验证码的设计
暂时只想到这些,不要相信我。我是个挖坑让程序员跳的产品狗。
设计验证码的目的是为了验证是机器还是人为,也用于校验是否本人操作。早前验证码有发邮箱,但现在注册体系一般以手机号做主体,所以主流还是发手机短信验证码。
1. 短验设计
短验内容:【短信签名】XXXX,#文本,发送场景,短验编号,危险提示#。如:【APP名字】1234,支付验证码编号15,请勿给他人,谨防受骗。
(1)一般把短信签名放在签名,用于标记该短信是哪个产品发出,如果用户短时间内操作多个产品的发短验行为加上发送短验有延迟问题,短信签名放在签名,能让人一眼辨认出短验隶属方,以防搞错。当然放后面也是常见做法,区别不大。
(2)短验长度一般为4或6个随机数字。至于为什么是4/6,是从系统安全性和人瞬间记忆综合考量,机器遍历4位验证码要10^4次,遍历6位验证码要10^6次,普通机器遍历耗时起码几分钟。4/6长度对于人的瞬间记忆来讲,体验较好,再长记忆就有点吃力了。
(3)考虑到短验发送有网络堵塞等原因,用户迟迟未收到,会短时间内多次获取,所以一般设置验证码有效期,在有效期内且短验未失效时,短验内容一致,防止用户已获取多次,但收到之前短验,校验失败。如用户第一次获取验证码(1234),网络延迟用户第二次获取验证码(5678)后收到短验1234,校验失败。一般做法是第二次短验仍是1234,那么即使发送延迟,也能校验成功。这种做法适用于不需要太严谨的场景。
对于一些获取一次就要重新生成短验的做法,可参考银行做法,在发送短验界面和短信内容写明短验编号,如下图。
(4)运营商/合作商及有些敏感时期,对短信文案有要求,一些文案是不能发送的,所以建议确定短信文案后跟运营商/合作商报备下,之前跟某甲方爸爸合作时就要求在短验后面加上诈骗提醒。提一句:短信文本超过70个字(符?)在一些手机上会分成2条短信发送,文案最好能简洁至上。
(5)有些不谋好意人会故意频繁请求获取短验,影响正常用户操作,来敲诈。所以一般会对同一IP,同一手机号等在某段时间做发送次数限制;如限制同一手机号24h内最多获取短验10次,超过次数提示24h后再试;
(6)价格:按照之前公司发送体量,对接的几家渠道商,通知类短信价格一般到0.02-0.04元左右,营销类短信价格在0.03-0.04元,爸爸级别的合作商要收0.1+元。
2. 交互设计
以注册验证码为例,别的场景大同小异;
一般注册页面的手机号和验证码在同一界面显示,如下图1。
注意点:
1. 焦点在手机号和验证码输入框内,自动唤起数字键,支持切换键盘(题外话:我这种懒人把卡号,手机号等存成常用语,支持切换键盘可直接粘贴,不用一字字输);
2. 输入框支持一键删除;
3. 校验手机号长度,长度=11位数字时,获取验证码按钮才点亮;
4. 纯数字输入框,不支持输入数字外字符;
5. 获取验证码后给予延迟提醒;
6. 在获取验证码请求成功后,将手机号置灰,不可修改;
7. 页面必填项有空值时,登录按钮置灰;
8. 输入框不要禁用粘贴功能,支持用户粘贴不用一个个输入数字;
9. 输入框有默认提示文案;(这个特别适用于千奇百怪的密码要求,有些网站密码不支持特殊字符,错误提示还不写明原因,可以用默认文案告知设置要求)
10. 若同一手机号短时间内获取次数超过阈值,可增加难度,如增加图文验证码,图文校验通过后才能获取短验;
有时注册项太多和增加频繁获取验证码的难度(输入手机号和获取短验是2个页面,多1个页面就多个难度但治标不治本)会设计成分页,如下图2;
