设计理论：“验证码”等于“流氓软件”.doc

设计理论：“验证码”等于“流氓软件” ??? “'验证码'等于'流氓软件'”这句话本身存在逻辑问题，因为“验证码”并不是一个软件，而是软件里的一个功能。这句话的实际意思是，带“验证码”功能的软件是“流氓软件”。 在很久很久以前（其实并不久），你登录一个系统时，只需要输入“用户名”、“密码”，然后“回车”就可以了，费不了多大劲。后来，出现了一些不良份子（多半是因为闲得无聊），利用程序反复登录网站，以获取他人密码，或使系统超负荷甚至崩溃。为了应对这样的危机，有人发明了“验证码”。 最常用的“验证码”功能，是让用户识别一张图片上的数字和字母，然后将识别的结果填入一个输入框，和其它信息一起提交给系统。图片上的数字和字母就是“验证码”。系统在执行其它操作之前，先验证用户输入的“验证码”是否和图片上的一致。如果不一致，则直接返回到客户端，不进行余下操作。直到现在，图像识别技术离成熟也还有很远，对图片上文字的识别率非常低。所以，恶意程序几乎不可能通过图片“验证码”的验证。即使偶尔能识别一次，也不可能多次连续通过“验证码”的验证。这样，利用程序反复登录，以获取他人密码的可能性几乎等于零；而且，系统只进行一次“验证码”验证，就将恶意登录打回，极大地减轻了系统负担。这样，可谓一举两得呀！ 除了图片“验证码”还有其它形式，这里就不多说了。但目的都是一个，就是让人可以识别，而让机器无法识别，以防止恶意程序的攻击。 既然“验证码”功能这样好，怎么会跟“流氓软件”联系起来的呢？ “验证码”功能确实好，一上阵就所相匹敌，战无不胜！软件设计人员纷纷请它来助阵，以提高他们系统的防御能力。于是，到如今，你登录一个系统时，不只要输入“用户名”和“密码”了，你还要输入“验证码”。“用户名”和“密码”都是你记住的，很容易输入。而“验证码”是随机的，每次你都要去识别它。“验证码”功能并没有一个统一的标准，各个系统各显神通。有的加上颜色，有的加上背景图案，有的字体大小不一，有的角度不同等等，以提高机器的识别难度。机器的识别难度是提高了，可是，人的识别难度在添加。有些“验证码”常常不是第一次就能识别正确，比如数字“1”和字母“l”就很难区分，有的字母大写和小写也很难区分。虽然有些系统提供刷新“验证码”的功能，以方便用户选择一个容易识别的“验证码”进行识别。但是，这并没有从本质上解决问题，反而让用户进行了更多的操作。“验证码”功能带来的本质问题是：每次登录时都要多一个输入“验证码”的操作，而“验证码”的随机性和不易识别性，又使用输入“验证码”操作本身变得愈加艰难和痛苦！ “验证码”功能，强迫用户进行不喜欢且不必要（以前就没有）的操作，而且没有任何选择的余地，霸道得很。用户虽然咬牙切齿，却无能为力。所以，它对用户来说，却成了一个恶意功能。正规软件加上恶意功能就成了“流氓软件”。 那么，前面花大段落描述了“验证码”功能对系统安全的好处，难道都是骗人的吗？ 当然不是。“验证码”功能的出发点是好的，它的本质也是好的，只是，当它表现给用户时，选择的表现形式有问题。就像“广告”，本身并不是恶意的，只是当它以“强行弹出”的形式表现出来就变成了恶意。 有问题就应该解决，而且早有好的案例，例如Google的登录系统，就做得Very Good（不排除为Google做广告的嫌疑）! 打开Google网站的登录页面，你看不到“验证码”功能： 当你第一次输入密码错误时，也没有出现“验证码”功能，只作提示：个用户名登录失败后，再换另一个用户名又登录失败，也会出现“验证码”功能（同上）。 在正常情况下，你登录Google，几乎碰不到出现“验证码”功能的情况。 什么叫作“用户体验”——这就叫“用户体验”，这就叫好的“用户体验”。以用户为中心，不断改善系统，让用户获得对系统的良好体验；而不是以各种借口麻痹自己，无视用户。 Google用户登录也有“验证码”功能，但它并不“流氓”。因此，我要修改在第一段落中对本文标题的解释：带强制“验证码”验证功能的软件是“流氓软件”。同一件事情，两种不同的处理方法，得到的结果却完全不同。 所以，请不要为“流氓”找借口！ 当你不停地以同一用户，不同密码登录时，N次（登录频度不同而不同）以后，才出现“验证码”功能： 当用一