产品分析 | 各种验证码的形式及简要分析
验证码存在的意义在于区分当前访问者是“人”还是所谓的“机器”。这在计算机领域称为“图灵测试”,通过图灵测试的机器可以被称作具有人工智能的特点。而验证码的存在则能够避免大多数机器通过测试,进而避免机器对系统进行大规模的恶意访问和测试。
验证码的基本设计原理即通过人类主体的感官去通过验证码,而这样的感官是机器所不具备的。此外,提高通过验证码的潜在成本也是一种方法。由上述两种原理,总结出的**三类验证码 **
前两种属于通过主体感官去通过验证码,第三种属于主动增加通过验证码的成本(包括开通多个手机号等需要一定成本的情况)。为了防止恶意通过短信平台或邮箱平台发送过多验证消息以增大服务器负担,通常第三种验证方式会与前两种方式结合。下面将对每种验证方式进行详细说明。
图形验证码是相对早期出现的验证码形式,总体来说现在的网站使用此形式验证码的比例是最高的。然而由于科技发展,图像识别技术的提高,图形验证码被破解的概率也越来越高。因此现今对安全要求较高的网站或流量较大的网站均已改用交互式的验证方式。
随着图像识别技术的提高,图形验证码也经历了两种不同方向的改进——一种是在图形上添加了各种各样的条纹等干扰信息,此方法随着图像识别技术的发展,条纹数量也越来越多,条纹的样式也让用户眼花缭乱,进而影响了用户正常识读验证码,降低了用户体验。
另一种方法是在图形中“出计算题”让用户计算并输入结果,让用户主观去进行一些机器阅读文字但无法处理的运算。然而随着搜索引擎的优化,将机器识别出的文字直接放入搜索引擎中即可得到准确结果,例如下图所示。同时,部分网站的“计算型”验证码采用了多项式的计算,计算过程繁琐,也降低了用户体验。
此类验证码在实际使用中给用户的交互体验是怎样的呢?以豆瓣的找回密码功能为例。
在“输入上图中的单词”框中输入验证码后,若输入正确,点击“重设密码”则可以跳转至下一页面;若输入错误,则显示文字,提示验证码错误。输入了的账号不消失并生成新的验证码。
豆瓣在此处的交互设计得不够人性化,通常来说,错误提示设计在验证码输入框隔壁即可,且点击“重设密码”后整页面刷新也是一种影响用户体验的表现。
个人认为,此类图形验证码的错误提示交互最佳表现应当为:用户点击“下一步”后,系统检测验证码输入,如果错误则在输入框附近直接使用轻度提示显示错误字样,验证码刷新且对于的输入框清空。至于账号或密码是否清空则视情况而定:如果用户输入信息种类繁多、内容冗长,则倾向于为其保留内容(当然密码最好清除);若内容相对简单,则可以直接清除,以增大破解成本。
交互型验证码可以说是 验证码2.0 的版本。通过人工完成一些机器无法自动完成的交互,同时系统反向检测用户的一系列动作是人工还是机器完成,双向验证,降低被破解的几率。
现今出现频率较高的交互型验证为“滑动验证”,即向右拖动滑块完成拼图。的登录界面便是这样的设计。
该操作的基本流程如下:用户输入完账号、密码后将鼠标轻放在滑块上或按住滑块,拼图出现;用户向右滑动,出现一块小拼图及待放的位置。 若用户成功放置拼图,则大拼图闭合,右侧小锁变为绿色勾,反之,放置失败变为红色叉。 通过较为轻度的提示暗示用户验证成功与否。
同时,该模块会告诉用户用了多长时间完成此项动作,在完成验证的同时增加了趣味性。可以说在考虑到验证安全的前提下兼顾了用户体验(简单、有趣)。
除此之外,还有一种交互式的验证码,我们称之为“点击验证码”:用户点击插件后,系统会让用户按顺序选择图像中的若干个文字,选择完成后需手动点击“验证”才能获知是否验证成功。
此方法同样利用了人和系统互相的验证来确保操作是人而非机器。同样的,此验证方式兼顾了验证安全及用户体验。此外,点击验证后才返回是否验证成功的状态也增加了破解的难度(验证错误后图片和文字会变更)
上述两种验证码具有如下优点:
在我们的生活中,众所周知地,还存在一个具有神奇验证码的网站——12306。12306的验证码是通过让用户选择文字提示对应的物品,通常数量为2-3个,全部选择正确后可跳转下一页。
按照12306的初衷,使用此类验证码的原理是通过机器无法主观识别的物品去区分用户和机器。但在实际使用过程中,由于图片分辨率过低(为了保证图片大小较小能使用户在网络较差的环境下也能刷新出来),部分用户无法在第一次选择时就正确跳转。同时,当这一新型验证码刚刚出现时,也有人发表过相关的破解文,但从实际效果来看,2016年春运期间,许多抢票软件均无法跳过验证码,需要用户自行选择验证码。
从上述结果来看,12306的验证码的基本需求达到了—— 避免了机器自动识别,提高了用户手动抢票成功的几率。 只可惜为了完成这样的需求,牺牲了用户体验,部分用户也因为错误地选择了验证码而无法抢到车票。如果12306能够尝试使用前文所说的滑动/选字验证,效果是否会更好?由于涉及到上亿的交易量,相信铁路部分不会轻易进行此类尝试。
