欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

手机验证码是通过输入的手机号再打乱然后组合而成,会不会容易被破解?

程序员文章站 2022-05-14 12:39:47
...
我本来是想随机形成手机验证码,然后提交时写入数据库,然后读出来对比,这样要查表,所以想了另外个方法,就是通过输入的手机来重新组合成一个验证码,这验证码形成是有规律的,注册的会员可以长期有效,此方法不用写表操作,就是不知道安全性怎么样,会不会容易被破解?

回复内容:

我本来是想随机形成手机验证码,然后提交时写入数据库,然后读出来对比,这样要查表,所以想了另外个方法,就是通过输入的手机来重新组合成一个验证码,这验证码形成是有规律的,注册的会员可以长期有效,此方法不用写表操作,就是不知道安全性怎么样,会不会容易被破解?

长期有效显然是有问题的,你要考虑有可能出现泄漏的问题。至于破解的话,找一个设计合理的哈希算法,只要算法中的关键信息不泄漏,倒是不用担心这个问题。

一个变通的方法是让验证码和某个时间点相关,例如: md5(md5(time + phone) + secret),其中time取最近的整点时间,secret是密钥,计算出哈希值取后6位,有效期为2个小时(具体有效期和time的策略可以根据实际需要调整);验证的时候把最近两个整点的时间代进去,如果有一个符合就通过。这样只要secret不泄漏,就既能保证不被破解,又能保证不怕之前的验证码泄漏;而且就算secret泄漏了,换一个就行了:)

(看起来似乎很像某些银行U盾里的动态密钥,不过不知道它们具体是怎么实现的)

相关标签: php