“'验证码'等于'流氓软件'”这句话本身存在逻辑问题,因为“验证码”并不是一个软件,而是软件里的一个功能。这句话的实际意思是,带“验证码”功能的软件是“流氓软件”。
请不要激动,且听我道来。
在很久很久以前(其实并不久),你登录一个系统时,只需要输入“用户名”、“密码”,然后“回车”就可以了,费不了多大劲。后来,出现了一些不良份子(多半是因为闲得无聊),利用程序反复登录网站,以获取他人密码,或使系统超负荷甚至崩溃。为了应对这样的危机,有人发明了“验证码”。
最常用的“验证码”功能,是让用户识别一张图片上的数字和字母,然后将识别的结果填入一个输入框,和其它信息一起提交给系统。图片上的数字和字母就是“验证码”。系统在执行其它操作之前,先验证用户输入的“验证码”是否和图片上的一致。如果不一致,则直接返回到客户端,不进行余下操作。直到现在,图像识别技术离成熟也还有很远,对图片上文字的识别率非常低。所以,恶意程序几乎不可能通过图片“验证码”的验证。即使偶尔能识别一次,也不可能多次连续通过“验证码”的验证。这样,利用程序反复登录,以获取他人密码的可能性几乎等于零;而且,系统只进行一次“验证码”验证,就将恶意登录打回,极大地减轻了系统负担。这样,可谓一举两得呀!
除了图片“验证码”还有其它形式,这里就不多说了。但目的都是一个,就是让人可以识别,而让机器无法识别,以防止恶意程序的攻击。
既然“验证码”功能这样好,怎么会跟“流氓软件”联系起来的呢?
“验证码”功能确实好,一上阵就所相匹敌,战无不胜!软件设计人员纷纷请它来助阵,以提高他们系统的防御能力。于是,到如今,你登录一个系统时,不只要输入“用户名”和“密码”了,你还要输入“验证码”。“用户名”和“密码”都是你记住的,很容易输入。而“验证码”是随机的,每次你都要去识别它。“验证码”功能并没有一个统一的标准,各个系统各显神通。有的加上颜色,有的加上背景图案,有的字体大小不一,有的角度不同等等,以提高机器的识别难度。机器的识别难度是提高了,可是,人的识别难度在添加。有些“验证码”常常不是第一次就能识别正确,比如数字“1”和字母“l”就很难区分,有的字母大写和小写也很难区分。虽然有些系统提供刷新“验证码”的功能,以方便用户选择一个容易识别的“验证码”进行识别。但是,这并没有从本质上解决问题,反而让用户进行了更多的操作。“验证码”功能带来的本质问题是:每次登录时都要多一个输入“验证码”的操作,而“验证码”的随机性和不易识别性,又使用输入“验证码”操作本身变得愈加艰难和痛苦!
“验证码”功能,强迫用户进行不喜欢且不必要(以前就没有)的操作,而且没有任何选择的余地,霸道得很。用户虽然咬牙切齿,却无能为力。所以,它对用户来说,却成了一个恶意功能。正规软件加上恶意功能就成了“流氓软件”。
那么,前面花大段落描述了“验证码”功能对系统安全的好处,难道都是骗人的吗?
当然不是。“验证码”功能的出发点是好的,它的本质也是好的,只是,当它表现给用户时,选择的表现形式有问题。就像“广告”,本身并不是恶意的,只是当它以“强行弹出”的形式表现出来就变成了恶意。