需要关于易于使用但安全的验证码的建议/想法

Question

首先，我很清楚与验证码相关的安全性/可用性权衡，并且不需要对此进行任何解释。

我知道 reCAPTCHA 是验证码技术中最先进的，但我们只是不想在我们的网站上使用它，因为用户在阅读扭曲的单词时面临困难。我们的网站是一个为学生提供实时在线课程的学习门户，因此用户将是学生（即将毕业的证书级别）和教师。

我一直在寻找不同的想法，并发现了一些好的想法，例如：

• http://www.usereffect.com/topic/2009-07-13-captcha-is-there-a-更好的方法。

• 提出对人类来说很容易的问题，例如“哪个味道更好或”。但我需要存储多少这样的问题才能安全呢？

我问这个问题的目的是为了获得尽可能多的想法。我认为在最终确定之前，我仍然可以分析很多用户友好但安全的方法。

请根据垃圾邮件机器人的工作方式强调您建议的方法的优缺点。我不太了解他们的许多优点和缺点。

谢谢，

桑迪潘

Answer 1

阅读扭曲的单词是一回事，但要求合法用户输入这样的内容可能会变得非常烦人。因此，不要因反垃圾邮件措施而给用户带来负担，这一点非常重要。

Damien Katz 使用否定验证码来阻止垃圾邮件机器人。这种技术也称为蜜罐领域，易于实现，不需要用户做任何事情。

Ned Batchelder 描述了更复杂的蜜罐实​​现。它涉及随机字段名称和哈希值，以确保机器人没有篡改表单。

他在文章中指出：

垃圾邮件发送者制作的软件不是可以以任何形式发布的软件，而是可以以多种形式发布的软件。

因此，只需要一个简单的技巧就可以迷惑大多数垃圾邮件机器人。再多一点魔法就能对付剩下的机器人。

---

关于芝麻街解决方案，提出简单的问题或从列表中选择正确的动物：这些问题对于垃圾邮件机器人来说很难回答，但对于用户来说也可能很困难。特别是如果您的网站拥有国际受众，第一语言不是英语的人可能难以理解这些问题。对于学生观众来说，这可能不是问题，但需要记住。

Answer 2

我的一位同事实现的一个方法是呈现一系列带有复选框的随机图像，例如茶杯、船、猫等，并要求用户勾选所有猫（比如说），或者船和树。

这些图像实际上是相当简单的两种颜色图标，但如果需要，您可以使用真实照片。

只需确保您的图像名称不能代表其内容即可。

Answer 3

首先，ASP.NET 有一个控件，它并不是真正的“验证码”，但实际上恰恰相反 - 一个非常简单的脚本，可确保访问程序可以评估 JavaScript。这摆脱了除了最复杂的抓取工具之外的所有内容，特别是如果 JavaScript 测试的结构会发生变化（即它不仅仅是 var y = 2; var x=y+(来自服务器的随机数); verify(x))

Google和 Craigslist 都使用电话号码，这要求讨厌的机器人至少可以访问支持短信的号码（或语音识别 + 语音线路）

我最喜欢的验证码是点击计算机无法识别的内容，例如挑选动物图片简短列表中的一只猫。

考虑可访问性和易于实施非常重要，reCAPTCHA 在这方面做得很好。