机在前几年那是非常的流行，以至于网上购物不给好评炸一下，欠钱不还炸一下，恶意竞争再炸一下，一个小小的软件能通过大量垃圾短信让手机瞬间死机，那么它是怎么做的呢？相信大家都已经猜到了，对，就是手机验证码。企业网站和App发送验证码都有一个专门的接口，而这个接口一旦泄露，就可以随意给任何手机发送验证码，如果这类的接口数量达到一个量级，通过代码统一发送，那就是名副其实的手机短信轰炸机。

手机验证码安全

在网络安全界有一句名言，叫“互联网没有绝对的安全”，后来还出了一部非常出名的电影叫“我是谁：没有绝对安全的系统”，这句话对于互联网开发行业来说最能体现，每一个研发的团队和个人在技术上参差不齐，这就导致产品在安全上也各有不同，随着注册和登录的方式逐渐转化为短信验证，相应的验证码漏洞也就出现了。我们简单地举几个关于验证码漏洞的例子。

1、使用任意人的手机号进行注册，正常的认知中，我们用自己的手机号注册，然后接收到手机验证码，填写之后就完成了注册，但是很大一部分网站并没有进行手机与验证码的捆绑验证，漏洞就这样出现了，当我们在注册页面填写了自己的手机号，然后点击获取验证码，这个时候，手机号码这一项就不允许修改了，但是如果我们把这个页面刷新或者是关闭重新打开，然后随意的填写任何一个人的手机号码，验证码这一栏输入刚才我们收到的手机验证码，点击注册，这个时候你会发现，我们用别人的手机号成功的注册了账号。

2、用自己的验证码修改别人的密码，跟上面的原理差不多，一般验证码的有效期都在五分钟内，我们先打开注册页面，如果注册了的话选择登陆页面，然后填写我们自己的手机号，获取到手机验证码，这个时候把当前页面关掉，打开修改（找回）密码这个链接，输入你要找回的手机号，这个手机号就是网站当中已经注册过的任意号码，验证码这一项就填写刚才用自己手机接收的验证码，就成功的绕过了防护机制并能成功修改别人的密码。

3、验证码诈骗，验证码诈骗是通过一些新型技术,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪行为。他们使用了一种类似于以往发送骚扰短信的“伪基站”的GSM窃听设备，通过软件无线电设备，干扰一定范围内的3G、4G手机信号，迫使移动或联通手机通过2G GSM来通信；并配合OsmocomBB等能够破解GSM加密的软件，来实现GSM窃听，窃取范围内所有手机终端通过GSM收发的短信息，当然这种技术也在不断升级当中，具体的操作模式小君也并不能了解全部。

看到这里大家是不是对手机验证码的安全和作用有所了解了，其实现实中这类关于手机验证码的问题还有很多，小君会在后期的一些文章中继续介绍，那我们应该怎么保护自己的验证码呢？

如何保护自己的手机验证码

1、手机信号设置。中国移动的手机号码开通VoLTE，尽量选择“仅使用4G”；中国联通的手机号码选择“仅使用3G、4G”；而中国电信的手机号码，应开通VoLTE。

2、电话卡密码设置。很多人会忽略自己电话卡的密码，甚至很多人都不清楚手机卡有密码一说，手机号必须设置服务密码，服务密码切记不要与常用账户密码、支付密码相同。

3、双号分离。养成工作和家庭手机号分离的习惯，重要账号用家庭号码注册，不要用于像快递、外卖收货等，收到谋生号码索要反馈验证码行为一定要警惕、并且要拒绝回发。

4、双重验证。在一些网站、App注册中一定要进入后台之后对个人账号进行密码双重保护，不要仅使用手机短信验证码一层保护。

感谢阅读全文，喜欢小君文章的小伙伴欢迎关注我的账号，点赞、转发，我们下期再见！