驗(yàn)證碼的個(gè)性化改進(jìn)

申請免費(fèi)試用、咨詢電話：400-8352-114

電子商務(wù)的誕生雖然是由技術(shù)推動(dòng)的，但是對企業(yè)而言，技術(shù)所搭建的平臺(tái)只能作為一個(gè)好的工具，而最重要的是在經(jīng)營中如何更好地理解和運(yùn)用它們。近年來在國外頗為得寵的“關(guān)系營銷”，就是一種在網(wǎng)絡(luò)時(shí)代行之有效的營銷方式。關(guān)系營銷強(qiáng)調(diào)企業(yè)與顧客之間的互動(dòng)，力求建立穩(wěn)定、兼顧雙方利益的長期合作關(guān)系。

因此，你必須提供給用戶最高的可信度和安全度，使他們相信您的網(wǎng)站是真實(shí)可信的，同時(shí)確保用戶通過網(wǎng)站瀏覽器和其他設(shè)備發(fā)送給你的信息能夠被嚴(yán)格保密并有效地被接收。目前，不少企業(yè)網(wǎng)站為了這個(gè)目的都運(yùn)用了驗(yàn)證碼技術(shù)。

關(guān)系營銷中的驗(yàn)證碼技術(shù)

簡單地來說，驗(yàn)證碼就是網(wǎng)站為了防止用戶利用機(jī)器人自動(dòng)注冊、登錄、灌水而采用的一種網(wǎng)絡(luò)編程安全技術(shù)。

實(shí)質(zhì)上，所謂的驗(yàn)證碼，是通過網(wǎng)站編程實(shí)現(xiàn)的一項(xiàng)簡單的功能，它就是將一串隨機(jī)產(chǎn)生的數(shù)字或符號(hào)，生成一幅圖片， 圖片里加上一些干擾象素（防止OCR），由用戶肉眼識(shí)別其中的驗(yàn)證碼信息，輸入表單提交網(wǎng)站驗(yàn)證，驗(yàn)證成功后才能使用某項(xiàng)功能。圖形驗(yàn)證碼越多干擾色，程序越難把字碼認(rèn)出來。通常用的干擾色都有: 隨機(jī)文字顏色，隨機(jī)顏色底紋，隨機(jī)文字位置，隨機(jī)文字大小，隨機(jī)背景花紋，還可以加上一些雪花的效果。驗(yàn)證碼的運(yùn)行機(jī)制是在需要用戶通過填寫表單與服務(wù)器交互時(shí)，在隨機(jī)產(chǎn)生驗(yàn)證碼的同時(shí)生成一個(gè)Session，然后通過表單遞交數(shù)據(jù)與Session中保存的驗(yàn)證碼進(jìn)行比較，正確即驗(yàn)證碼通過，否則出錯(cuò)提示。

也許你會(huì)問，為何要用圖片顯示驗(yàn)證碼？這是因?yàn)槟承┎陆夤ぞ呖梢詮目蛻舳薶tml文件中的源碼讀取頁面，所以直接用文本做驗(yàn)證碼并不安全，而圖形的驗(yàn)證碼則需要捕捉圖像之后再進(jìn)行處理，安全性相對較高。

也許你又會(huì)問，既然有可能讀取頁面，那么，Session中的驗(yàn)證碼信息不也一樣可能被盜取嗎？不要忘記Session是一個(gè)私有變量，而html是程序的產(chǎn)物，而不是程序的本身，他們沒可能在html中窺見程序的過程，就好像你無法知道一個(gè)乘積數(shù)值是由哪兩個(gè)特定的數(shù)相乘得來的一樣。網(wǎng)站在服務(wù)器計(jì)算出驗(yàn)證碼，再根據(jù)驗(yàn)證碼來選擇圖片給客戶端，除非攻擊者注冊了幾萬次，把所有符號(hào)中每一個(gè)符號(hào)的幾種圖片都看過，并知道每個(gè)圖片的文件名，他們就有可能用程序去計(jì)算驗(yàn)證碼了?？墒且坏┯龅絼?dòng)態(tài)生成圖片名的，那他們就沒指望了。因?yàn)閔tml中唯一和驗(yàn)證碼有關(guān)系的就是顯示驗(yàn)證碼的圖片名。舉例說，有個(gè)1.gif的圖片，如果算到有1這個(gè)符號(hào)，我們卻把1.gif 復(fù)制成 1435793874.gif再讓網(wǎng)頁嵌入這個(gè)圖片，攻擊者就無機(jī)可乘了。

