驗證碼場景和形式

由於技術的發展、黑色產業也隨之發展。用戶的網路帳號安全以及平台的正常運行受到了極大的威脅。正常用戶的正常行為，機器可以每秒運行很多次。比如暴力破解用戶密碼，比如為投票刷票。類似的行為使用戶受到損失，並且干擾了一個平台的正常運行。

在最初網站設置了一些次數限制，比如：

1、用戶輸入三次錯誤密碼則鎖定帳號一段時間，禁止登錄。

2、用戶 24 小時內只允許對單獨投票投 n 次。

而此類設置對用戶不夠友好，也有足夠的邏輯漏洞被鑽。比如：

1、用戶忘記正確密碼，限制其登錄會造成用戶流失。

2、他人知道用戶帳號，惡意試錯導致正常用戶無法登錄。

3、用戶 24 小時對單獨投票有次數限制，那註冊多個帳號進行投票或單個帳號對多個投票進行投票。

為對應此類事件，其實最核心的問題是：要驗證使用帳號的是機器還是真人，而且是不是特定的人。

判定機器還是真人，本質上是一個圖靈測試。判定是不是特定的人，大多數作用是防止被盜號而產生的風險。

在任何出現影響用戶和平台損失可能性的地方，都需要驗證碼來判定，主要出現場景在：

1、註冊

2、登錄

3、找回密碼

4、投票

5、支付

6、輸入內容（評論、私信、留言等）

7、修改重要帳號信息

8、搜索

目前驗證碼主要分三種形式：

1、鍵盤驗證。用戶通過鍵盤輸入內容完成驗證。

2、滑鼠驗證。用戶通過點擊滑鼠完成驗證。

3、簡訊驗證。向密保手機發送驗證碼簡訊，用戶輸入簡訊驗證碼完成驗證。

鍵盤驗證和滑鼠驗證主要作用是驗證該賬號使用者是人還是機器。簡訊驗證主要作用是驗證該帳號是否為特定人，及帳號的主人。簡訊驗證主要使用場景在支付場景上，比如直播打賞。

要注意驗證碼並不是所有情況都要加，要判定該帳號存在異常才需要驗證。比如在直播平台的打賞有很多引流效果，如果大額打賞需要不斷的驗證，那麼引流不到位會造成用戶的損失。相應造成一定的用戶流失使平台受損。

比如：

用戶A，在常用登錄地點登錄帳號，則登錄不需要任何驗證碼。用戶行為無異常，則輸入內容不需要驗證碼。支付行為無異常，則不需要簡訊驗證碼。

用戶A，在非常用登錄地點登錄帳號，登錄需要非簡訊驗證。用戶行為無異常，則輸入內容不需要驗證碼。支付行為無異常，則不需要簡訊驗證碼。

用戶A，在非常用登錄地點登錄帳號，系統標記該用戶為土豪用戶，則直接調取簡訊驗證方式。用戶行為無異常，支付行為無異常，就不在出現任何驗證碼。

以登錄為例，目前輸入驗證碼場景有三種常見形式：

1、輸入帳號後，系統自動判定是否在常用登錄場景以及其他的判定條件，如果需要驗證碼則自動出現驗證提示。

2、輸入帳號密碼後，點擊登錄按鈕，系統再進行判定，如果需要驗證碼，則阻止登錄，出現驗證提示。

3、輸入帳號密碼後，點擊智能判定，系統進行判定，入股哦需要驗證碼，出現驗證碼提示。如果不點擊智能判定，登錄按鈕點擊無效。點擊後提示你點擊智能判定。

一個反面教材：

輸入帳號密碼後，開始驗證，如果帳號密碼錯誤，雙框標紅，帳號框下出現文案：帳號密碼錯誤。但是被滑動驗證擋住。如果帳號密碼正確，則自動登錄，無需點擊登錄按鈕。

參考資料：

驗證碼何時可以退出歷史舞台？

驗證碼 - 搜索結果 - 知乎