密码找回场景：机器人验证是必要的吗？

拉勾 web 端

问题4：机器人验证是必要的吗？

验证码是一种恶意访问问题的安全解决方案，通过区分用户是计算机还是真实的人来过滤恶意访问。

拉勾的密码找回界面中有两处验证，一处是机器人验证，另一处是短信验证。这里隐藏着两条逻辑：证明我是人；证明我是我。很多人在操作过程中不禁吐槽：既然我能证明我是我，那何必证明我是人？直接进行短信验证就可以，为什么要多一个步骤？

拉勾作为一个招聘网站，机器人用户可能被用于商业／恶意刷面试评论，这是一个典型的流量场景，理论上有机器人用户的生存土壤。

由于解决安全问题存在一定的成本，那么以正常用户的思路来考虑必然是低于预期体验的。尝试逆向思考：机器人账户也有邮箱或手机号，机器人验证是过滤它们的必要方案。

再次逆向思考：机器人验证真的可以过滤机器人吗，它对正常的用户有什么影响？

当正常用户忘记密码时，可能会多次输入错误的密码，这种情况同样会发生在机器人用户身上。机器人验证的作用是打断机器人的重复操作，增加破坏成本，减小产品压力。但它同样也会打断用户的操作，此处体验的关键点是能否主动识别出真实用户和机器人。

下图是几个网站的密码找回场景下机器人验证的使用情况：

淘宝、Amazon、京东、知乎、豆瓣、腾讯视频

其中 Amazon、Facebook 没有机器人验证过程，知乎、Google 虽然也没有机器人验证过程，但密码找回步骤较多、逻辑比较复杂，还发现豆瓣的 iOS 端并没有机器人验证。

机器人验证本身是一个问答式过滤器，无论网站提出怎样的问题，总会有更强的机器人回答正确。密码找回场景下的机器人验证无论在 web 端还是移动端，都不是必要的，因为系统完全可以根据用户进入密码找回界面前的历史行为特征来判断。如果能做到这一点，或检测到用户正在操作常用设备，甚至知道自家产品的用户不会经常更换使用设备，那么机器人验证存在的必要性就更弱了。

机器人验证对于用户来说是额外的操作成本，是一个应该尽力避免出现的东西，尤其是不需要它的地方，至少不应该更复杂。

SweetCaptcha 有趣却复杂的验证码

---

参考资料：

腾讯验证码
案例实战！验证码的应用场景和交互流程超全面总结
验证码：UX 终结者
Google想杀死验证码，机器人说图样图森破
验证码：UX 终结者
设计心得：如何提高验证方式的可用性