不错,这篇文章分析得很好!

现在有很多的网站搞一些很复杂的验证码,太难爱了!

不过,我建议大家有时间去看一看宝宝树注册的页面,很人性化!

 

On 9/25/07, nihaiyu <Nihaiyu@gmail.com> wrote:

腾迅的campus的登陆界面多了一个"有何风险"的提示，点击之后会出现关于"保存登陆密码在本机的危害"的动画。虽然对我没什么用，但是感觉腾迅这
方面比以往有所进步，不过就怕是为了赶用户体验的时髦才搞出来的画虎变猫措施，漂亮但不实用。
譬如同一个页面的的验证码问题，我反复输入几次都会错误，非常非常不爽，直接就关闭了，从而网站直接丧失了让我本次加入的机会。

再想想某段时期qq注册的中文验证码，感觉腾迅把验证码的变态性发展到了极致，基本上是正常人都无法使用的地步。这显然是qq的某些程序员不动脑子，机
械僵化的表现。

近些年来，为了防止暴力破解、垃圾留言等不受欢迎的行为，网页上的验证码迅速普及开来，大小网站纷纷在自己网站上放置放置数字/图形乃至中文/数学验证
码。验证码的位置也不光在注册表单旁了，发帖、留言、回复、特殊功能等界面处都会有他恼人的身影。
这样有必要么？

广义上，验证码的用途是为了证明机器面前是一个合理合法使用相关服务的存在，只要不是恶意使用，是不是人都没有关系的！像qq现在的做法连人都用不了，
走偏了。

其实可以靠很多间接技术来保证用户的合理性的。
如果我们的目标是不允许软件登陆/使用qq的服务，仅限于人使用。
那么qq可以仔细研究人这种用户的行为，基于用户行为规范来判断到底是否允许接入服务，判断对面终端是扫密码的破解机还是正常运作的人。

人是非线性的，同样的动作两次做都不可能完完全全一致。最简单的人对键盘的击键延迟，反应速度都是不同的。人又可以做逻辑判断和运算，再高级的机器AI
也赶不上会用电脑的小孩的智商，所以从这方面考虑才是验证码以及背后防非人类用户的根本出路。

用上面的思路来做用户验证机制:
在需要验证码的时候，用lightbox效果弹出验证界面。
很简单的出道图形题，"画面上最大的红色三角形在哪个位置？  左上右下 中间 "
图形学再发展至少一年内，这样的逻辑验证机制不会被低成本破解，可以有效的维持反机器登陆的性价比。
再简单的出道感性方向的题目。
一个漫画，画面上两个标记好名字的人物有一段草书对话，老王对老李说："看什么看，看你个大头鬼啊"。
答案： 1 老王喜欢老李看他
      2 老王厌恶老李看他
      3 老王想要老李看他
输入答案的标号（1、2、3、4）。
再进一步。
图画   两人站立周星驰旁边画着说的话"I服了U"
问是谁说话了？
答案：1左边的人 2右边的人  3两个人 4没有人
输入答案的标号（1、2、3、4）


同时对于图片本身可以通过裁减大小等更改md5值的方法防止机械记忆答案的破解方法，
这种简单逻辑判断题目机器能做出来，母猪都上天了。


最终还有一个问题，"我们到底要验证码干什么"
做个粗糙的回答：是为了保护绝大多数用户的体验和利益，避免恶意、不正当使用网站提供的服务和相关资源。是为了大家用得舒服而不是用户不爽乃至觉得变
态。

回到开始，注册可以使用验证措施，但我用户第一次登陆的时候为什么要输入验证码呢？对于暴力破解来说，前几次就猜中的概率是非常非常低的。与其让用户每
次都不爽并拖慢登陆且验证机制暴露，还不如像gmail那样前2次错误不出现验证码，再错就用越来越严格严格的每次不一致的验证机制。这样页面可以保
持清爽干净，也避免了验证码让人觉得不知所措。

提升自己的技术实力，对开发者要求严格一点在背后想的多一点做的更多一点，对用户友好，让他们觉得简单、易用、可信，这才更像2.0时代的以用户为中心
的产品设计吧。




文章本来是看了qq校园有感而发的，结果写的有点偏离主题...
发现验证机制这块真是非常复杂
且当抛砖引玉吧。
晚上回来再做修改


--~--~---------~--~----~------------~-------~--~----~
UCDChina.com
-~----------~----~----~----~------~----~------~--~---