飘易博客(作者:Flymorn)
订阅《飘易博客》RSS,第一时间查看最新文章!
飘易首页 | 留言本 | 关于我 | 订阅Feed

验证码的产品设计及意义

Author:王杰瑜 Source:王杰瑜
Categories:电脑技术 PostTime:2009-3-22 13:48:23
正 文:
验证码的英文名称为“CAPTCHA”,这是只是一个缩写,全称是:Completely Automated Public Turing test to tell Computers and Humans Apart。 意思是:用来区分人类和电脑的全自动图灵测试。据维基百科的描述,验证码出现于十年前,是为了防止机器(程序)假扮成人,去占用原本为用户准备的资源。比如,利用脚本程序不断地模拟尝试登录以便破解账号密码,或者利用恶意代码在 BBS 中发布大量广告或诈骗内容。

这样我们就可以看出验证码的设计目的是:区分人与机器,在正常的流程中增加一道门槛,人可以通过这道门槛,而机器将被拒之门外。

从上来看,验证码起到了以个“防护者”的角色,防止恶意破解密码、刷票、论坛灌水、刷页。这也理所应当是一个很好的设计。但是,从某种意义上来讲的话,未必是一个好设计。因为“防护者”的角色这个件事情本应该就是服务提供方应该尽到的责任,而服务方却将其成本转移到了用户的身上,增加了用户的操作成本。

这件事引发了我的思考:

    验证码的演进
    不要将责任转移给用户
    方案选择的平衡

验证码演进

目前市场上可见的验证码大概如下几种:

    字符图片验证码
    广告验证码
    问题验证码
    物品图片验证码
    短信验证码
    短信语音验证码

可以看出,验证码也在朝着更安全,更便捷的方向发展着。而随着技术的发展,现在更是朝着智能化的方向发展。

Google 在两三年前发布了一个叫作reCAPTCHA 的解决方案,本着“对人类友好,对机器难搞”的原则,用户只需要简单点击一个“我不是机器人”的复选框就可以,不再需要分辨歪歪扭扭的验证码。reCAPTCHA 通过收集用户环境和行为数据,综合分析、智能区分人和机器。 除此之外,阿里也发布了自己的滑动验证码,还有国内一些第三方的验证码服务也在快速迭代进化。毕竟 Google 的服务不太稳定,他们还是获得了自己的生长空间。 这些更高级的验证码服务,大部分都在标榜自己的“人工智能”属性,不管真假,这确实是个非常典型的机器学习应用场景,提供各种行为特征,训练算法去分辨人和机器。

把这个思路放大了来看:过去由于技术,成本的限制,验证码这个设计变得理所应该。但是随着技术的演技,成熟。我们再把过去由于服务方的成本考虑,而把责任推卸给用户的那些设计拿出来重新思考设计,再搭配现有的成熟的技术,也许带来革命性的用户体验。

用新方法解决老问题,或许不需要什么翻天覆地的变化,只是撬松一两块被惯性封印的砖,就已经算得上强有力的推动了。这是验证码给第一个启发。

不要将责任转移给用户

从上文看来,让用户识别输入验证码,其实是服务方因为技术,成本原因,无法区分任何机器的操作,而将这个责任转移用户,对于用户来说,这件事情上没有什么价值,还增加了操作成本。

你是否遇到过这样的一个场景:在输入验证码的时候,经常反复操作,就是搞不定。

从产品经理的角度上来说我们可能会这样跟用户解释:为了保证服务质量的安全提供,我们的验证码级别会相对较高。

用户能理解吗?显然是不能的。我们的能力问题,却让他们付出成本,花费时间去识别图片里的圆圈是0还是O,让他们承担了我们本来应该承担的责任。

举一反三,如果再激进一点考虑,我们的软件服务中还有不少推卸责任的设计,比如让用户在成千上万的商品中筛选和比价,比如各种复杂的界面参数设置和兴趣选择。要是想得再发散一点,所有的银行账户密码似乎也没有必要,超市排队也是一样。

如果用户不需要付出筛选和比价的成本,或不需要花费精力记住账户密码,却可以享受到同样高质量的服务,是不是更好呢?

