探讨一下。
如何设计验证码,复杂性应该多高?
是否有必要确认密码?
是否有必要加密码提示问题?
你喜欢登录名为邮箱还是自定义的字符?
你需要这本书:
Web表单设计
http://book.douban.com/subject/488610...
我觉得是这样
- 验证码不应该首次就出现在表单中,比如密码输入三次以后再出现验证码
- 注册时就没有确认密码,这样做需要几个保证,要么你会在注册时把密码发到用户邮箱,要么你提供了方便的密码找回手段。twitter也是这么设计的
- 密码提示问题个人很反感,现在也不常见了
- 邮箱登录是大势所趋,可以两者兼顾
验证码这个纯粹是一个技术问题,而不是设计问题。目的是为了识别机器程序。验证码的复杂性要有多高其实是一个博弈过程。。如果你的网站不怕私有爬虫抓取,不怕恶意广告,不怕别人恶意提交什么的,你完全不需要加验证码。
即使有验证码,有些也是会被破解的,只是难度问题。难度大了,投机的成本就高了。这样就减少了被抓取或恶意广告的概率,同时也破坏了真实用户的体验。
前段时间写的一篇破解验证码的文章:http://www.iteye.com/topic/993538
1、验证码是一个反人类的产物,在阻止恶意操作的同时也给正常操作带来了麻烦。
最近遇到的一个例子:用手机浏览器访问淘宝,在线与客服交流时需要输入验证码,而验证码图片在这浏览器下默认质量是被再次压缩的,几乎看不清,无法进行正常交流。
2、如果有提供找回密码的途径,确认密码这步可以忽略
3、需要密码提示是是反社会的产物,不经常使用绝对容易忘记,要不要再来个找回密码提示答案的链接?我见过更厉害的,有个论坛每次登录都要回答密码提示问题,说是为了避免盗号⋯⋯
4、登录名喜欢用邮箱,用户名总会遇到被人注册的情况。邮箱是自己的,对于越来越多的社会化网站,邮箱是他们间资源共享的桥梁。
我希望有朝一日,我们能避免注册,实现 OpenID 的彻底解放。