有没有人觉得现在验证码用得太泛滥了？在很多界面其实是多余的

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3711 天前的主题，其中的信息可能已经有所发展或是发生改变。

比如说登录的时候也需要要填验证码？

注册的时候填验证码我可以理解，防止机器大批量注册；但是登录界面表示默认对方已经拥有了账号，只要账号与密码匹配就可以了，这个时候填验证码是为了避免什么？

最后在研究keepass自动登录的时候注意到这个问题的。

验证

大批量

36 条回复 • 2014-09-28 10:47:38 +08:00

xxstop

2014-09-27 09:11:10 +08:00

这玩意就是一个蛋疼的东西。

oott123

2014-09-27 09:11:32 +08:00 via Android

避免暴力破解密码咯

haozhang

2014-09-27 09:19:51 +08:00

没办法，有些人就是素质低，比如说黄牛...

joyjy

2014-09-27 09:26:07 +08:00

盗号的人也会刷登录。

GhostFlying

2014-09-27 09:29:34 +08:00 via iPad

很多时候验证码靠不住，所以多用只是为了加大软件登录的成本而已

lollxxox

2014-09-27 09:29:46 +08:00

用户永远觉得验证码是多于的，因为他是一个“活人”；
网站的管理员永远想加验证码，因为他看的是“死人”生成的log。

现在技术的关键是如何判断到底是“死人”还是“活人”，简单的方法就是全当你是“死人”。

wangtuyi

2014-09-27 09:30:39 +08:00

理论上验证码是防止机器的，包括不限于：暴力猜解密码、用户名密码fuzz、重复提交等。
但确实很多敏感操作，如登陆、注册等也是有使用验证码，大部分是两种，一种是直接显示，另一种是点击验证码输入框才显示，但也都给用户带来了不便。
我喜欢的一种方式是后台验证输入有误三次才显示验证码，这就很好

janxin

2014-09-27 09:45:42 +08:00

因为有人爆破密码....

