厂商为什么不担心验证码碰撞？

有过期时间吧

@nekoneko 如果有几万手机号信息，每天差不多可以成功暴力登录几个

@LaGeNanRen 的确，没有利益也就没人去利用，厂商也会觉得无所谓

验证码不是输错了就要重新获取验证码嘛，错了几次后都是等待几分钟或者几个小时才能获取了

正常的应该有验证才对，比如输入 3 次都错误就要求重新获取。

然后呢，你侥幸破了一次能干啥？验证码本来就不是为了绝对安全设计的，它又不是密码，只是为了防止机器暴力访问设计的，输三次全错就暂时 ban 掉（随机情况下这种概率很大），不就可以实现他的目的了吗？至于你成功了，无非是多爬了几条数据，这个对于系统影响太低了，又不是破了用户的的密码。。。

奥 我看错了，原来是短信验证码，不是图形验证码；
@LaurelHarmon
这个可能考虑到攻击的成本问题，想要通过验证码撞库来登录，你得切换海量 IP 吧，这个成本有点高，但是登上后收益又有点低；
想要搞其他敏感操作（例如转钱）还得加其他验证。顶多偷窥个聊天记录、购物记录、发帖记录，可是你是随机的手机号又不是定向爆破，这信息对你没啥价值。所以不知道干这个有啥用

多撞几次就升级验证了，而且还有时间限制，这概率太低了。银行密码还是静态 6 位呢。

我还见过先验密码对不对 再验验证码的呢 这个世界就有很多神奇的人 神奇的人里出点神奇的程序员也不是很神奇

确实遇到过 4 位验证码还没有加频率限制的 app ，基本可以暴力登录任意一个手机号

你没遇到过，今天发送太多，请明天重试？

对，我说的就是大眼夹

@xingL #22 你是怎么得出「如果有几万手机号信息，每天差不多可以成功暴力登录几个」这个结论的？
每个手机号获取一次验证码，然后固定填写 123456 这个，总有一个可以碰巧登录进去？
还是每个手机号获取一次验证码，然后从 000000 - 999999 一直猜，直到登录后再继续下一个？

Interesting
假设你知道 10000 个手机号, 然后使用的是 4 位数验证码.
那么每次猜不中的概率是 9999/10000, 连续 10000 次不中的概率是
>>> math.pow(9999/10000, 10000)
0.36786104643297046
所以, 至少有一次中的概率是
>>> 1 - math.pow(9999/10000, 10000)
0.6321389535670295
如果我在你登录之后, 转账时再进行一次验证, 那你成功的概率确实可以忽略

“如果有几万手机号信息，每天差不多可以成功暴力登录几个” 你能成功登录一个比买彩票都难吧。第一有验证频率限制。第二有有效期，大概就 5 到 10 分钟。我想问你哪来的勇气可以暴力登录一个甚至几个？

而且几万手机号不是同一时间发送，你怎么知道你想验证的是哪个号码？

@Exdui 假设有一万手机号信息，验证码为 4 位，每个手机号获取 3 次验证码，尝试 3 次，根据楼上 TheCure 的计算，总共尝试 3 万次，成功大约 1.89 次，也就是能登录 1.89 个账号。

@TheCure 的确，资金安全基本不用担心，我担心的是订单信息、地址之类的个人信息泄露

@xingL 成功的次数应该是 3 ，3 万次乘以万分之一

https://iyaozhen.com/a-typical-user-reg-page-sms-verification-logic-flaws.html

《典型的用户注册页面短信验证逻辑漏洞》很早之前写过的一篇博客

正常来说需要图形验证码和短信验证码结合

攻破短信中心，算不算一个办法？很多这类验证码通知类短信都是找一些中小公司合作的