基于这样的思考,我们是不是应该马上去掉这些推卸责任的设计,比如想出更复杂的方案,替代现有的验证码机制呢?这是关于验证码的第二个思考。

方案选择如何平衡?

很多情况下,有效的设计并不是一个好的设计。

比如我之前设计的产品也用到了验证码,由于我们是做金融产品的,在风控上我们会做的规范和严谨。

而且在某些特殊阶段(比如定向攻击),我们还会升级验证码机制,让验证码出现的频率更高,而且更加难以辨认,从而在某些关键入口抵抗一些有针对性的攻击。

这一策略是有效的,但对用户体验伤害也很大,升级验证码机制后,用户登录过程中耗费的时间会显著增加,通过率也会下降,还有大量的用户抱怨一股脑地涌进来。

然而从服务提供方的角度来看,它却用最低的成本快速地解决了当时面临的问题。这是产品设计方案选择过程中不得不做出的“平衡”,很多时候我们没有办法第一时间实施对用户的完美方案,这就需要在产品利益和用户利益之间,找到微妙的动态平衡点。

所以让一个产品经理讲用户价值其实不难,天花乱坠说完美方案也不难,难的是在实际工程里做出合适的决定。做工程大部分时候都满身污垢,能在其中保持镇定,保持平衡并不容易。

我们当时在扛过了几轮攻击之后,投入了一些技术资源,引入了更多静默监测的策略。比如记录用户密码、记录用户上次登录的位置 / 设备,或通过一些页面动作来做出判断,保证大部分老用户和一部分新用户不会受到验证码的打扰。

我们并没有做到完美,因为资源永远有限,我们需要把它更多投入到我们的竞争优势上,所以还是保留了验证码机制。在某些情况下还是用这种原始、粗暴,但有效的手段来解决问题——这就是我们选择的平衡。这是我对验证码的最后一个思考。

如此看来,一个简单的验证码背后其实并不简单。它的设计初衷,发展演变,存在原因都值得我们深思。通过这个思考也给我做产品带来了几个启发:

    所有的设计,都是要面对用户,背靠技术的。未来设计,就是紧跟科技发展,设计出“有增强作用的智慧型物品”,让科技为人服务的过程。在未来,不懂科技,就不懂设计。 旧问题+新科技,也会产出颠覆性的产品。
    在如此复杂的世界,设计所要做的,不是变得简单,而是综合各方因素,资源。让设计基于各方利益的一个平衡点,以“友好”的方式,交付给用户。
作者:王杰瑜
来源:王杰瑜
版权所有。转载时必须以链接形式注明作者和原始出处及本声明。
Tag:验证码 浏览(次) 我要评论(7条)
上一篇:09年4月1号:愚人节
下一篇:Google PR开始局部更新…
7条评论 “验证码的产品设计及意义”
1 冰冰
2009-3-22 14:02:10
构思可以。。
2 李彦宏
2009-3-22 19:19:20
是不错的啊。。。。。。。。。。。。。
2009-3-27 13:30:44
期待你来开发!!!!
4 wakan
2009-5-12 9:44:25
但是你这个问题式验证不也得先建个问题库? 不然计算机自己不会提这种问题吧
5 44
2010-3-11 22:57:34
关健是第一次验证码不对,验证码就换了
6 李眼红
2012-5-15 21:48:14
用皕应的图形验证码HCaptcha吧,还有手机短信验证码 HSMSCaptcha http://www.hinsite.com
7 hoho
2012-10-13 21:40:42
SB,个人认为这种问问题的验证方法最SB,你的题库难道是无限的?我把破解程序注入你大部分问题的答案不就得了?而且超及不友好,只有一些SB网站才会这么用。
发表评论
名称(*必填)
邮件(选填)
网站(选填)

记住我,下次回复时不用重新输入个人信息
© 2007-2019 飘易博客 Www.Piaoyi.Org 原创文章版权由飘易所有