【业务安全】HI，chatGPT，短信验证码能让平台更安全么？

---------------------------------------------------------------

本文题干阅读时间推荐5min

----------------------------------------------------------------

如果各位童鞋想讨论以下相关内容，欢迎关注公众号, 联系我：

----------------------------------------------------------------

近期迷恋上所有的类“ChatGPT”，有事没事就喜欢问问

瞎扯的话题，他也能说一些貌似很官方的话题呢~！

一、背景概述：

短信作为一种快速高效的沟通工具，在我们的生活中扮演着重要的角色。然而，随着科技的进步，网络犯罪活动也越来越猖獗，我们的短信功能也变得更容易受到攻击。为了保护个人隐私和确保信息传输的安全性，我们需要采取各种安全措施。

在做了N多的安全测试，以及在短信策略等功能投下了大量的思考后，借此文章来一起聊聊一些重要的短信安全保护措施。

二、文章适用范围：

1、适用业务开发人员

2、使用业务风控人员

3、适合安全测试人员

三、业务场景分析：

身份验证和登录：许多应用程序和网站使用短信验证码来验证用户的身份或进行登录操作。用户输入手机号码后，系统会发送一条包含验证码的短信，用户需要输入正确的验证码才能完成身份验证或登录。
交易和支付确认：在进行在线交易或支付时，短信可以用来发送交易确认信息、支付成功通知或验证码，以确保交易的安全性和用户的确认。
账户变更和密码重置：当用户需要更改账户信息、重置密码或进行其他敏感操作时，系统可以通过短信发送确认链接或验证码，以确保用户的身份和操作的合法性。
营销和推广：企业可以利用短信向潜在客户或现有客户发送营销信息、促销活动、优惠券等，以促进销售和增加品牌曝光度。
通知和提醒：短信可以用于发送各种通知和提醒，如订单状态更新、物流信息、预约提醒、服务到期提醒等，以便用户及时了解相关信息。
客户服务和支持：企业可以利用短信提供客户服务支持，如回复客户咨询、提供技术支持、解决问题等，提高客户满意度。

四、验证码防护设计：

1、最原始方案：

用户输入手机号码：用户在需要进行身份验证的场景中，输入自己手机号码。
生成验证码：系统接收到用户输入的手机号码后，随机生成一个验证码。
发送验证码：系统通过短信服务将生成的验证码发送到用户输入手机号码上。
用户输入验证码：用户收到短信验证码后，将其输入到相应的验证界面中。
验证验证码：系统接收到用户输入验证码后，将其与之前生成的验证码比对。
完成验证：如果用户输入的验证码与系统生成的验证码匹配，验证通过，用户可以继续进行后续操作；如果验证码不匹配，则验证失败，用户可能需要重新输入或采取其他验证措施。