驗證碼的個性化改進(jìn)

申請免費試用、咨詢電話：400-8352-114

電子商務(wù)的誕生雖然是由技術(shù)推動的，但是對企業(yè)而言，技術(shù)所搭建的平臺只能作為一個好的工具，而最重要的是在經(jīng)營中如何更好地理解和運用它們。近年來在國外頗為得寵的“關(guān)系營銷”，就是一種在網(wǎng)絡(luò)時代行之有效的營銷方式。關(guān)系營銷強調(diào)企業(yè)與顧客之間的互動，力求建立穩(wěn)定、兼顧雙方利益的長期合作關(guān)系。

因此，你必須提供給用戶最高的可信度和安全度，使他們相信您的網(wǎng)站是真實可信的，同時確保用戶通過網(wǎng)站瀏覽器和其他設(shè)備發(fā)送給你的信息能夠被嚴(yán)格保密并有效地被接收。目前，不少企業(yè)網(wǎng)站為了這個目的都運用了驗證碼技術(shù)。

關(guān)系營銷中的驗證碼技術(shù)

簡單地來說，驗證碼就是網(wǎng)站為了防止用戶利用機器人自動注冊、登錄、灌水而采用的一種網(wǎng)絡(luò)編程安全技術(shù)。

實質(zhì)上，所謂的驗證碼，是通過網(wǎng)站編程實現(xiàn)的一項簡單的功能，它就是將一串隨機產(chǎn)生的數(shù)字或符號，生成一幅圖片， 圖片里加上一些干擾象素（防止OCR），由用戶肉眼識別其中的驗證碼信息，輸入表單提交網(wǎng)站驗證，驗證成功后才能使用某項功能。圖形驗證碼越多干擾色，程序越難把字碼認(rèn)出來。通常用的干擾色都有: 隨機文字顏色，隨機顏色底紋，隨機文字位置，隨機文字大小，隨機背景花紋，還可以加上一些雪花的效果。驗證碼的運行機制是在需要用戶通過填寫表單與服務(wù)器交互時，在隨機產(chǎn)生驗證碼的同時生成一個Session，然后通過表單遞交數(shù)據(jù)與Session中保存的驗證碼進(jìn)行比較，正確即驗證碼通過，否則出錯提示。

也許你會問，為何要用圖片顯示驗證碼？這是因為某些猜解工具可以從客戶端html文件中的源碼讀取頁面，所以直接用文本做驗證碼并不安全，而圖形的驗證碼則需要捕捉圖像之后再進(jìn)行處理，安全性相對較高。

也許你又會問，既然有可能讀取頁面，那么，Session中的驗證碼信息不也一樣可能被盜取嗎？不要忘記Session是一個私有變量，而html是程序的產(chǎn)物，而不是程序的本身，他們沒可能在html中窺見程序的過程，就好像你無法知道一個乘積數(shù)值是由哪兩個特定的數(shù)相乘得來的一樣。網(wǎng)站在服務(wù)器計算出驗證碼，再根據(jù)驗證碼來選擇圖片給客戶端，除非攻擊者注冊了幾萬次，把所有符號中每一個符號的幾種圖片都看過，并知道每個圖片的文件名，他們就有可能用程序去計算驗證碼了?？墒且坏┯龅絼討B(tài)生成圖片名的，那他們就沒指望了。因為html中唯一和驗證碼有關(guān)系的就是顯示驗證碼的圖片名。舉例說，有個1.gif的圖片，如果算到有1這個符號，我們卻把1.gif 復(fù)制成 1435793874.gif再讓網(wǎng)頁嵌入這個圖片，攻擊者就無機可乘了。

網(wǎng)站運用驗證碼技術(shù)保證登錄安全，就等于在用戶賬號密碼驗證之外多加了一道嚴(yán)密的封鎖墻，可防止窮舉算法競猜獲取用戶賬號密碼，而論壇上發(fā)帖的驗證碼與其工作原理相似，并且不需要進(jìn)行密碼驗證。驗證碼技術(shù)所處的網(wǎng)絡(luò)安全層次以及用戶登錄安全流程如圖所示。

驗證碼技術(shù)現(xiàn)存的問題

道高一尺，魔高一丈，新的問題總在不斷地出現(xiàn)，隨著人們對驗證碼破解方法的研究與探索，驗證碼自身也出現(xiàn)了不少漏洞。

1. 驗證碼圖片上雖有噪音點(指驗證碼圖片上的斑點)，但此噪音是固定的，不是隨機的，很容易識別。現(xiàn)在發(fā)展的驗證碼識別技術(shù)，可以很簡單地完成圖文識別，達(dá)到百分之百的準(zhǔn)確。利用此技術(shù)，可以在論壇嵌入惡意代碼，甚至植入病毒，盜取點擊者的機密信息等，操作簡單而又針對性，即使識別驗證碼的過程比較慢，但基本上不防礙發(fā)信息的效率。有專家預(yù)測，如果論壇系統(tǒng)維護(hù)者對這些問題視若無睹，那么這一論壇網(wǎng)絡(luò)應(yīng)用將成為未來最大的網(wǎng)絡(luò)病毒傳播和滋生的源頭。

2. 驗證碼是由腳本程序生成的，但很多時候生成算法又不夠復(fù)雜，導(dǎo)致其驗證圖片上面的數(shù)字完全可以由產(chǎn)生它的鏈接地址直接計算得出。

