设计身份验证：需要验证码吗？

Question

我正在使用 Rails 3 下的 devise 身份验证插件。目前，我已禁用电子邮件确认，因此注册非常简单快捷。

我想知道是否需要某种验证码来保护网站免受机器人攻击。我想避免我的数据库充满假用户，尽管这不会对系统造成太大损害（除了填满磁盘！）。

如果强烈建议使用验证码，那么如果登录/注册仅限于 HTTPS 也是如此吗？机器人使用 HTTPS 吗？

Answer 1

我认为这是一种必要的罪恶。希望我们不必使用它，但我们并不生活在一个理想的世界中。图像旋转验证码绝对不美观，应该避免。

我认为您需要灵活对待验证码和您使用的验证码类型。该战略将会而且应该不断发展。

最初，当您没有很多用户时，您可以完全避免验证码。一旦事情开始加速并且您开始在系统中看到机器人，请使用隐形验证码（或反向验证码）。反向验证码基本上依赖于某些未被人类填写的字段来识别人类（通过使用 css 将其设置为不可见，在表单上放置一个人类无法看到的字段；机器人会找到该字段，填充它，如果字段被填充，您就知道它是不是人类；如果你愿意的话，可以说是蜜罐场）。

最终，当您的网站变得非常受欢迎并且成为机器人的目标时，您将采用更难的验证码，这种验证码不容易被破解，但用户可能会为了注册您非常非常受欢迎的网站而忽略它。

所以从没有验证码开始，然后进化。

Answer 2

我不明白机器人如何无法访问使用 SSL 的页面，因此如果您想避免机器人用户，请添加验证码或激活电子邮件确认。另一种非常非常简单的替代方案（如果您想进行注册/登录）可能是使用 OmniAuth（Devise 也支持）。

Answer 3

我推荐一个验证码，它是一个很好的机器人过滤器，不需要太多工作；如果您担心其有效性，请使用 reCAPTCHA - 它似乎具有相当的弹性并且集成良好。

至于 HTTPS 机器人 - 如果它们现在不存在，那么几个月后就会出现（随着 FireSheep 的出现，越来越多的网站正在考虑使用 HTTPS）。