我的模拟手机号接收验证码没有绑定过微博,但是为什么我注册的时候发的验证码输入进去过后给我显示的是验证码错误,我以
点击联系发帖人
时间:2016-05-14 18:15
新浪微博登录时,只有输对密码后才需要输入验证码,是不是不好的设计?
登录时,输入完后,就可以直接点“登录”了,不需要;只有输对了密码,才会被要求输入验证码;而输错了密码,再继续输入密码登录,却不需要验证码。
从防止 robot 破解密码的角度来看,我的疑问如下:
(1) 输对了密码,此时再输入验证码,意义何在?此时,攻击者可以手输入验证码,然后就可以登录了吧?
(2) 输错了密码,再次输入密码登录,仍然不需要验码。如何防止 robot 反复重试?
测试环境:
Fedora 15 下 Chrome 16.0.912.63 和 Firefox 12.0
【的回答(6票)】:
列位,在那里设置验证码的意义不在于安全方面。而是在于服务器性能的利用方面。
如果按照之前的设定方法,每刷新一次页面,服务器从接到请求开始,就需要为这个请求配置一个验证码。
做过网站验证码的人都知道。验证码的生成过程是:由服务器先生成一组随机字符串;
由字符串生成一个临时图片,jpg或者png格式,大小为1Kb上下;再经过网络,将字符串传给用户;即便是图片大小仅有1Kb左右,但如果是大量生成,也会对服务器的性能造成很大的影响。
设想,如果有人利用僵尸网络大量、频繁地刷新验证码,那么肯定会影响服务器的正常功能。但如果先验证用户身份,再发出验证码请求,那么至少服务器知道是哪个用户在捣乱,这样屏蔽掉这个用户,就达到了防止刷验证码的恶意操作了。
【庄表伟的回答(4票)】:
@郑维 的说法,是不正确的。
从吃性能的角度来说,做一次密码比对,比生成一张验证图片,要更加消耗计算能力。
另外,如果要通过请求服务器,反复生成验证码,我可以直接请求那个图片的URL,每次他都会返回给我一个新的。
比如访问:
如果要攻击的话,直接反复攻击这个就好。不必每次去试密码。
再者,现在的新浪微博登录,会先在浏览器里利用JS,做一次客户端密码加密后,再送到服务器端验证的。从这个角度来说,简单的网络登录攻击,很难奏效。
另外,可以补充一点历史知识。原来的新浪微博,并没有这么复杂的输入验证码的过程。去年因为大量的密码泄漏,新浪微博规避密码泄漏的风险,才提示用户,加上这一登录限制。用户依然可以在设置-帐号安全-登录保护一栏,手动的将某些地点,设置为不需要填写验证码的情况。
不过,现在的这是,居然是以城市为单位,倒是有些令人惊讶。
个人认为,新浪加上这样的一个登录后再填验证码的设计,是一个权宜之计,并非深思熟虑后的结果。在实际使用上,也是增添了麻烦,而未必增加了安全。当然,给用户一种心安的感觉,倒是有的。
【薛輝揚的回答(1票)】:
有類似經歷。
一开始以為是防盜號設置,按微博說的設置登入地點就沒有問題了。
但偏偏我的登入地點不在微博提供的列表裏面……那一瞬間俺震驚了。
但這不是重點。
重點是改用Chrome后加記住密碼,再也沒輸過驗證碼了。
之前的瀏覽器記住了一樣要重新輸驗證甚至密碼。
【喜馒头的回答(0票)】:
具体原因 @郑维 已经介绍得比较充分了,针对问题中的“不好的设计”说一点个人见解。
设计更多的是权衡的结果,每一项成果都是多个环节多次角力后的综合产出。
单纯看验证码的话,的确是一项不好的设计,但这种不好的设计能换取另外一些好的特性,而代价是使用时的一些不便,那么在没有更好方案出现之前,这种设计就是合理的。
《设计的法则》[1]一书中提到一个词,“满足即可”。[2]
满足主义者寻找到一个能使用的方法时,就不再继续努力;
完美主义者必须寻遍所有可能后,再决定使用哪种方法。
现实中的设计,通常要在两个极端之中选一个合适的度,不过多投入,但也不过少推敲。
[1]:《设计的法则》(大陆版100条),作者William Lidwell & Kritina Holden & Jill Butler,李婵 译
[2]:《人类的模型(Models of Man)》,作者Herbert A.Simon
【王昕的回答(0票)】:
我在输入密码之后下意识的敲回车,这时候提示我“验证码不正确”,多么不爽!
【郭笑的回答(0票)】:
不符合人性,根本就是要改掉,没得说
【bombless的回答(0票)】:
这种情况下的验证码是为了避免机器登录,也就是避免你为自动程序注册帐号,以后让自动程序去做一些事。
至于暴力破解密码,这个不管有没有验证码,情形都是相同的,并没有引入新的漏洞。
【侯鹏飞的回答(0票)】:
太有问题了,该填的填完、点登录后竟然还有步骤,灭绝人性啊。
&&&&&本文固定链接:
【上一篇】
【下一篇】
您可能还会对这些文章感兴趣!
