厂商为什么不担心验证码碰撞？

这部不是碰撞，这是暴力破解，稍微有点安全意识的都会想办法应对暴力破解吧，起码加个验证码啥的。

几次错就锁了

有些确实是存在风险的，如果你关注安全领域就会看到过这种拿验证码暴力遍历进入系统的案例。
但是稍微有点风险意识就会控制验证码的验证次数，几行代码就能解决，比如单个用户、单个 IP 在一定时间能，只能验证 10 次，这样你说的风险基本上就不存在了

另外有高级验证码，qq 或者微博都有，用你的手机发送 xxxx 到 xxxxx ，这样是不能破解的，必须得有注册手机在手

想暴力登录一个指定账户有难度，但如果有大量的已注册手机号，每天都可以成功暴力登录几个。

爆破可能因为时间短, 所以也不是很担心你, 一般验证码 5 分钟算, 百万次就是每秒请求 3333 次.

只能说我们服务器撑不住这么多并发. 尴尬

输错一次或者几次不就要重发了吗

验证码验证之后不论对错都要重置的

会有其他维度的保护, 比如发短信提示账号被登录, 检查客户端环境, 生物验证等等

有策略的啊
验证码有效期
单 ip 连续错误次数
单账号连续错误次数
怎么撞啊....换代理 ip 就为了撞个验证码嘛 还不如直接社工库掏一掏来的实在

允许重试的次数太少了，而且有效时间窗口也小，基本上不可能暴力破解

以某些短信验证码来说，10 分钟有效期内，你并发过去可以有效转化为正确请求。

输错几次就失效了 要重新发

不是小孩子了，做任何事都有代价和利益的衡量，撞库完了然后呢然后呢？

你以为验证码碰撞是一次提交不删除，然后就能穷举法，但更多公司其实是，一次提交失败，就要重新获取...碰撞，概率而已

你多错几次试试就知道了. 点提交之后, 本次验证码就失效了.

多搞几次就无法再获取验证码了.

这不是很容易控制吗，不会让你一直重试的

@xingL #5 每个账号被破解的概率是独立的, 哪有每天破解几个这种说法.

有很多这种案例。