我在登錄閑魚時遇到奇葩的驗證，背後原因可能是這樣

當時我就樂了，這九張圖裡面，八張都是女性服裝，衣服啊絲襪什麼的，這些我這個單身狗完全是不可能買的嘛。我把這張截圖發到朋友圈，果然引來很多吐槽。

剛好朋友圈評論中有朋友提到這個驗證的邏輯，笑過了，就來認真討論一下這個安全校驗背後的邏輯。為了讓思路更清晰，我用提問的方式層層展開。

1.這個界面的性質是什麼？

我們先來確認一下，這是不是某種打開App的密碼？

顯然不是，因為閑魚App是不需要打開密碼的。閑魚的私密等級是不如支付寶的，支付寶都不需要打開密碼，閑魚自然也是不需要的。

而且，這個驗證只出現一次，驗證完以後就不會再出現。

所以，這其實就是驗證碼。

2.為什麼需要驗證碼？

我上周剛剛給手機刷機，刷完當時就裝上了閑魚，今天是第一次打開。對於閑魚App來說，這和在一台新設備上登錄沒什麼區別，所以要開啟安全驗證。

說到這，背後有個隱含的邏輯：在新設備上登錄某個App，需要開啟安全驗證。

很多人到這一步，會把這些事情當作理所當然，而忽視了背後真正的原因。這個問題也可以換個說法：

在新設備上登錄時要輸入驗證碼，那這個驗證碼是在防範什麼？

3.這個驗證碼在防範什麼？

驗證碼從誕生之初起，就是為了防範區別人和機器人，這裡的機器人代指能模擬人進行註冊或者登錄等行為的程序。

說到這，就要涉及到賬戶安全了。

早期的驗證碼最主要的作用是防範惡意註冊，一般是一些變形的數字，人可以讀懂但是機器人識別不了。例如這樣：

後來出現了能進行圖像識別的機器人，這種驗證碼就漸漸沒落了，有的越來越難認，有的演化成這樣：

近年來隨著移動互聯網的發展，驗證碼的場景發生了變化，很多時候我們不僅需要登錄者持有正確的賬號和密碼，還希望他是在綁定的手機上登錄，這時候，簡訊驗證碼就被推上了歷史的舞台。

從某種意義上來說，驗證碼可能比賬號密碼還重要。

現在很流行「撞庫」攻擊，很多用戶在不同網站和App用一套賬號和密碼，只要其中一處被黑客攻破，賬號和密碼就會被收集到社工庫，然後用工具對其他網站或者App進行撞庫攻擊。我曾經搜索過自己被盜過的賬號和密碼，在社工庫中找到了12處，令人觸目驚心。

社工庫中的賬號和密碼太多，互聯網上的網站和App也太多，黑客不可能一個個手動輸入，必須依賴工具批量登錄，這時候，即使登錄的賬號和密碼都正確，也很難過驗證碼的關。從這個角度上來說，驗證碼可能比賬號密碼還管用。

4.為什麼不直接用簡訊驗證碼？

前面我們已經提到，簡訊驗證碼同樣具備驗證登錄者的作用。既然都是驗證碼，那為什麼不用簡訊呢？

現在絕大部分App都在用簡訊驗證，包括銀行的客戶端，可見簡訊驗證的安全性也是經得住考驗的。

但是，「選擇購買過的商品」這種方式比簡訊驗證碼更加安全。

因為「選擇購買過的商品」的目標是這個賬號背後的人，而簡訊驗證碼的目標是這個賬號曾經綁定的手機，人顯然比手機更靠譜。

另外，用這種方式驗證比發生簡訊驗證碼的成本要低一些。

5.這9張圖的內容是怎麼決定的？

說完了安全，就需要說一下產品了。每個產品都有自身的風格，這個驗證碼既然是App登錄的一個環節，自然也是要契合這個風格的。

坦率地說，從9張圖中選1張自己買過的東西這種方式還是很有趣的，而且也不需要像簡訊驗證碼那樣讓用戶等待，徒增枯燥之感。

此時還得考慮一個新問題：如果用戶忘記自己買過什麼東西怎麼辦？

這也是選這種驗證方式不選簡訊驗證碼的不足之處——沒有人讀不出簡訊驗證碼，但是未必所有人能記住之前買過的商品。

為了解決這個問題，閑魚在演算法上做了一些設計（以下都是我的推測）：

一共九張圖，除了一張用戶買過的商品之外，其餘八張全部推送和用戶從來不會購買的商品。這樣一來，用戶即使忘記了自己購買過的商品，也能推斷出哪個是自己買過的。比如說給我推送8張母嬰用品，我自然也不會去點，即使我忘了自己買過的是哪個。

至於如何給用戶推送8張完全不會購買的商品，這個就依賴淘寶的大數據支持了。根據用戶以往的購買記錄，勾勒出一個用戶畫像，然後就可以判斷出他不會買什麼了。

以上可以解釋，為何9張驗證的圖片，八張風格如此高度統一，因為那是系統選擇了某一類你最不可能買的商品。