網(wǎng)站運(yùn)用驗(yàn)證碼技術(shù)保證登錄安全，就等于在用戶賬號(hào)密碼驗(yàn)證之外多加了一道嚴(yán)密的封鎖墻，可防止窮舉算法競猜獲取用戶賬號(hào)密碼，而論壇上發(fā)帖的驗(yàn)證碼與其工作原理相似，并且不需要進(jìn)行密碼驗(yàn)證。驗(yàn)證碼技術(shù)所處的網(wǎng)絡(luò)安全層次以及用戶登錄安全流程如圖所示。

驗(yàn)證碼技術(shù)現(xiàn)存的問題

道高一尺，魔高一丈，新的問題總在不斷地出現(xiàn)，隨著人們對驗(yàn)證碼破解方法的研究與探索，驗(yàn)證碼自身也出現(xiàn)了不少漏洞。

1. 驗(yàn)證碼圖片上雖有噪音點(diǎn)(指驗(yàn)證碼圖片上的斑點(diǎn))，但此噪音是固定的，不是隨機(jī)的，很容易識(shí)別?，F(xiàn)在發(fā)展的驗(yàn)證碼識(shí)別技術(shù)，可以很簡單地完成圖文識(shí)別，達(dá)到百分之百的準(zhǔn)確。利用此技術(shù)，可以在論壇嵌入惡意代碼，甚至植入病毒，盜取點(diǎn)擊者的機(jī)密信息等，操作簡單而又針對性，即使識(shí)別驗(yàn)證碼的過程比較慢，但基本上不防礙發(fā)信息的效率。有專家預(yù)測，如果論壇系統(tǒng)維護(hù)者對這些問題視若無睹，那么這一論壇網(wǎng)絡(luò)應(yīng)用將成為未來最大的網(wǎng)絡(luò)病毒傳播和滋生的源頭。

2. 驗(yàn)證碼是由腳本程序生成的，但很多時(shí)候生成算法又不夠復(fù)雜，導(dǎo)致其驗(yàn)證圖片上面的數(shù)字完全可以由產(chǎn)生它的鏈接地址直接計(jì)算得出。

3. 很多用戶在實(shí)際應(yīng)用中都會(huì)遇到驗(yàn)證碼無法顯示，或是驗(yàn)證碼顯示不完全的情況，導(dǎo)致不能登錄，消息發(fā)送失敗，甚至不能夠買產(chǎn)品或服務(wù)。

4. 給顯示驗(yàn)證碼的圖片添加雜點(diǎn)，這雖然給識(shí)別程序帶來了極高的代價(jià)，但同時(shí)也給用戶肉眼識(shí)別造成了不少障礙，很多用戶投訴，注冊或登錄一些網(wǎng)站用到的驗(yàn)證碼，有的根本看不清楚，有的甚至連基本形狀也猜想不到。

個(gè)性化的改進(jìn)方案

上述問題大多都可以通過技術(shù)解決: 要增強(qiáng)安全性，并將驗(yàn)證碼功能投入商業(yè)應(yīng)用，則可以增加干擾參數(shù)，干擾參數(shù)每加一，窮舉法的代價(jià)提高約100×100倍; 適當(dāng)設(shè)定雜點(diǎn)幾率以有效降低軟件識(shí)別正確率;自由設(shè)定驗(yàn)證碼位數(shù)，甚至可以自己修改字庫，包括寬度、高度等，使得識(shí)別程序要付出的代價(jià)足夠高。

然而，降低了用戶的便利性這個(gè)嚴(yán)重的缺陷就不能運(yùn)用純技術(shù)的方法解決了。一個(gè)完美的關(guān)系營銷，是絕對不會(huì)以犧牲客戶的便利性來換取網(wǎng)絡(luò)安全性的?？梢灶A(yù)測，像這種安全措施對于電子商務(wù)而言并不科學(xué)，長此以往，必將引起用戶的極大反感，特別是要求用戶輸入中英文和數(shù)字混排的驗(yàn)證碼，即使安全性大大提高，可客戶的便利性就大打折扣了。據(jù)目前網(wǎng)上的一些調(diào)查，越來越多的客戶對這種以驗(yàn)證碼登錄或發(fā)帖表示厭煩，有的甚至表示極大的反感。

