用過12306的魔性驗證碼之後,一直對驗證碼有種厭惡,感覺驗證碼就是我完成目標的絆腳石。
但是前段時間在做一個項目時,有一天凌晨網站被黑客攻擊,第二天上班被告知,給用戶發短信的好幾萬花完了!哪裏出問題了!?
原來是黑客在我們的註冊頁寫了一個不斷填寫手機號獲取手機驗證碼的腳本。獲取手機驗證碼之前,註冊頁沒有讓用戶填寫驗證碼,不能判斷填寫的是人還是機器。這個腳本在短時間內不斷循環,不斷請求手機驗證碼,服務端不斷髮短信,短短几十分鐘,短信發完,錢沒了。
在這件事情發生之後,我纔開始意識到,原來那麼討人厭的驗證碼卻起着大大的作用。於是我就開始思考驗證碼是什麼,用在哪,有什麼用處。
一、驗證碼是什麼
驗證碼通過讓用戶輸入圖中內容或做某種操作,區分用戶是人還是機器人。驗證碼能有效防止機器人進行身份欺騙,對服務器進行攻擊或寫入垃圾數據,是種安全且成本低的驗證方法。
二、驗證碼用在哪
1.登錄
登錄時驗證,可防止機器人不斷輸入無效的賬號密碼進行登錄,導致服務器訪問壓力過大。
爲了保證用戶體驗,目前大部分網站首次登錄時都無需驗證的,要是用戶登錄多次後仍沒登錄成功,此時需要用戶驗證自己是人還是機器。
比如,剛打開的JD登錄界面:
登錄多次不成功後,需要驗證:
2.註冊
現在註冊已經不像很久以前填幾個數據就能完成註冊了。
現在註冊需要做身份的唯一驗證,比如綁定手機號/郵箱/微信號/QQ號等
添加身份驗證可以有效防止一個用戶註冊多個帳號的情況,如果一個用戶註冊多個賬戶會導致系統存有太多無效賬戶,增加服務器壓力。
註冊驗證有多種,目前比較常見的:
1)郵箱驗證
郵箱驗證一般是提交註冊信息後,會顯示通過郵件激活帳號。打開郵箱點擊激活鏈接後,帳號纔算註冊成功。
2)手機驗證
手機驗證一般是輸入手機號,然後給該手機號發送驗證碼。
若是驗證碼通過短信發送,則需要在發送短信驗證碼前,讓用戶驗證人機,確定用戶是人之後再給該手機發送短信驗證碼。若不加以識別會讓不法分子有機可乘,寫個腳本在你的註冊頁面不斷獲取短信驗證碼,導致服務器壓力大,把發短信的錢花完。導致正常用戶不能訪問或獲取不到驗證碼。
如下圖,用手機註冊,點擊’發送驗證碼’後,屏幕會彈出一個驗證,驗證人機,驗證成功後纔給該手機號發送驗證碼。
3.評論回覆
內容主導型產品大多有評論功能,但是如果評論功能不加以限制,很快有會有不法份子在產品內發佈多條無效消息或不良廣告。
根據平臺屬性,對評論會有三種限制方式。
1)論壇型產品,如新浪論壇評論,注重論壇活躍度,允許用戶發表多條評論,此時一般會用到身份驗證辨別人機。
2)知識性產品,如知乎,內容導向型產品,注重UGC的質量,會限制回覆次數。
3)微信訂閱號,對文章進行評論,需要公衆號管理員篩選後才能展現在評論區,也是保證內容質量的一種方法。
三、驗證碼類別
1.輸入
現在4個數字的驗證碼很容易用圖像識別識破。所以需要有多種形式的驗證碼。
1)字符驗證碼:
2)運算驗證碼:
3)問題驗證碼:
2.滑動
通過滑動條把區塊拖動到某個地方上:
3.點擊選擇
根據文字提示,進行選擇。
1)如根據文字選圖:
2)根據提示文字進行操作:
還有很多各種各樣的驗證碼,本文只展示小部分~
四、驗證碼可以有其它方法替代嗎
1.二維碼驗證
1)目前很多網站都採用二維碼登錄。因爲現在移動端市場份額比pc端大得多,移動端APP一般默認登錄狀態,掃碼入口也突出,通過掃碼能驗證用戶身份唯一性,不需要用戶填寫登錄信息,又能識別人機,是個快捷安全的方式。
二維碼具有時效性,要是長時間不登錄,二維碼會失效:
2)同樣二維碼也可以用作註冊。
大部分pc端網站用微信或QQ註冊,會讓用戶掃二維碼註冊,但掃完之後再讓用戶填寫註冊信息,這麼做等於綁定了用戶的某個社交產品賬戶。
有的對賬戶信息沒那麼重要的產品,也會掃碼立馬完成註冊的,後面再補充的個人信息,也能防止機器註冊。
2.指紋驗證
指紋驗證比較普遍,常見於金融類產品,可用於開啓鎖屏或登錄/支付驗證。常用於驗證是否本人,也能有效分辨人機。
3.刷臉識別
刷臉識別目前還不普遍,用於驗證用戶身份,也能有效分辨人機。
現在智能手機基本都有前置攝像頭,刷臉能免去用戶輸入的操作,比較便捷,常用於開啓手機鎖屏,登錄驗證等。
免輸入是驗證的趨勢,後面估計會有更多通過識別生理特徵免輸入的驗證方法,能達到快速驗證身份的效果。
pc端的驗證方法有多樣,推薦用能讓用戶快速完成的驗證方法,不然太難的驗證方法會讓用戶產生挫敗感,對你產品的印象大打折扣。
通過驗證,識別人機能大大減少機器給產品注入的無效數據,保障產品數據的有效性,減少不必要的損失。
本人簡介:四口,網宿交互設計師。馬甲線萌妹,喜歡設計、跑馬、健身。
文章原鏈接:http://ued.chinanetcenter.com/?p=1683