作者 Neot 写于
2007-10-15 | 2,249 次浏览
“’验证码’等于’流氓软件’”这句话本身存在逻辑问题,因为“验证码”并不是一个软件,而是软件里的一个功能。这句话的实际意思是,带“验证码”功能的软件是“流氓软件”。
请不要激动,且听我道来。
在很久很久以前(其实并不久),你登录一个系统时,只需要输入“用户名”、“密码”,然后“回车”就可以了,费不了多大劲。后来,出现了一些不良份子 (多半是因为闲得无聊),利用程序反复登录网站,以获取他人密码,或使系统超负荷甚至崩溃。为了应对这样的危机,有人发明了“验证码”。
最常用的“验证码”功能,是让用户识别一张图片上的数字和字母,然后将识别的结果填入一个输入框,和其它信息一起提交给系统。图片上的数字和字母就是 “验证码”。系统在执行其它操作之前,先验证用户输入的“验证码”是否和图片上的一致。如果不一致,则直接返回到客户端,不进行余下操作。直到现在,图像 识别技术离成熟也还有很远,对图片上文字的识别率非常低。所以,恶意程序几乎不可能通过图片“验证码”的验证。即使偶尔能识别一次,也不可能多次连续通过 “验证码”的验证。这样,利用程序反复登录,以获取他人密码的可能性几乎等于零;而且,系统只进行一次“验证码”验证,就将恶意登录打回,极大地减轻了系 统负担。这样,可谓一举两得呀!
除了图片“验证码”还有其它形式,这里就不多说了。但目的都是一个,就是让人可以识别,而让机器无法识别,以防止恶意程序的攻击。
既然“验证码”功能这样好,怎么会跟“流氓软件”联系起来的呢?
“验证码”功能确实好,一上阵就所相匹敌,战无不胜!软件设计人员纷纷请它来助阵,以提高他们系统的防御能力。于是,到如今,你登录一个系统时,不只要 输入“用户名”和“密码”了,你还要输入“验证码”。“用户名”和“密码”都是你记住的,很容易输入。而“验证码”是随机的,每次你都要去识别它。“验证 码”功能并没有一个统一的标准,各个系统各显神通。有的加上颜色,有的加上背景图案,有的字体大小不一,有的角度不同等等,以提高机器的识别难度。机器的 识别难度是提高了,可是,人的识别难度在添加。有些“验证码”常常不是第一次就能识别正确,比如数字“1”和字母“l”就很难区分,有的字母大写和小写也 很难区分。虽然有些系统提供刷新“验证码”的功能,以方便用户选择一个容易识别的“验证码”进行识别。但是,这并没有从本质上解决问题,反而让用户进行了 更多的操作。“验证码”功能带来的本质问题是:每次登录时都要多一个输入“验证码”的操作,而“验证码”的随机性和不易识别性,又使用输入“验证码”操作 本身变得愈加艰难和痛苦!
“验证码”功能,强迫用户进行不喜欢且不必要(以前就没有)的操作,而且没有任何选择的余地,霸道得很。用户虽然咬牙切齿,却无能为力。所以,它对用户来说,却成了一个恶意功能。正规软件加上恶意功能就成了“流氓软件”。
那么,前面花大段落描述了“验证码”功能对系统安全的好处,难道都是骗人的吗?
当然不是。“验证码”功能的出发点是好的,它的本质也是好的,只是,当它表现给用户时,选择的表现形式有问题。就像“广告”,本身并不是恶意的,只是当它以“强行弹出”的形式表现出来就变成了恶意。
有问题就应该解决,而且早有好的案例,例如Google的登录系统,就做得Very Good(不排除为Google做广告的嫌疑)!
打开Google网站的登录页面,你看不到“验证码”功能:
当你第一次输入密码错误时,也没有出现“验证码”功能,只作提示:
当你不停地以同一用户,不同密码登录时,N次(登录频度不同而不同)以后,才出现“验证码”功能:
当用一个用户名登录失败后,再换另一个用户名又登录失败,也会出现“验证码”功能(同上)。
在正常情况下,你登录Google,几乎碰不到出现“验证码”功能的情况。
什么叫作“用户体验”——这就叫“用户体验”,这就叫好的“用户体验”。以用户为中心,不断改善系统,让用户获得对系统的良好体验;而不是以各种借口麻痹自己,无视用户。
Google用户登录也有“验证码”功能,但它并不“流氓”。因此,我要修改在第一段落中对本文标题的解释:带强制“验证码”验证功能的软件是“流氓软件”。同一件事情,两种不同的处理方法,得到的结果却完全不同。
所以,请不要为“流氓”找借口!
[ 标签:
google,
流氓软件,
验证码 ]
[ 固定链接:
http://blog.tanggaowei.com/2007/10/posts-5.html ]
7 个评论 
| 分类 » 软件开发 |