3. 很多用戶在實際應(yīng)用中都會遇到驗證碼無法顯示，或是驗證碼顯示不完全的情況，導(dǎo)致不能登錄，消息發(fā)送失敗，甚至不能夠買產(chǎn)品或服務(wù)。

4. 給顯示驗證碼的圖片添加雜點，這雖然給識別程序帶來了極高的代價，但同時也給用戶肉眼識別造成了不少障礙，很多用戶投訴，注冊或登錄一些網(wǎng)站用到的驗證碼，有的根本看不清楚，有的甚至連基本形狀也猜想不到。

個性化的改進(jìn)方案

上述問題大多都可以通過技術(shù)解決: 要增強安全性，并將驗證碼功能投入商業(yè)應(yīng)用，則可以增加干擾參數(shù)，干擾參數(shù)每加一，窮舉法的代價提高約100×100倍; 適當(dāng)設(shè)定雜點幾率以有效降低軟件識別正確率;自由設(shè)定驗證碼位數(shù)，甚至可以自己修改字庫，包括寬度、高度等，使得識別程序要付出的代價足夠高。

然而，降低了用戶的便利性這個嚴(yán)重的缺陷就不能運用純技術(shù)的方法解決了。一個完美的關(guān)系營銷，是絕對不會以犧牲客戶的便利性來換取網(wǎng)絡(luò)安全性的?？梢灶A(yù)測，像這種安全措施對于電子商務(wù)而言并不科學(xué)，長此以往，必將引起用戶的極大反感，特別是要求用戶輸入中英文和數(shù)字混排的驗證碼，即使安全性大大提高，可客戶的便利性就大打折扣了。據(jù)目前網(wǎng)上的一些調(diào)查，越來越多的客戶對這種以驗證碼登錄或發(fā)帖表示厭煩，有的甚至表示極大的反感。

針對驗證碼的種種問題以及實現(xiàn)的相關(guān)功能，下面談一種可能的解進(jìn)方案:

第一道防線——判斷灌水機

很多網(wǎng)站直接使用驗證碼的方法來防止垃圾信息的侵入，但是這種方法讓訪問者的感受大打折扣。為了防止攻擊而給用戶帶來留言和注冊的不便，有違新一代關(guān)系營銷的原則。

通過用戶留言或注冊的過程研究，可采取以下方法初步隔絕灌水機惡意訪問:

用戶發(fā)帖或提交注冊表單直接POST數(shù)據(jù)給最終處理數(shù)據(jù)的程序（比如叫 add.asp ）的可能性為零，就是說，如果從 add.asp 中無法得到來路，則一定是灌水機無疑。另外，用戶從進(jìn)入填寫留言的頁面到點擊提交按鈕必定是有時間差的，因為用戶需要打字，而灌水機程序一般不會等待這個時間。因此，可以用下面的方法判斷灌水機:

1.當(dāng)用戶進(jìn)入填寫頁面時，記住當(dāng)時的時間。

2. 在處理用戶提交數(shù)據(jù)的程序中，先判斷是否有來路信息，沒有來路信息的一定是垃圾信息。

3. 如果有來路信息，則判斷用戶進(jìn)入時間和現(xiàn)在的時間差，如果太小，則仍然判斷為垃圾信息。

對于杜絕惡意猜解盜取用戶賬號和密碼，則可以借鑒于Google的實現(xiàn)方案，在注重安全的同時，還盡量考慮到了用戶使用的方便性。Google往網(wǎng)站中添加了一個計數(shù)器，記錄登錄次數(shù)，常規(guī)情況下無須驗證，一旦登錄錯誤次數(shù)超過10 次，才彈出驗證圖片。

第二道防線——個性化的驗證碼

針對第一道防線可能存在的缺陷與失誤（比如說用戶程序可以偽造數(shù)據(jù)來路，阻礙程序判斷垃圾信息），這里進(jìn)一步提供網(wǎng)站的第二道防線解決方案 ——個性化的驗證碼。

按照目前安全技術(shù)的功能代價比，驗證碼仍然是防止網(wǎng)絡(luò)攻擊比較適合的解決方案，然而對于它扼殺了用戶便利性的缺陷，我們可以做出一定的改善，既能夠降低它的繁瑣性，又可以增添它的趣味性，更具個性化，也更吸引用戶。

舉例說，我們可以把驗證碼做成色彩鮮艷，能清楚分辨的一幅動物圖片（例如小貓），隨機給出三到十個可供選擇的答案（貓、狗、豬、馬、雞、熊……），其中僅包括一個正確答案，然后讓用戶手工選擇正確答案（可通過軟件盤的方式輸入，也可以直接鼠標(biāo)點擊答案輸入）。因為即使物體圖片我們一看就能說出其名稱，這種人類最簡單的思維轉(zhuǎn)換是計算機所不具有的，即使程序能非常精確的識別出圖形形狀，可是它不可能實現(xiàn)從物體模樣到名稱的轉(zhuǎn)換。另外對于不同行業(yè)的網(wǎng)站，圖片類型可以不一樣，圖片類型也可以有多組，這樣可以提高競猜開銷。驗證碼的內(nèi)容還能與企業(yè)或其銷售的產(chǎn)品相關(guān)，這樣，不同的網(wǎng)站就有屬于自己的個性化的驗證碼機制。要注意的是，這種驗證碼機制，既要有趣味，有意思，同時也要顧及到用戶的便利性。問題答案對于機器和程序來說，要求足夠大的競猜開銷; 而對于用戶而言，只要親眼目睹了，就肯定能極其容易地識別出來，否則就會對正常登錄的用戶造成不必要的麻煩。(CCW)