验证码场景和形式
|
由于技术的发展、黑色产业也随之发展。用户的网络帐号安全以及平台的正常运行受到了极大的威胁。正常用户的正常行为,机器可以每秒运行很多次。比如暴力破解用户密码,比如为投票刷票。类似的行为使用户受到损失,并且干扰了一个平台的正常运行。 在最初网站设置了一些次数限制,比如: 1、用户输入三次错误密码则锁定帐号一段时间,禁止登录。 2、用户 24 小时内只允许对单独投票投 n 次。 而此类设置对用户不够友好,也有足够的逻辑漏洞被钻。比如: 1、用户忘记正确密码,限制其登录会造成用户流失。 2、他人知道用户帐号,恶意试错导致正常用户无法登录。 3、用户 24 小时对单独投票有次数限制,那注册多个帐号进行投票或单个帐号对多个投票进行投票。 为对应此类事件,其实最核心的问题是:要验证使用帐号的是机器还是真人,而且是不是特定的人。 判定机器还是真人,本质上是一个图灵测试。判定是不是特定的人,大多数作用是防止被盗号而产生的风险。 在任何出现影响用户和平台损失可能性的地方,都需要验证码来判定,主要出现场景在: 1、注册 2、登录 3、找回密码 4、投票 5、支付 6、输入内容(评论、私信、留言等) 7、修改重要帐号信息 8、搜索 目前验证码主要分三种形式: 1、键盘验证。用户通过键盘输入内容完成验证。 2、鼠标验证。用户通过点击鼠标完成验证。 3、短信验证。向密保手机发送验证码短信,用户输入短信验证码完成验证。 键盘验证和鼠标验证主要作用是验证该账号使用者是人还是机器。短信验证主要作用是验证该帐号是否为特定人,及帐号的主人。短信验证主要使用场景在支付场景上,比如直播打赏。 要注意验证码并不是所有情况都要加,要判定该帐号存在异常才需要验证。比如在直播平台的打赏有很多引流效果,如果大额打赏需要不断的验证,那么引流不到位会造成用户的损失。相应造成一定的用户流失使平台受损。 比如: 用户A,在常用登录地点登录帐号,则登录不需要任何验证码。用户行为无异常,则输入内容不需要验证码。支付行为无异常,则不需要短信验证码。 用户A,在非常用登录地点登录帐号,登录需要非短信验证。用户行为无异常,则输入内容不需要验证码。支付行为无异常,则不需要短信验证码。 用户A,在非常用登录地点登录帐号asp验证码,系统标记该用户为土豪用户,则直接调取短信验证方式。用户行为无异常,支付行为无异常,就不在出现任何验证码。 以登录为例,目前输入验证码场景有三种常见形式: 1、输入帐号后,系统自动判定是否在常用登录场景以及其他的判定条件,如果需要验证码则自动出现验证提示。 2、输入帐号密码后,点击登录按钮,系统再进行判定,如果需要验证码,则阻止登录,出现验证提示。 3、输入帐号密码后,点击智能判定,系统进行判定,入股哦需要验证码,出现验证码提示。如果不点击智能判定,登录按钮点击无效。点击后提示你点击智能判定。 一个反面教材: 输入帐号密码后,开始验证,如果帐号密码错误,双框标红,帐号框下出现文案:帐号密码错误。但是被滑动验证挡住。如果帐号密码正确,则自动登录,无需点击登录按钮。
参考资料: 验证码何时可以退出历史舞台? 验证码 - 搜索结果 - 知乎 (编辑:源码网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