多平台验证是一种不能完全避免“机器”,但能够在一定程度上增大破解成本的验证形式。此类验证通常需要和前两种验证方式进行结合(若不进行前两种验证,则使短信或邮箱服务器瘫痪的攻击成为了可能)。
多平台验证的目的除了防机器注册外,还有 确认用户的手机号或邮箱是否正确 的作用,可以防止后期用户找回密码时出现不必要的麻烦,同时避免发送推广消息到未注册用户的手机或邮箱内引起反感。
现今的多平台验证通常为单向验证,同时也存在部分双向验证的网站。单向验证易于理解,注册完成后由网站服务器向邮箱或手机发送验证邮件或验证码,用户点击验证邮件内的链接或输入验证码即宣告完成验证。
双向验证网站通常需要用户通过手机向指定号码发送指定数字,随后用户将收到一个新的验证码,将此验证码填入网站完成验证。此验证方式曾出现于12306的手机核验功能中。此举的目的 ①在于确认用户的手机号是正确的;②防止使用短信服务器的票贩子通过服务器回复验证码而非通过真实的手机。
通过分析现今存在的各种不同的验证码形式,了解它们的基本原理、用户体验、交互和基本流程以及存在的不足,对注册流程有了更深一层的认识。虽然有人认为“注册流程在整个产品中是微不足道的”,但只有对产品的每个细节都精益求精才能做出好产品。希望自己将来如果能够有机会设计某某产品的注册流程时,能够以本文作为其中的一部分理论基础。
烛树新鱼: 1. 传统输入式验证码 主要是通过用户输入图片中的字母、数字、汉字等进行验证. 代表:大多数网站采用此种验证形式. 特点:简单易操作,人机交互性较好.但安全系数低,容易被破解.2. 输入式的图形验证码 有精美图案,识别文本也清...
大丰市19214601194: QQ验证码的格式 - ?
烛树新鱼: 常见的验证码 1,四位数字,随机的一数字字符串,最原始的验证码,验证作用几乎为零.2,CSDN网站用户登录用的是GIF格式,目前常用的随机数字图片验证码.图片上的字符比较中规中矩,验证作用比上一个好.没有基本图形图像学知识的...
大丰市19214601194: 条码的校验码得作用? - ?
烛树新鱼: 商品条码有两种形式,即标准码和缩短码. 标准码: 由13位数字构成的条码称为标准码,标准码尺寸为:37.29mm*26.26mm,放大系数取值范围是0.80-2.00,间隔为0.05.标准码的13位数字构成分两种情况: 第一:对690,691打头的条...
大丰市19214601194: 接收饿了么验证码的方式有几种类型 - ?
烛树新鱼: 饿了么验证码有两种类型,一种是短信验证码,一种是语音验证码.短差谨信验证码是指饿了么通过短信的形式向用户发送验证码,用户需要在手机短信中查看并输入空庆搭验证码才能完成验证.这种方式广泛应用于手机端的应用程序,因为手...
大丰市19214601194: 采购产品的验证方式有哪五种 - ?
烛树新鱼: 1、首先,采购产品的验货应该交由专业的检验人员操作.2、如果必须你自己验证,可有一下几种方式: 1)包装是否完整. 2)产品标识标牌是否齐全,是否有合格证. 3)产品是否有破损. 4)该产品的企业是否具有生产资质.
大丰市19214601194: 请问8位验证码是什么?
烛树新鱼: 验证码通常都是由手机短信或者邮件形式发送给接受者: 验证码的作用:有效防止这种问题对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试,实际上是用验证码是现在很多网站通行的方式(比如招商银行的网上个人银行,腾...
大丰市19214601194: 识别验证码的算法 - ?
烛树新鱼: 一、验证码的基本知识 1. 验证码的主要目的是强制人机交互来抵御机器自动化攻击的. 2. 大部分的验证码设计者并不得要领,不了解图像处理,机器视觉,模式识别,人工智能 的基本概念. 3. 利用验证码,可以发财,当然要犯罪:比如招商银...
大丰市19214601194: 电脑 上的验证码格式有哪几种形式.为什么我输入旳格式老错 - ?
烛树新鱼: 一般都是字母、数字、汉字三种.可能是服务器维修导致格式错误.
大丰市19214601194: 软件设计中产生验证码在逻辑上的理由是什么? - ?
烛树新鱼: 验证码的需求仅是因为要避免 被恶意使用,比如使用自动注册自动发布的软件等. 验证码产生方式: A页面产生一个随机字符串,并存储在服务器上.然后用户要输入这个随机字符串. 最后服务器对用户输入的进行比对,正确才执行
大丰市19214601194: 信用卡验证码怎么输入? - ?
烛树新鱼: 1、中国银行的信用卡验证码有手机短信验证码和图片验证码两种.2、手机短信验证码只要输入手机收到的短信验证码数字即可. 3、图片验证码一般有多种形式,需要按规则进行输入,比如“1+4=?”,需要填写结果5.扩展资料: 中国银...
