在登录表单上添加验证码是不道德的吗？

Question

在最近的一个项目中，我在登录表单上进行了验证码测试，以阻止可能的暴力攻击。

其他同事的立即反应是要求删除它，说它不适合这个目的，而且在那个地方看到验证码很奇怪。

我在注册、联系、密码恢复表单等上看到过验证码图像。因此，我个人认为在这样的地方放置验证码并不合适。嗯，它显然会稍微降低可用性，但这只是时间问题和习惯问题。

由于缺乏验证码测试，人们将不得不设置某种黑名单/帐户锁定机制，这也有一些缺点。

这对您来说是一个不错的选择吗？我是不是有点迷上了验证码，需要某种团体治疗？

提前致谢。

Answer 1

只需在给定用户登录尝试失败的情况下添加验证码测试即可。这是许多网站目前所做的事情（例如所有流行的电子邮件服务），并且侵入性要小得多。

然而，只要攻击者无法破解您的验证码，它就可以完全阻止暴力攻击。

Answer 2

这本身并不是不道德的。可用性很差。

考虑安全隐患：用户会认为登录非常耗时，并且会：

• 根本不可能使用您的系统 永远
• 不会注销您的系统并使打开的会话无人看管。

考虑其他形式的暴力攻击检测和预防。

Answer 3

验证码并不是登录表单中非常传统的选择。针对暴力攻击的传统保护措施似乎是帐户锁定。正如您所说，它有其缺点，例如，如果您的应用程序容易受到帐户枚举的攻击，那么攻击者可以轻松执行拒绝服务攻击。

Answer 4

我倾向于同意你同事的观点。在您无需获得提交数据授权的表单上，验证码可能是必需的，因为否则垃圾邮件机器人会轰炸它们，但我看不出您通过将验证码添加到登录表单来防止哪种滥用？

验证码不提供任何形式的安全性，而其他选项（例如黑名单）则会提供这种安全性。它只是验证用户是一个人，并希望用户名/密码字段能够验证这一点。

如果您想防止暴力攻击，那么几乎任何其他形式的保护都会更有用 - 例如，如果请求太多，则限制请求，或者如果多次输入错误密码，则禁止 IP。

另外，我认为您低估了对可用性的影响。许多浏览器提供了许多实用程序来处理用户名/密码表单，如果添加验证码，所有这些实用程序都会变得毫无用处。

Answer 5

我想谈谈标题中的问题——道德问题。

在以下情况下，我认为验证码是不道德的：

1. 它排除了那些有身体或精神障碍的人参与应用程序，而应用程序的主要部分和目的不会做出这样的排除。

2. 验证码机制使用户接触到超出应用程序中通常预期的令人痛苦的语言或图像。

   验证码机制使

3. 向用户呈现的验证码机制在某种程度上具有欺骗性或误导性。

   向用户呈现

如果验证码的目的是出于对非人类的偏见而排除真正有感知能力的机器智能参与，则也可能被认为是不道德的。当然，技术还没有发展到这个问题的水平，而且，当它确实成为一个问题时，我预计人类排除门将更加可行和普遍。

Answer 6

许多流行（最常用）的邮件服务器没有它？！