记得以前我也曾问过别人:为什么要在网站登录界面放个图片验证码?当时,程序员回答说:为了安全。我也没有深究过其中的利害。
昨天,当我被问到了这个问题,而且是一连串的问题时,单纯的一句"为了安全"并没有抚平提问者的情绪。于是就去请教了写程序的朋友,也上网扒了一些关于验证码与安全性的相关问题。
朋友说:
一、验证码是用来防止服务器被攻击的。
防止谁攻击?自然是防止机器人攻击。
图片来自好友聊天记录
这个速度只能是机器,人怎么可能有这么快呢?所以说,验证码首先是区分用户是计算机,还是肉身的真人。
(此图来自知乎回答作者)
这么一来,验证码就相当于"一夫当关,万夫莫开"的剑门关,把很多居心叵测的"坏蛋"阻挡在外了。
二、防止暴力破解、刷票、论坛灌水、刷页等。
图片来自好友聊天记录
图片来自好友聊天记录
如果没有验证码,水军利用计算机灌水的速度大概要以每秒几亿计了吧?有了验证码,计算机干不了这个事情了,服务器的压力一下子就小了很多。同理的,账户也就安全了很多。
三、有验证码可以防止误操作,尤其是关于钱的操作。
输验证码的过程也是一个思考和犹豫的过程,如果觉得有什么不合适的,在这个时间内及时反映过来了,可以避免损失。
尤其是对于交易类型的账号。验证码节约了付错款、下错单的成本。
随着图片识别技术的发展,验证码也是花样百出,最奇葩的莫过于当年12306为了防止刷票而推出的一系列高难辨识度的验证码。此验证码在江湖独领风骚,一时扰得风号浪涌。
我不追星,不关注娱乐圈,不认识乐谱,不知道八卦,然后连火车都不让我坐了!!!这不是欺负人吗?
为了防止黑客对某一个账户进行恶意攻击,验证码都会做成人类能识别出来,而机器识别不出来的样式。就像大家看到的那样——一串随机产生的数字、汉字或符号,生成一幅图片,图片里加上一些干扰元素,比如杂乱无章的线条、点、划痕、圈等等。为什么呢?因为如果没有干扰的话,OCR一旦识别出图片内容,验证码就没有作用了。必须是OCR识别不出来的验证码,才能有效防止数据包被盗取。
而干扰程度越高,防止恶意攻击的效果就越好,但是用户识别起来也会更难一点。所以有些人就会觉得填写验证码比较烦。但是基于安全的考虑,目前各网站几乎都有图片验证码这个程序;尤其是关系身家性命的网站和APP,输验证码是逃不过的程序;对于某些特殊行业来说,甚至是上级的要求。
既然验证码已经通行,并且又是为了我们的账户安全,那我们必须配合。
那么,我们遇到难识别的验证码该怎么办呢?
首先,我们需要多了解几种字体,这样才能在短时间内识别易混淆的字母或数字,缩短我们的验证时间,提高验证效率。
来做道题,看看下面图上啥字母?
现在相信很多人都会PS、美图秀秀之类的软件,这些软件里面会有不同的字体,在P图的时候顺带看一眼,心里就有数了。
其次,可以换一张相对好识别的验证码来验证。一般,验证码旁边会有一个提示按钮(如下图);如果没有这个按钮,直接点击验证码一般也可以换另一张。
至于像12306那么奇葩的验证码,在别的地方还没怎么见过,TDB为了防止黄牛刷票也是费劲了心机啊!
【归纳一下】
验证码的作用:
防止恶意攻击,防止暴力破解……减轻服务器的压力,保障账户的安全。
验证码的原理:
机器的识别能力比人眼低,人都识别不了的图片,机器就更识别不了了。
随着技术在进步,黑客在进化,安全也要同步提升。手机实名制之后,有了短信验证码。除了前述功能,短信验证码还多了一重身份验证,确保是用户本人操作,而非他人。而且还有其他很多功能:比如密码找回、登陆保护、交易确认、手机发送指令、接收账户消息等等。短信验证码的使用有效提高了用户账户的安全性,却也是一把双刃剑。因此,我们一定要慎重对待。对此,谨提供以下攻略:
1 护好自己的手机和手机密码
2 保护好自己的一切账户信息(包括淘宝、天猫、京东、微信、支付宝以及投资账户等)
3 不要随意把验证码泄露给别人
4 不要去不靠谱的网站注册
5 不要轻易把手机借给别人
6 不要轻易让别人使用自己实名制的手机号
7 涉及到付款和交易的APP设置成隐私
閱讀更多 靈狐定式 的文章
