验证码

图形：

加固破解方法：机器学习、神经网络、学习成本高

打码平台：图形验证码与使用者有关

短信：

单用户发送请求，下次请求间隔60S

单用户一天发送短信上限

单IP发送异常增加二次认证：防止大出口IP误杀

包含在返回包 错错错

服务端做严格校验

手机被中木马、强制降频GSM

语音

防刷单更有效

事前：反欺诈接口、web端useragent、app deviceid

事后：通讯录、好友二度关系画像

滑动

在测试过程中只有极少数的公司会动态升级自己的图片验证码，随着输错次数的上升验证码难度也随机上升。

为了防止验证码被爬虫获取后专门进行分析，针对性的破解攻击，需要准备多套图形验证码定期进行替换。

一个完善的统一验证码体系应该由风控来判断是否触发规则，对触发规则的请求进行相应的验证升级，而不是设定一个死的阈值，对关键操作可以用多种验证码组合的形式来进行校验，常见的组合有，滑动+图形，图形+语音等。

点触式和滑动式的验证码，通过采集用户当前各种的参数行为（行为轨距，操作时间，当前环境等等）来判断是否为机器行为。在用户体验上，手机端不是很建议使用选字类型的验证码，对于非大屏的手机不是很友好。在安全性上，这类验证码要比其他验证码破解成本高。我相信验证码的趋势也会逐渐向这种类型的靠拢。

ReCAPTCHA在安全性和用户体验做的都很好，即使这样还是被安全研究者破解过，所以不要完全依赖一种验证码，对敏感操作可以使用多种验证码。

 

新的reCAPTCHA被Google称作没有验证码的验证码（"No CAPTCHA reCAPTCHA"）

noCAPTCHA只提供了一个复选框，里面写着“我不是机器人”。当你打钩之后，谷歌就能利用“风险分析引擎”进行一系列无缝检查，以此来判断你是否是真人。

如果noCAPTCHA认为你是真人，那就不用再做什么了，这确实很容易。如果noCAPTCHA认为你不是真人，它就会要求你填一个传统的CAPTCHA字符串或更先进的字符串，比如从一组图片中挑选出正确的图片。