tankb52

2014-09-27 09:46:17 +08:00

@wangtuyi

嗯，这样确实很不错。可惜很多网站还是喜欢简单粗暴的验证啊

Owenjia

2014-09-27 09:58:51 +08:00 via Android

不加验证码，然后限制时间间隔和尝试次数怎么样？

exoticknight

2014-09-27 10:04:33 +08:00

有

lwbjing

2014-09-27 10:12:56 +08:00

大部分的产品只是觉得，别人都有，那我也加一个。。而不是我要这个真正是为了什么。。。

kisshere

2014-09-27 10:17:23 +08:00

话说我用casperjs登录某网站，结果始终在验证码这关卡住了

loveminds

2014-09-27 10:36:38 +08:00

@lollxxox
@wangtuyi
@xxstop 可以做到用户体验更好的方式来验证而不只是扭曲的机器

shiny

2014-09-27 11:01:14 +08:00

频率限制可以通过更换代理 ip 来绕过，所以在非常用地点尝试登录的时候应该出验证码，常用地点则仅仅登录出错一定次数后再显示验证码。

imn1

2014-09-27 11:01:21 +08:00

@Owenjia 如何记录上次尝试登录的时间？数据库么？

bydmm

2014-09-27 11:06:49 +08:00

好的验证码能挡住除了“人肉识别”以外的机器人

lyragosa

2014-09-27 11:10:21 +08:00

我的方法是同一IP输入五次密码错误就ban掉IP15分钟

不设置验证码

如果有人乐意5分钟换个IP这么搞我我也认了。大爷的DDOS攻击任何人都防不住

binux

2014-09-27 11:27:07 +08:00 via Android

@lyragosa 弄几千个ip不要太简单

zts1993

2014-09-27 11:35:33 +08:00

一点都不多余。。robot可多了。。

imn1

2014-09-27 11:46:23 +08:00

@lyragosa tor换ip只需5秒

google搜索只要用tor就要验证码，不时给你个“Sorry”，如无意外，google上面有一个tor出口节点的数据库

cookiebody

2014-09-27 11:55:35 +08:00

验证码是互联网领域，体验最槽糕的功能。
但是，目前又没更好的解决方案来避免。

xifangczy

2014-09-27 12:05:51 +08:00

为了防止爆破，增加了注册码。为了防止验证码自动识别程序，又增加复杂度，到现在恶心的中文验证码，用户还要去切换输入法，还要丧心病狂的选择题。这是个恶性循环。

lyragosa

2014-09-27 12:36:47 +08:00

@binux
@imn1

这要看具体情况，大网站而言，当然需要足够多的反bot措施，但对于我的个人网站来说，我觉得验证码带来的用户体验的损失，相比加了验证码带来的反spam收益来说，不划算。

miao

2014-09-27 12:53:17 +08:00

你们搞一个流量稍大的wordpress, 就知道群发机器人有多恐怖了(如果是英语wordpress,更恐怖). 所以必须搞验证码.

imn1

2014-09-27 12:57:38 +08:00

@lyragosa 嗯，这个我认同，我也是注重用户体验多于反bot，除非遇到恶意、无法避免、不得不等情况下才使用

lincanbin

2014-09-27 13:06:17 +08:00

防止穷举登陆，以前Discuz可以uid登陆，靠弱口令穷举就能爆出一堆号来。

tankb52

2014-09-27 14:03:34 +08:00

@lincanbin
现在Discuz好像是对密码试错次数作出限制了。

MinonHeart

2014-09-27 15:38:23 +08:00 via Android

为什么不用时间限制？因为懒

anjianshi

2014-09-27 16:15:09 +08:00

@tankb52
lincanbin 的意思应该是拿一个常用的密码挨个 uid 去试，这样子即使有出错次数限制也没用

quix

2014-09-27 16:58:06 +08:00

想起一个实验:

把五只猴子关在一个笼子里，上头有一串香蕉实验人员装了一个自动装置
一旦侦测到有猴子要去拿香蕉，马上就会有水喷向笼子而这五只猴子都会一身湿
首先有只猴子想去拿香蕉，当然，结果就是每只猴子都淋湿了
之後每只猴子在几次的尝试後，发现莫不如此
於是猴子们达到一个共识：不要去拿香蕉，以避免被水喷到
後来实验人员把其中的一只猴子释放，换进去一只新猴子A
这只猴子A看到香蕉，马上想要去拿
结果，被其他四只猴子海K了一顿
因为其他四只猴子认为猴子A会害他们被水淋到，所以制止他去拿香蕉
A尝试了几次，虽被打的满头包，依然没有拿到香蕉
当然，这五只猴子就没有被水喷到
後来实验人员再把一只旧猴子释放，换上另外一只新猴子B
这猴子B看到香蕉，也是迫不及待要去拿
当然，一如刚才所发生的情形，其他四只猴子海K了B一顿
特别的是，那只A猴子打的特别用力（这叫老兵欺负新兵，或是媳妇熬成婆 ^O^）
B猴子试了几次总是被打的很惨，只好作罢
後来慢慢的一只一只的，所有的旧猴子都换成新猴子了，大家都不敢去动那香蕉
但是他们都不知道为什麽，只知道去动香蕉会被猴扁

tankb52

2014-09-27 19:04:55 +08:00 via Android

@anjianshi
汗死！居然没想到这种方法。

janxin

2014-09-27 23:11:39 +08:00

@miao 赞同，我的wp是个小站每天都有几百到上千的垃圾评论...要跪

willwen

2014-09-28 07:57:12 +08:00 via iPhone

@miao 也有一些防spam的工具，不用驗證碼，但需要活人用鼠標操作才能看到輸入框

Winny

2014-09-28 10:47:38 +08:00

1、限制1小时内每个账号错误次数
2、限制1小时内每个IP错误次数

限制注册/修改密码时使用弱口令。