短信验证码API的安全

有人提出，把手机与邮箱关联，是因为忘记密码时，可以通过 手机验证码 快速取回密码，而密码一旦被盗号者更改，您也可以收到免费短信通知。这样就也可以理解成“即使不知道密码，他人只要拿到你的手机，就可以通过手机验证码快速取回密码”。而且，如果我的手机已经落在别人手里，则“密码一旦被别人更改，可以收到免费短信通知”也毫无意义。没有人能确保自己永远都不会出现手机丢失或被盗用的情况。但现在似乎有越来越多的网站将“安全验证”系于“手机验证码”这个机制。
       所以很多人想问，这真的安全吗？手机这种极易丢失或被盗用的随身设备，能担当这样的重任吗？就没有更好的办法吗？
      短信并不是最好的二次验证方法，但却是成本最低最容易实现的也基本靠谱的：用户绑定性较强，不需要额外设备，用户广泛拥有，校验成本极低。
       短信验证码 在实际的应用场景中，我们在应用这些认证因素的时候，应该考虑到如下的问题：通过率、逻辑安全性还有用户安全感。安全性遵循递进原则，风险等级和认证等级挂钩，低风险等级的操作不应该用过高的认证要素。损耗性：每增加一层验证要素，就会有大量的用户损耗流失，例如，每发一次短信，就会流失30%的用户，当然，不同的验证要素损 二次验证方法 耗性是不一样的。安全感知：用户对于安全性本身的需求远没有安全感来的重要，尽可能让用户觉得是安全并且是需要的。传递性：在设计某一项验证要素的找回或者替换逻辑的时候，需要特别主要授权性和安全等级的传递性，高安全性可以找回/替换低安全性的验证要素，反之则不可以，特别地，不要做成循环验证。绝对方案：在某些情况下，用户会无法使用所有的简易的验证要素，这个时候需要设计一个方案，足够保证安全性的并且可操作，使其能够恢复重置，即使这个方案很复杂。
       所以，总体来说，手机短信验证码是两步验证中，相对：成本最低，通过率最高，操作性最好的验证手段了。所以，绑定手机，验证手机也就成了标配。
       至于什么是 短信验证码API ，这么说吧，API简单理解就是一种中间件，为各种不同平台提供数据共享。 在为企业提供短信服务支撑时，会向企业开发自己的API接口程序，方便企业进行自行调用。