多页设计也适用输入项太多的场景,一来容错率高防止错一项,所有输入框重填;二来输入项太多,没有操作欲望;(如果非要一页显示,希望输入框失去焦点时能自动入库,用户下次进入页面能回显)
多页设计注意点:
1. 输入正确格式的手机号后,自动获取验证码,无需再让用户操作;
2. 验证码获取页显示手机号,可方便用户检查是否填错;
3. 若分多页,告知共有几页,当前在第一页,如第一页, 第二页 ,第三页...;
3. 短验的发送逻辑
1. 我们直接跟渠道商对接:我们告诉渠道商要给某手机号发短验,渠道商告诉运营商,运营商发短信到用户手机,如路径1;
2. 我们跟合作商对接:我们告诉合作商要给某手机号发短验,合作商在告诉渠道商-->运营商-->手机,如路径2;
合作商和“我们的产品”的关系可理解成集团和子公司的关系。一来集团体量大议价权强,由集团和渠道商合作可谈下更低更好的价格/服务;二来若集团有多个子公司要和渠道商合作,每个子公司都要对接流程麻烦,一般合作是:集团谈合作,子公司适用。注:验证码的生成规则:我方生成或合作商/渠道商生成,并不是短验都是自己程序生成的。
4. 对账
以路径1为例,我们告诉渠道商要给10个手机号发短验,渠道商会立即(同步)反馈我们收到要发10条的要求【接收请求成功】,10s后(异步)告诉我们他已经通知运营商要发8条短信了,20s后运营商告诉渠道商,渠道商告诉我们5条短信已发送到手机【发送短信成功】。
所以核对发送数量时要明确核对的是发送请求成功数量,还是发送短信成功数量;
一般我们说短信发送成功,是指我们告诉合作商/渠道商要发短信成功,并不代表用户收取验证码成功。因为短验发送路径较长,每一步出错都会导致用户收不到,并不是收不到短信,就是有bug。
5. 短信死活收不到的原因及解决方案
1. 手机欠费,停机(用户自行检查);
2. 被拦截软件拦截了(在拦截短信里找);
3. 信号不好(换个信号好点的地方/手机呗);
4. 运营商黑名单(找渠道商或运营商核实后解除黑名单);
5. 手机问题(换个手机试试);
6. 遇见鬼了(找程序员解决);
7. 其他忘了,想起来再加;
6. 腹黑谣言时刻
有时短验被频繁获取,可能是坏坏的渠道商在冲量。
短信成本可高可低,回扣水分很大。
短信验证码现在在我们的生活当中应用越来越广泛,几乎所有的网站,软件等在注册登录等功能上都需要通过发送短信验证码的方式来验证用户的身份和确保非机器人。
而在设计短信验证码的过程中,并不是说只需要简单实现发送一个验证码就行,还需要注意到其他的譬如 安全问题,成本问题 等等,主要有以下几个大方面:
一.署名
现在的短信验证码设计中, 一般都会把APP或者网站名放在开头并用中括号括起来 ,用来表明是哪个APP或者网站发送的验证码。
如果一个用户短时间申请登录或注册路多个软件,那么由于短信的发送延迟问题,把署名放在头部能让用户一眼能看出该验证码属于哪个APP,避免将一个软件的验证码错认为另一个软件,出现错误。
二.验证码长度
目前的短信验证码长度一般会在4位到6位,6位居多,为什么会是四位到六位呢?
从安全方面来讲, 普通机器遍历四位验证码需要10的4次方,六位验证码则需要10的六次方,耗时至少几分钟,而验证码的有效期也仅仅几分钟,这点后面再讲。
从人的方便性和记忆来讲,4到6位的验证码对于普通人来说,刚好能够记住,再长就会有些吃力了。
三.验证码有效期
为什么要设置验证码有效期?
