从安全角度出发做网站不能没有验证码

在浏览一些网站时经常会遇到一些讨厌的情况，那就是输入验证码，并且有些验证码能令人抓狂，不过好在能切换另一张，其中印象深刻的要数火车票的网站了，简直五花八门，什么都有，一些网络安全意识淡薄的企业做网站时经常有疑问：“就不能把验证去掉吗“？答案是不能，那么是为什么呢？我们从安全的角度出发来谈谈做网站为什么不能没有验证码。

从安全角度出发做网站不能没有验证码

一、现在企业做网站都开始讲究起了用户体验，在这个用户体验大于天的环境下，网站的验证码明知道会影响访客的浏览体验，但却仍然不肯去掉，主要还是为了安全着想。设想一下，如果注册页面没有验证码，那么就可以通过脚本无限的注册网站的用户，当这个数量与频率达到一定的值后，网站的数据库也许就崩溃了，这对于正在运行的网站来说，无疑是一个安全隐患，使网站的运行存在着不稳定因素，如果竞争对手三天两头的采用这种方式，那么网站就会一直处于瘫痪状态。

二、网站登录的验证码不能没有，现在做网站一般会对登录的验证码做出让步，就是在前几次登录的时候不显示验证码，在密码输入错误三次以上时会显示验证码，这是为了防止一些不法人员通过机器密码字典破解用户的密码，如果没有验证码，那么只要开着字典类软件无限的试验密码排列，那么就可以通过这种暴力的方式取得用户的密码，这对于用户就没有什么隐私可言了，所以在登录密码错误时有必要设置验证码来防止被机器暴力试出密码。

三、网站验证码的发展，随着技术水平的提高，网站的验证码已经不再局限于输入图片上的几个字母就能通过了，因为这种图片上字母的方式也不再安全，而是朝着更难让机器识别操作的方式，比如手机验证码，通过手机号码，发送到手机上，并且短时间内一个手机只能发送一次，这从很大程度上杜绝了机器刷验证码的存在。我们在购票时会发现有图片式的验证码，在图片显示一种物品，这种物品有景色、有生活用具等，再通过对这些物品提出一些问题，让访客通过点击图片回答，这是一种较为严格的验证方式，可以说是绞尽脑汁，挖空心思的难为访客与机器人了。

目前做网站还有一种比较常见的验证系统，就是拼图验证码，通过拖动拼图碎片到正确的位置来通过验证，这一点也是脚本工具难以实现的，因为拼图缺失的位置是随机生成的，并不固定，每一次刷新碎片的位置都不一样，这也是一种防止恶意攻击的验证方式。但是不管怎么说，验证码都有其存在的意义，企业在做网站时不能为了这一点体验要求做网站公司取消验证码，因为为了网站的安全着想，哪怕是损失了一点体验也在所不惜。