王麗霞 柏建普

摘 要：驗證碼是網(wǎng)絡時代的產(chǎn)物，設計初衷就是為了保護網(wǎng)頁服務器和用戶資料的安全，防止垃圾信息泛濫和大量無用資料的充斥。這個機制一般又計算機自動給出的一個問題，通常以圖片的形式出現(xiàn)，用戶通過在表單中提交這個問題來經(jīng)過服務器驗證，以判斷這個行為是否來自于真實人類。

關(guān)鍵詞：驗證碼；用戶體驗；網(wǎng)絡安全

驗證碼是新時期下信息產(chǎn)業(yè)應運而生的產(chǎn)物，它的英文縮寫是CAPTCHA，這個詞最早可以追溯到2000年卡內(nèi)基梅隆大學和IBM公司所提出，是“Completely Automated Public Turing Test to Tell Computers and Humans Apart”（全自動區(qū)分計算機和人類的圖靈測試）的縮寫，是一種區(qū)分用戶是計算機和人的公共全自動程序。Yahoo公司作為CAPTCHA的第一個可以追溯的客戶，沿用至今的一種設計原理和印證流程：由計算機生成問題并對提交的答案進行評判，但是這些問題必須只有人類才能解答。設計基礎理論是由于計算機無法解答CAPTCHA的問題，所以回答出問題的用戶就可以被認為是人類。大多數(shù)驗證碼就是將一串隨機產(chǎn)生的數(shù)字或符號，生成一幅圖片，并在圖片里加上一些干擾，如隨機畫數(shù)條直線，或畫一些點，由用戶肉眼識別其中的驗證碼信息，輸入表單提交網(wǎng)站驗證，驗證成功后才能使用某項功能。

驗證碼是當前每一個網(wǎng)站不可回避的設計，隨著驗證碼的普及與發(fā)展，最初設計的文本驗證碼演變出一些新的形式，較為本土化且相對較難的有基于漢字的驗證碼，目前主要出現(xiàn)在國內(nèi)，由于中國人的母語是漢語，且漢字的可識別率不是很高，這使得漢字順利成章的被應用到驗證碼中，然而由于漢字的局限性，面向全球互通的互聯(lián)網(wǎng)網(wǎng)站，大多數(shù)可以采用的素材還是基于字母和數(shù)字的文本驗證碼。如圖1所示。

全球通行的字母、數(shù)字驗證碼也是目前最為廣泛使用的一種算法較為簡單，相對訪客而言比較人性化的簡單設計之一。除此之外，利用多媒體技術(shù)展現(xiàn)驗證碼的方式也愈來愈多，如圖片驗證就可以利用一張圖片，以形象、直觀的方式傳遞大量有用信息。目前，一些注重用戶信息安全重要性的網(wǎng)站開始將圖片信息作為驗證碼驗證的圖靈測試選材。這種圖片信息的驗證碼在驗證環(huán)節(jié)中可以衍生出很多附加價值，如顯示一個小型廣告圖片，驗證問題就是廣告中的某個產(chǎn)品特性或者是直觀的一些產(chǎn)品參數(shù)或是廣告語，這種基于圖片信息的驗證碼界面友好，信息傳導直觀，同時還可能帶來一些商業(yè)附加回報，也逐漸被一些第三方運營公司所挖掘，形成專業(yè)的驗證碼驗證插件或API提供給網(wǎng)站使用。

基于圖片信息的驗證碼通常需要用戶根據(jù)圖片提示信息錄入一些驗證文字和信息來完成圖靈測試，往往應用于對實時性效率要求不高的網(wǎng)站，如果是用戶對網(wǎng)站的訪問頻次較高，訪問設備不便于輸入過多復雜驗證文字的情形，這樣的機制便大大降低了用戶體驗。一些網(wǎng)站出于這方面的考慮，設計了通過點擊或是僅僅輸入簡單字符完成驗證的圖片驗證碼驗證機制，如通過點擊圖片來完成一組圖形驗證碼的驗證過程，或是通過融入簡單邏輯，經(jīng)過人腦簡單識別，更為簡單的輸入完成的邏輯圖片信息驗證機制，比如：圖片中有幾個三角形？這類驗證碼對于人類來說結(jié)合視覺和邏輯思維是相當簡單容易的事情，對于計算機而言，相對困難許多。

隨著網(wǎng)絡帶寬的提升和網(wǎng)絡資源占用價格的降低，視頻有時也應用在了驗證碼領域，由于其在帶寬和生成驗證碼的服務器資源代價上存在較高消耗，目前還是比較微小的群體在使用。在多媒體應用中，聲音的應用不容忽視，聲音作為人類感官之一，計算機也是無法輕易感知的。對于其他類型驗證碼，這類驗證碼有其他驗證碼無法替代的一些特殊屬性，通常可以適用于特殊人群，如色弱，色盲和視力障礙用戶的驗證。然而由于不同區(qū)域，不同國家語言不同，該類驗證碼的使用受到了很大限制。

當驗證碼成為網(wǎng)站登錄和注冊環(huán)節(jié)的標準配置以后，其安全性和良好的用戶體驗設計如同蹺蹺板的兩端一樣難以制衡。而通過調(diào)查，網(wǎng)站的訪問者們并不愿意在這方面費神，很多人抱怨有些驗證碼太難，并希望驗證碼盡可能簡單，而不是讓用戶絞盡腦汁。出于對用戶體驗的考慮或是自身設計上的原因，這就使得大部分的網(wǎng)站投身于簡單易行的驗證碼模式來完成想象中安全驗證碼應有的職責和任務。本文以此類驗證碼和部分驗證碼的驗證過程為研究對象，剖析其中可能存在的安全隱患，嘗試分析驗證碼的驗證過程來完成對驗證碼安全性考驗的實驗，提出一些平衡安全性和良好的用戶體驗的思路，以幫助那些賬戶信息和內(nèi)容具有隱私和很大價值的網(wǎng)站，提升驗證碼的安全性，完善整個驗證過程的流程。

[參考文獻]

[1]韓雙旺.基于ASP.NET的動態(tài)網(wǎng)站驗證碼功能的實現(xiàn)[J].中央民族大學學報（自然科學版），2012，21，3：48-52.

[2]柳紅剛.字符扭曲粘連驗證碼識別技術(shù)研究[D].西安：西安電子科技大學，2012

[3]湯陽.防非法登錄的驗證碼技術(shù)的設計與實現(xiàn)[J].數(shù)字技術(shù)與應用，2012，6：186.

[4]王偉娜，劉群.Asp.net中圖片驗證碼的設計與實現(xiàn)[J].電腦知識與技術(shù)，2013，11：2598-2600.