手机验证码是通过输入的手机号再打乱然后组合而成，会不会容易被破解？

我本来是想随机形成手机验证码，然后提交时写入数据库，然后读出来对比，这样要查表，所以想了另外个方法，就是通过输入的手机来重新组合成一个验证码，这验证码形成是有规律的，注册的会员可以长期有效，此方法不用写表操作，就是不知道安全性怎么样，会不会容易被破解？

回复内容：

我本来是想随机形成手机验证码，然后提交时写入数据库，然后读出来对比，这样要查表，所以想了另外个方法，就是通过输入的手机来重新组合成一个验证码，这验证码形成是有规律的，注册的会员可以长期有效，此方法不用写表操作，就是不知道安全性怎么样，会不会容易被破解？

长期有效显然是有问题的，你要考虑有可能出现泄漏的问题。至于破解的话，找一个设计合理的哈希算法，只要算法中的关键信息不泄漏，倒是不用担心这个问题。

一个变通的方法是让验证码和某个时间点相关，例如: md5(md5(time + phone) + secret)，其中time取最近的整点时间，secret是密钥，计算出哈希值取后6位，有效期为2个小时（具体有效期和time的策略可以根据实际需要调整）；验证的时候把最近两个整点的时间代进去，如果有一个符合就通过。这样只要secret不泄漏，就既能保证不被破解，又能保证不怕之前的验证码泄漏；而且就算secret泄漏了，换一个就行了:)

（看起来似乎很像某些银行U盾里的动态密钥，不过不知道它们具体是怎么实现的）