最新日志热评日志随机日志森动价:?799
商品编号:4386
原价:?880
可用代金券: ?50
评 价:
64分1661 次浏览
本产品由 深圳易推科技有限公司 负责发货并提供售后服务!森动网提供15天担保交易并全程管控, 保障双方权益!
卖家:深圳易推科技有限公司
工作:8:30-21:30}
登录时,输入完后,就可以直接点“登录”了,不需要;只有输对了密码,才会被要求输入验证码;而输错了密码,再继续输入密码登录,却不需要验证码。
从防止 robot 破解密码的角度来看,我的疑问如下:
(1) 输对了密码,此时再输入验证码,意义何在?此时,攻击者可以手输入验证码,然后就可以登录了吧?
(2) 输错了密码,再次输入密码登录,仍然不需要验码。如何防止 robot 反复重试?
测试环境:
Fedora 15 下 Chrome 16.0.912.63 和 Firefox 12.0
【的回答(6票)】:
列位,在那里设置验证码的意义不在于安全方面。而是在于服务器性能的利用方面。
如果按照之前的设定方法,每刷新一次页面,服务器从接到请求开始,就需要为这个请求配置一个验证码。
做过网站验证码的人都知道。验证码的生成过程是:由服务器先生成一组随机字符串;
由字符串生成一个临时图片,jpg或者png格式,大小为1Kb上下;再经过网络,将字符串传给用户;即便是图片大小仅有1Kb左右,但如果是大量生成,也会对服务器的性能造成很大的影响。
设想,如果有人利用僵尸网络大量、频繁地刷新验证码,那么肯定会影响服务器的正常功能。但如果先验证用户身份,再发出验证码请求,那么至少服务器知道是哪个用户在捣乱,这样屏蔽掉这个用户,就达到了防止刷验证码的恶意操作了。
【庄表伟的回答(4票)】:
@郑维 的说法,是不正确的。
从吃性能的角度来说,做一次密码比对,比生成一张验证图片,要更加消耗计算能力。
另外,如果要通过请求服务器,反复生成验证码,我可以直接请求那个图片的URL,每次他都会返回给我一个新的。
比如访问:
如果要攻击的话,直接反复攻击这个就好。不必每次去试密码。
再者,现在的新浪微博登录,会先在浏览器里利用JS,做一次客户端密码加密后,再送到服务器端验证的。从这个角度来说,简单的网络登录攻击,很难奏效。
另外,可以补充一点历史知识。原来的新浪微博,并没有这么复杂的输入验证码的过程。去年因为大量的密码泄漏,新浪微博规避密码泄漏的风险,才提示用户,加上这一登录限制。用户依然可以在设置-帐号安全-登录保护一栏,手动的将某些地点,设置为不需要填写验证码的情况。
不过,现在的这是,居然是以城市为单位,倒是有些令人惊讶。
个人认为,新浪加上这样的一个登录后再填验证码的设计,是一个权宜之计,并非深思熟虑后的结果。在实际使用上,也是增添了麻烦,而未必增加了安全。当然,给用户一种心安的感觉,倒是有的。
【薛輝揚的回答(1票)】:
有類似經歷。
一开始以為是防盜號設置,按微博說的設置登入地點就沒有問題了。
但偏偏我的登入地點不在微博提供的列表裏面……那一瞬間俺震驚了。
但這不是重點。
重點是改用Chrome后加記住密碼,再也沒輸過驗證碼了。
之前的瀏覽器記住了一樣要重新輸驗證甚至密碼。
【喜馒头的回答(0票)】:
具体原因 @郑维 已经介绍得比较充分了,针对问题中的“不好的设计”说一点个人见解。
设计更多的是权衡的结果,每一项成果都是多个环节多次角力后的综合产出。
单纯看验证码的话,的确是一项不好的设计,但这种不好的设计能换取另外一些好的特性,而代价是使用时的一些不便,那么在没有更好方案出现之前,这种设计就是合理的。
《设计的法则》[1]一书中提到一个词,“满足即可”。[2]
满足主义者寻找到一个能使用的方法时,就不再继续努力;
完美主义者必须寻遍所有可能后,再决定使用哪种方法。
现实中的设计,通常要在两个极端之中选一个合适的度,不过多投入,但也不过少推敲。
[1]:《设计的法则》(大陆版100条),作者William Lidwell & Kritina Holden & Jill Butler,李婵 译
[2]:《人类的模型(Models of Man)》,作者Herbert A.Simon
【王昕的回答(0票)】:
我在输入密码之后下意识的敲回车,这时候提示我“验证码不正确”,多么不爽!
【郭笑的回答(0票)】:
不符合人性,根本就是要改掉,没得说
【bombless的回答(0票)】:
这种情况下的验证码是为了避免机器登录,也就是避免你为自动程序注册帐号,以后让自动程序去做一些事。
至于暴力破解密码,这个不管有没有验证码,情形都是相同的,并没有引入新的漏洞。
【侯鹏飞的回答(0票)】:
太有问题了,该填的填完、点登录后竟然还有步骤,灭绝人性啊。
&&&&&本文固定链接:
【上一篇】
【下一篇】
您可能还会对这些文章感兴趣!