第一,上一点提到,为了防止机器遍历验证码来达成攻击目的,在机器完成遍历之前使验证码失效即可有效防止。
第二,由于发送验证码存在发送延迟的现象,如果用户申请发送验证码之后未收到验证码,用户就会短时间多次申请验证码,在有效期内申请的验证码相同,防止用户申请多次验证码后成功之前的验证码但校验失败。
但这种方式只适用于一些不算太严谨的场合,像银行转账的相对严谨的场合来说,申请获取一次验证码就会重新生成一次。
四.限制验证码申请
有些人会利用短信验证码的方式对他人进行骚扰,通过频繁的对他人的手机号进行请求短信验证码的方式,影响他人的正常使用,所以对于同一APP来说,通常会存在六十秒钟只能请求一次。
一是为了避免上一点中提到的延迟问题。
二就是为了防止有心人通过验证码的方式骚扰他人,并且很多APP都会对同一手机号在某个时间段内的发送次数进行限制,例如在二十四小时内,同一手机号只能申请五次,超过次数后就会拒绝发送并提示二十四小时后再试。
五.末尾加入防诈骗
不怀好意的某些人会通过短信验证码的方式进行诈骗
例如:在短信中写上您的银行卡正在进行转账,然后如有疑问请点击链接或拨打某手机号的方式,让你进入他的圈套之中,这种事情屡见不鲜。
所以,短信验证码后加入诈骗提醒,例如提醒用户,正常短信中并不会出现链接或手机号,也不会主动拨打用户手机号,来防止有心人利用验证码进行诈骗
六.说明验证码用途
在短信中说明该验证码的用途,一是提醒用户该验证码是用来干什么的,二是防止一些人盗用他人的手机号来获得验证码,提醒号主有人在利用他的手机号干些什么事情,帮助用户提高警惕。
以上就是我总结的全部和验证码设计相关的注意点,期待你的点赞
在刷票软件盛行的环境下,验证码的出现可以说大量减少了这些软件对网站的访问和恶意注册等现象的发生,但是有时候太严密的验证码设计会让用户也受到伤害,下面我们就一起来思考一下,验证码功能设计的意义。
思考一:不要将责任推卸给用户不知道你有没有想过,让用户辨别和输入扭曲的验证码,其实是因为服务提供方的能力欠缺,无法静默区分人和机器,而输入验证码本身,这一操作对用户来说其实并无价值。
有一次我接到用户打来电话,抱怨自己搞不定验证码。
我向他解释我们正在被攻击,所以临时调高了验证码的级别。
电话的后,我习惯性地向他道歉,用户却很体贴地安慰我说没必要道歉,毕竟被攻击不是我们的错。
当时我心头一热,脸上一红。
他说的没错,被攻击确实不是我们的错,但更不是用户的错,让他们付出成本,花费时间,去辨别图片里的那个圆圈究竟是O还是0还是6,其实就是让他们承担我们本应该承担的责任。
举一反三,如果再激进一点考虑,我们的软件服务中还有不少推卸责任的设计,比如:让用户在成千上万的商品中筛选和比价,比如:各种复杂的界面参数设置和兴趣选择。
要是想得再发散一点,所有的银行账户密码似乎也没有必要,超市排队也是一样。
如果用户不需要付出筛选和比价的成本,或不需要花费精力记住账户密码,却可以享受到同样高质量的服务,是不是更好呢?基于这样的思考,我们是不是应该马上去掉这些推卸责任的设计,比如:想出更复杂的方案,替代现有的验证码机制呢?这是关于验证码的二个思考。
思考二:方案选择的平衡有效的设计确实未必是好设计,比如:我自己曾经参与设计的产品中也用到验证码,而且在某些特殊阶段(像刚才提到的被定向攻击),我们还会升级验证码机制,让验证码出现的频率更高,而且更加难以辨认,从而在某些关键入口抵抗一些有针对性的攻击。
这一策略是有效的,但对用户的伤害也很大,升级验证码机制后,用户登录过程中耗费的时间会显著增加,通过率也会下降,还有大量的用户抱怨一股脑地涌进来。
然而从服务提供方的角度来看,它却用低的成本快速地解决了当时面临的问题。
电脑培训http://www.kmbdqn.cn/认为这是产品设计方案选择过程中不得不做出的“平衡”,很多时候我们没有办法一时间实施对用户的完美方案,这就需要在产品利益和用户利益之间,找到微妙的动态平衡点。
要知道一切客观存在的事物均有其客观存在的合理基础。
所有的交互,背后都是功能;
所有的功能,背后都是场景;
所有的场景,背后都是需求;
所有的需求,背后都是价值;
所有的价值,背后都是业务;
一般情况下直接在<img>标签中SRC一下地址就可以显示验证玛,所以我们可以用动态改变地址的方式来重新刷新验证码
<script language="JavaScript">
function reloadImage(url)
{
document.formName.img1.src = url
}
</script>
<img name="img1" src="url地址"><a href="JavaScript:reloadImage('url地址')">刷新</a>
(1).验证码一般是防止批量注册的,人眼看起来都费劲,何况是机器。二像百度贴吧未登录发贴要输入验证码大概是防止大规模匿名回帖的发生目前,不少网站为了防止用户利用机器人自动注册、登录、灌水,都采用了验证码技术。所谓验证码,就是将一串随机产生的数字或符号,生成一幅图片, 图片里加上一些干扰象素(防止OCR),由用户肉眼识别其中的验证码信息,输入表单提交网站验证,验证成功后才能使用某项功能。
(2).一般注册用户ID的地方以及各大论坛都要要输入验证码
(3).常见的验证码
1,四位数字,随机的一数字字符串,最原始的验证码,验证作用几乎为零。2,CSDN网站用户登录用的是GIF格式,目前常用的随机数字图片验证码。图片上的字符比较中规中矩,验证作用比上一个好。没有基本图形图像学知识的人,不可破!可惜读取它的程序,在CSDN使用它的第一天,好像就在论坛里发布了,真是可怜!
