我們習(xí)以為常的驗證碼，是個好設(shè)計嗎？

當你注冊或者登錄某個應(yīng)用的時候，經(jīng)常會用到驗證碼。它們大部分是由一串歪歪扭扭的字符組成的，看起來并不容易辨別。

驗證碼的英文名是 CAPTCHA，這不是一個正規(guī)的單詞，而是個縮寫，它的全稱是：Completely Automated Public Turing test to tell Computers and Humans Apart。翻譯過來是：用來區(qū)分人類和電腦的全自動圖靈測試。

不知道為什么，我就是覺得它聽起來像一個不大正經(jīng)的惡作劇。

據(jù)維基百科的描述：

驗證碼出現(xiàn)于十年前，是為了防止機器（程序）假扮成人，去占用原本為用戶準備的資源。比如：利用腳本程序不斷地模擬嘗試登錄以便破解賬號密碼，或者利用惡意代碼在 BBS 中公布大量廣告或詐騙內(nèi)容。

可以看到，它的設(shè)計初衷是為了區(qū)分人和機器，實現(xiàn)方式是在正常流程中增加了一道門檻，人可以翻過去，而機器會被擋住。

從某種意義上說，它可能是個有效設(shè)計，但我不認為它是個好設(shè)計。因為擋住機器這件事本應(yīng)該是服務(wù)提供方的責任，而服務(wù)方卻將其成本轉(zhuǎn)嫁給了用戶。

這件事引發(fā)了我的思考：

第一個思考：不要將責任推卸給用戶

不知道你有沒有想過，讓用戶辨別和輸入扭曲的驗證碼，其實是因為服務(wù)提供方的能力欠缺，無法靜默區(qū)分人和機器，而輸入驗證碼本身，這一操作對用戶來說其實并無價值。

有一次我接到用戶打來電話，抱怨自己搞不定驗證碼。我向他解釋我們正在被攻擊，所以臨時調(diào)高了驗證碼的級別。電話的最后，我習(xí)慣性地向他道歉，用戶卻很體貼地安慰我說沒必要道歉，畢竟被攻擊不是我們的錯。

當時我心頭一熱，臉上一紅。他說的沒錯，被攻擊確實不是我們的錯，但更不是用戶的錯，讓他們付出成本，花費時間，去辨別圖片里的那個圓圈究竟是 O 還是 0 還是 6，其實就是讓他們承擔我們本應(yīng)該承擔的責任。

舉一反三，如果再激進一點考慮，我們的軟件服務(wù)中還有不少推卸責任的設(shè)計，比如：讓用戶在成千上萬的商品中篩選和比價，比如：各種復(fù)雜的界面參數(shù)設(shè)置和興趣選擇。要是想得再發(fā)散一點，所有的銀行賬戶密碼似乎也沒有必要，超市排隊也是一樣。

如果用戶不需要付出篩選和比價的成本，或不需要花費精力記住賬戶密碼，卻可以享受到同樣高質(zhì)量的服務(wù)，是不是更好呢？

基于這樣的思考，我們是不是應(yīng)該馬上去掉這些推卸責任的設(shè)計，比如：想出更復(fù)雜的方案，替代現(xiàn)有的驗證碼機制呢？

這是關(guān)于驗證碼的第二個思考。

第二個思考：方案選擇的平衡

有效的設(shè)計確實未必是好設(shè)計，比如：我自己曾經(jīng)參與設(shè)計的產(chǎn)品中也用到驗證碼，而且在某些特別 階段（像剛才提到的被定向攻擊），我們還會升級驗證碼機制，讓驗證碼出現(xiàn)的頻率更高，而且更加難以辨認，從而在某些關(guān)鍵入口抵抗一些有針對性的攻擊。

這一策略是有效的，但對用戶的損害 也很大，升級驗證碼機制后，用戶登錄過程中耗費的時間會顯著增加，通過率也會下降，還有大量的用戶抱怨一股腦地涌進來。

然而從服務(wù)提供方的角度來看，它卻用最低的成本快速地解決了當時面臨的問題。這是產(chǎn)品設(shè)計方案選擇過程中不得不做出的“平衡”，很多時候我們沒有辦法第一時間實施對用戶的完美方案，這就需要在產(chǎn)品利益和用戶利益之間，找到微妙的動態(tài)平衡點。

所以讓一個產(chǎn)品經(jīng)理講用戶價值其實不難，天花亂墜說完美方案也不難，難的是在實際工程里做出合適的決定。做工程大部分時候都滿身污垢，能在其中保持鎮(zhèn)定，保持平衡并不容易。

我們當時在扛過了幾輪攻擊之后，投入了一些技術(shù)資源，引入了更多靜默監(jiān)測的策略。比如：記錄用戶密碼、記錄用戶上次登錄的位置/設(shè)備，或通過一些頁面動作來做出推斷 ，保證大部分老用戶和一部分新用戶不會受到驗證碼的打擾。

我們并沒有做到完美，因為資源永遠有限，我們需要把它更多投入到我們的競爭優(yōu)勢上，所以還是保留了驗證碼機制。在某些情況下還是用這種原始、粗暴，但有效的手段來解決問題——這就是我們選擇的平衡。

第三個思考：驗證碼的進化

Google 在兩三年前公布了一個叫作 reCAPTCHA 的解決方案，本著“對人類友好，對機器難搞”的原則，用戶只需要簡單點擊一個“我不是機器人”的復(fù)選框就可以，不再需要分辨歪歪扭扭的驗證碼。

reCAPTCHA 通過收集用戶環(huán)境和行為數(shù)據(jù)，綜合分析、智能區(qū)分人和機器。除此之外，阿里也公布了自己的滑動驗證碼，還有國內(nèi)一些第三方的驗證碼服務(wù)也在快速迭代進化。畢竟 Google 的服務(wù)不太穩(wěn)定，他們還是獲得了自己的生長空間。

這些更高級的驗證碼服務(wù)，大部分都在標榜自己的“人工智能”屬性，不管真假，這確實是個非常典型的機器學(xué)習(xí)應(yīng)用場景，提供各種行為特征，訓(xùn)練算法去分辨人和機器。

我們把這個思路放大來看，如果可以把過去看似理所應(yīng)當，其實是由于服務(wù)提供方的成本考慮，而把責任推卸給用戶的那些功能或流程拿出來重新思考設(shè)計，再搭配成熟的機器學(xué)習(xí)算法，或許就可以帶來一系列革命性的用戶體驗進化。

比如：免密支付，讓用戶不必再耗費精力記錄密碼，比如：無人超市，讓用戶無需排隊付款；無人駕駛，讓用戶在通勤的過程中不需要費神開車，等等等等。

這個偉大的變革時代提供了新的方法和工具，讓我們有機會重新去審視過去由于技術(shù)和工具的限制而不得不做出的妥協(xié)。用新方法解決老問題，或許不需要什么翻天覆地的變化，只是撬松一兩塊被慣性封印的磚，就已經(jīng)算得上強有力的推動了。這是驗證碼給我最后，也是最重要的啟發(fā)。

所以說，一個簡單的驗證碼，背后卻并不簡單，我們能從中看到設(shè)計原則、設(shè)計哲學(xué)，甚至技術(shù)演化改變用戶體驗的過程。

在你熟悉的產(chǎn)品中，是否也有像驗證碼這樣，雖然用戶習(xí)以為常，卻并不合邏輯，而且暗含機會的產(chǎn)品形態(tài)呢？

不妨在留言中講出來，我們一起討論。