首頁 > 後端開發 > php教程 > 手机验证码是通过输入的手机号再打乱然后组合而成,会不会容易被破解?

手机验证码是通过输入的手机号再打乱然后组合而成,会不会容易被破解?

WBOY
發布: 2016-06-06 20:49:58
原創
1488 人瀏覽過

我本来是想随机形成手机验证码,然后提交时写入数据库,然后读出来对比,这样要查表,所以想了另外个方法,就是通过输入的手机来重新组合成一个验证码,这验证码形成是有规律的,注册的会员可以长期有效,此方法不用写表操作,就是不知道安全性怎么样,会不会容易被破解?

回复内容:

我本来是想随机形成手机验证码,然后提交时写入数据库,然后读出来对比,这样要查表,所以想了另外个方法,就是通过输入的手机来重新组合成一个验证码,这验证码形成是有规律的,注册的会员可以长期有效,此方法不用写表操作,就是不知道安全性怎么样,会不会容易被破解?

长期有效显然是有问题的,你要考虑有可能出现泄漏的问题。至于破解的话,找一个设计合理的哈希算法,只要算法中的关键信息不泄漏,倒是不用担心这个问题。

一个变通的方法是让验证码和某个时间点相关,例如: md5(md5(time + phone) + secret),其中time取最近的整点时间,secret是密钥,计算出哈希值取后6位,有效期为2个小时(具体有效期和time的策略可以根据实际需要调整);验证的时候把最近两个整点的时间代进去,如果有一个符合就通过。这样只要secret不泄漏,就既能保证不被破解,又能保证不怕之前的验证码泄漏;而且就算secret泄漏了,换一个就行了:)

(看起来似乎很像某些银行U盾里的动态密钥,不过不知道它们具体是怎么实现的)

相關標籤:
php
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板