3,QQ网站用户登录用的是PNG格式,图片用的随机数字+随机大写英文字母,整个构图有点张扬,每刷新一次,每个字符还会变位置呢!有时候出来的图片,人眼都识别不了,厉害啊…4,MS的hotmail申请时候的是BMP格式, 随机数字+随机大写英文字母+随机干扰像素+随机位置。
5,Google的Gmail注册时候的是JPG格式,随机英文字母+随机颜色+随机位置+随机长度。6,其他各大论坛的是XBM格式,内容随机。
(4)意义:不少网站为了防止用户利用机器人自动注册、登录、灌水,都采用了验证码技术。所谓验证码,就是将一串随机产生的数字或符号,生成一幅图片,图片里加上一些干扰象素(防止OCR),由用户肉眼识别其中的验证码信息,输入表单提交网站验证,验证成功后才能使用某项功能。
而验证码制作得歪歪扭扭,是因为现在有软件可以识别简单形状的验证码,一些发小广告,恶意注册的人,就有机可乘,也会影响你使用这个软件或者网站的体验了。
所以有利有弊。
呵呵,朋友欢迎采纳我的回答。
//文件头...
header("Content-type: image/png")
//创建真彩色白纸
$im = @imagecreatetruecolor(50, 20) or die("建立图像失败")
//获取背景颜色
$background_color = imagecolorallocate($im, 255, 255, 255)
//填充背景颜色(这个东西类似油桶)
imagefill($im,0,0,$background_color)
//获取边框颜色
$border_color = imagecolorallocate($im,200,200,200)
//画矩形,边框颜色200,200,200
imagerectangle($im,0,0,49,19,$border_color)
//逐行炫耀背景,全屏用1或0
for($i=2$i<18$i++){
//获取随机淡色
$line_color = imagecolorallocate($im,rand(200,255),rand(200,255),rand(200,255))
//画线
imageline($im,2,$i,47,$i,$line_color)
}
//设置字体大小
$font_size=12
//设置印上去的文字
$Str[0] = "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
$Str[1] = "abcdefghijklmnopqrstuvwxyz"
$Str[2] = "01234567891234567890123456"
//获取第1个随机文字
$imstr[0]["s"] = $Str[rand(0,2)][rand(0,25)]
$imstr[0]["x"] = rand(2,5)
$imstr[0]["y"] = rand(1,4)
//获取第2个随机文字
$imstr[1]["s"] = $Str[rand(0,2)][rand(0,25)]
$imstr[1]["x"] = $imstr[0]["x"]+$font_size-1+rand(0,1)
$imstr[1]["y"] = rand(1,3)
//获取第3个随机文字
$imstr[2]["s"] = $Str[rand(0,2)][rand(0,25)]
$imstr[2]["x"] = $imstr[1]["x"]+$font_size-1+rand(0,1)
$imstr[2]["y"] = rand(1,4)
//获取第4个随机文字
$imstr[3]["s"] = $Str[rand(0,2)][rand(0,25)]
$imstr[3]["x"] = $imstr[2]["x"]+$font_size-1+rand(0,1)
$imstr[3]["y"] = rand(1,3)
//写入随机字串
for($i=0$i<4$i++){
//获取随机较深颜色
$text_color = imagecolorallocate($im,rand(50,180),rand(50,180),rand(50,180))
//画文字
imagechar($im,$font_size,$imstr[$i]["x"],$imstr[$i]["y"],$imstr[$i]["s"],$text_color)
}
//显示图片
imagepng($im)
//销毁图片
imagedestroy($im)
?>