針對驗(yàn)證碼的種種問題以及實(shí)現(xiàn)的相關(guān)功能，下面談一種可能的解進(jìn)方案:

第一道防線——判斷灌水機(jī)

很多網(wǎng)站直接使用驗(yàn)證碼的方法來防止垃圾信息的侵入，但是這種方法讓訪問者的感受大打折扣。為了防止攻擊而給用戶帶來留言和注冊的不便，有違新一代關(guān)系營銷的原則。

通過用戶留言或注冊的過程研究，可采取以下方法初步隔絕灌水機(jī)惡意訪問:

用戶發(fā)帖或提交注冊表單直接POST數(shù)據(jù)給最終處理數(shù)據(jù)的程序（比如叫 add.asp ）的可能性為零，就是說，如果從 add.asp 中無法得到來路，則一定是灌水機(jī)無疑。另外，用戶從進(jìn)入填寫留言的頁面到點(diǎn)擊提交按鈕必定是有時(shí)間差的，因?yàn)橛脩粜枰蜃?，而灌水機(jī)程序一般不會(huì)等待這個(gè)時(shí)間。因此，可以用下面的方法判斷灌水機(jī):

1.當(dāng)用戶進(jìn)入填寫頁面時(shí)，記住當(dāng)時(shí)的時(shí)間。

2. 在處理用戶提交數(shù)據(jù)的程序中，先判斷是否有來路信息，沒有來路信息的一定是垃圾信息。

3. 如果有來路信息，則判斷用戶進(jìn)入時(shí)間和現(xiàn)在的時(shí)間差，如果太小，則仍然判斷為垃圾信息。

對于杜絕惡意猜解盜取用戶賬號(hào)和密碼，則可以借鑒于Google的實(shí)現(xiàn)方案，在注重安全的同時(shí)，還盡量考慮到了用戶使用的方便性。Google往網(wǎng)站中添加了一個(gè)計(jì)數(shù)器，記錄登錄次數(shù)，常規(guī)情況下無須驗(yàn)證，一旦登錄錯(cuò)誤次數(shù)超過10 次，才彈出驗(yàn)證圖片。

第二道防線——個(gè)性化的驗(yàn)證碼

針對第一道防線可能存在的缺陷與失誤（比如說用戶程序可以偽造數(shù)據(jù)來路，阻礙程序判斷垃圾信息），這里進(jìn)一步提供網(wǎng)站的第二道防線解決方案 ——個(gè)性化的驗(yàn)證碼。

按照目前安全技術(shù)的功能代價(jià)比，驗(yàn)證碼仍然是防止網(wǎng)絡(luò)攻擊比較適合的解決方案，然而對于它扼殺了用戶便利性的缺陷，我們可以做出一定的改善，既能夠降低它的繁瑣性，又可以增添它的趣味性，更具個(gè)性化，也更吸引用戶。

舉例說，我們可以把驗(yàn)證碼做成色彩鮮艷，能清楚分辨的一幅動(dòng)物圖片（例如小貓），隨機(jī)給出三到十個(gè)可供選擇的答案（貓、狗、豬、馬、雞、熊……），其中僅包括一個(gè)正確答案，然后讓用戶手工選擇正確答案（可通過軟件盤的方式輸入，也可以直接鼠標(biāo)點(diǎn)擊答案輸入）。因?yàn)榧词刮矬w圖片我們一看就能說出其名稱，這種人類最簡單的思維轉(zhuǎn)換是計(jì)算機(jī)所不具有的，即使程序能非常精確的識(shí)別出圖形形狀，可是它不可能實(shí)現(xiàn)從物體模樣到名稱的轉(zhuǎn)換。另外對于不同行業(yè)的網(wǎng)站，圖片類型可以不一樣，圖片類型也可以有多組，這樣可以提高競猜開銷。驗(yàn)證碼的內(nèi)容還能與企業(yè)或其銷售的產(chǎn)品相關(guān)，這樣，不同的網(wǎng)站就有屬于自己的個(gè)性化的驗(yàn)證碼機(jī)制。要注意的是，這種驗(yàn)證碼機(jī)制，既要有趣味，有意思，同時(shí)也要顧及到用戶的便利性。問題答案對于機(jī)器和程序來說，要求足夠大的競猜開銷; 而對于用戶而言，只要親眼目睹了，就肯定能極其容易地識(shí)別出來，否則就會(huì)對正常登錄的用戶造成不必要的麻煩。(CCW)