最新日志热评日志随机日志森动价:?799
商品编号:4386
原价:?880
可用代金券: ?50
评 价:
64分1661 次浏览
本产品由 深圳易推科技有限公司 负责发货并提供售后服务!森动网提供15天担保交易并全程管控, 保障双方权益!
卖家:深圳易推科技有限公司
工作:8:30-21:30}
我要回帖
更多关于 手机号接收验证码 的文章
- ·求韩国手机号接收验证码收验证码,谢谢 2015-06-27 | 分享
- ·加粉王要美国手机号接收验证码和验证码,能信吗?
- ·一个游戏骗子要我输入手机号接收验证码和验证码我输入了手机号并没有输入验证码会有事吗?
- ·谁临时手机号 验证码能借我发一下验证码,我注册个91熊猫看书,跪求谢!
- ·以前的百度号,注册用的手机号早忘了。 密码知道,今天登陆百度非要我手机12306验证手机号怎么办? 有密码都登不上
- ·哪位好心人美团没注册过账号的,模拟手机号接收验证码借我发验证码好吗
- ·我的模拟手机号接收验证码没有绑定过微博,但是为什么我注册的时候发的验证码输入进去过后给我显示的是验证码错误,我以
- ·新的模拟手机号接收验证码想要绑定微信,输入验证码后告诉我这个号已经和别的微信绑
- ·虚拟美国手机号接收验证码码320/64张
- ·我捡了个手机,刷机后 我等自己的QQ等不了,需要原来失主的免费手机号接收验证码验证码。我该怎么才能登上QQ?
- ·微信解封要求用模拟手机号接收验证码发送短信验证码,不能直接接收短信验证码,是不是赚用户钱有分成?
- ·百度的垃圾系统,我上个免费手机号验证码没用了,以前的账号就上不了了。偏要什么验证码才能登录。妈滴还不能改号码
- ·接手别人的微信号,以后发红包是不是都需要之前注册免费手机号验证码的验证码?
- ·我换了新手机,新手机号接收验证码,我要登我的qq,可是要以前的手机号接收验证码验证码。
- ·我临时手机号接收验证码换了,收不到验证码怎么办
更多推荐
- ·9月份马上就中国司法考试中心网官网了,主观题方面还是差点,求推荐实用的法律检索网站
- ·想知道,坐标河北,春天大风天气比较多,暴土扬尘的,有什么好用的玻璃水什么牌子的好推荐吗?
- ·电脑自带office2021,随后安装office2010卸载后,word新建docx图标不显示 win10右键新建word不见了也没有word 怎么回事?
- ·wps怎么添加新的wps最后一页空白页删不掉
- ·wps怎么复制一页一模一样的格式添加新的一页
- ·红棋象棋红方先走谁能赢吗
- ·问道手游点化进化青蛙点化后资质
- ·刀塔传奇变态版官网送5000钻石版本
- ·小明最新小明看看发布主页yao
- ·iphone6和6s的区别 6如何?怎么样?和6S比呢?
- ·手机加群没反应怎么回事里怎么回事
- ·苹果新浪微博博苹果手机下不了怎么回事
- ·家用格力格力家用中央空调官网配几根彼纹管
- ·微信绑定了传奇世界h5手机号登入为什么用其他手机登入没有需要我输入验证码的?
- ·三星s7 edgeedge玩掠夺者公会会战闪退
- ·5s4G网络为什么陌陌iphone5s连不上4g
- ·冰箱压缩机发热不制冷工作,不制冷,进出口管段热
- ·我的模拟手机号接收验证码没有绑定过微博,但是为什么我注册的时候发的验证码输入进去过后给我显示的是验证码错误,我以
- ·华为畅玩5x换sd卡槽4x为什么拍照不能保存了,以前都是默认sd卡储存的,前几天sd卡莫名的坏了,然后把里面的东
- ·手机土豆视频播放器可以全屏播放吗
- ·苹果官网手机序列号手机官网查序列号
- ·i7 6700k配华硕Z170 PRO GAMING玩家国度rog m8f z170最高能支持多少频率的内存条?
- ·vivoxplay5闪充vivo xplay5显示没有了
- ·我手机越狱了,爱思助手怎么越狱上面怎么没有文件系统越狱?
- ·华为手机关闭杂志锁屏锁屏自动关闭来电声音
- ·xbox合金装备5幻痛,换了god版第一次进游戏正常,幻痛 第二次感染从xbox我的游戏界面进了就退了出来,
- ·我买了3部,第一部手机是oppo r7s 全网通 rootR7s是2015年12月份买的,用到现在没有问
- ·火线精英刷点券怎么我充不了 他说要itunes支持 怎么回事
- ·苹果微信红包助手手卸载 图标没了功能还在
- ·下载手机播放器下载 免费收费吗
- ·苹果六粘进油腻师姐会破音吗求解
- ·怎样在电脑上面添加南天PR-9南天针式打印机测试页图文教程
