昨天我在打開閑魚App的時候，遇到了這樣的“安全校驗(yàn)”：

當(dāng)時我就樂了，這九張圖里面，八張都是女性服裝，衣服啊絲襪什么的，這些我這個單身狗完全是不可能買的嘛。我把這張截圖發(fā)到朋友圈，果然引來很多吐槽。

剛好朋友圈評論中有朋友提到這個驗(yàn)證的邏輯，笑過了，就來認(rèn)真討論一下這個安全校驗(yàn)背后的邏輯。為了讓思路更清晰，我用提問的方式層層展開。

1.這個界面的性質(zhì)是什么？

我們先來確認(rèn)一下，這是不是某種打開App的密碼？

顯然不是，因?yàn)殚e魚App是不需要打開密碼的。閑魚的私密等級是不如支付寶的，支付寶都不需要打開密碼，閑魚自然也是不需要的。

而且，這個驗(yàn)證只出現(xiàn)一次，驗(yàn)證完以后就不會再出現(xiàn)。

所以，這其實(shí)就是驗(yàn)證碼。

2.為什么需要驗(yàn)證碼？

我上周剛剛給手機(jī)刷機(jī)，刷完當(dāng)時就裝上了閑魚，今天是第一次打開。對于閑魚App來說，這和在一臺新設(shè)備上登錄沒什么區(qū)別，所以要開啟安全驗(yàn)證。

說到這，背后有個隱含的邏輯：在新設(shè)備上登錄某個App，需要開啟安全驗(yàn)證。

很多人到這一步，會把這些事情當(dāng)作理所當(dāng)然，而忽視了背后真正的原因。這個問題也可以換個說法：

在新設(shè)備上登錄時要輸入驗(yàn)證碼，那這個驗(yàn)證碼是在防范什么？

3.這個驗(yàn)證碼在防范什么？

驗(yàn)證碼從誕生之初起，就是為了防范區(qū)別人和機(jī)器人，這里的機(jī)器人代指能模擬人進(jìn)行注冊或者登錄等行為的程序。

說到這，就要涉及到賬戶安全了。

早期的驗(yàn)證碼最主要的作用是防范惡意注冊，一般是一些變形的數(shù)字，人可以讀懂但是機(jī)器人識別不了。例如這樣：

后來出現(xiàn)了能進(jìn)行圖像識別的機(jī)器人，這種驗(yàn)證碼就漸漸沒落了，有的越來越難認(rèn)，有的演化成這樣：

近年來隨著移動互聯(lián)網(wǎng)的發(fā)展，驗(yàn)證碼的場景發(fā)生了變化，很多時候我們不僅需要登錄者持有正確的賬號和密碼，還希望他是在綁定的手機(jī)上登錄，這時候，短信驗(yàn)證碼就被推上了歷史的舞臺。

從某種意義上來說，驗(yàn)證碼可能比賬號密碼還重要。

現(xiàn)在很流行“撞庫”攻擊，很多用戶在不同網(wǎng)站和App用一套賬號和密碼，只要其中一處被黑客攻破，賬號和密碼就會被收集到社工庫，然后用工具對其他網(wǎng)站或者App進(jìn)行撞庫攻擊。我曾經(jīng)搜索過自己被盜過的賬號和密碼，在社工庫中找到了12處，令人觸目驚心。

社工庫中的賬號和密碼太多，互聯(lián)網(wǎng)上的網(wǎng)站和App也太多，黑客不可能一個個手動輸入，必須依賴工具批量登錄，這時候，即使登錄的賬號和密碼都正確，也很難過驗(yàn)證碼的關(guān)。從這個角度上來說，驗(yàn)證碼可能比賬號密碼還管用。

4.為什么不直接用短信驗(yàn)證碼？

前面我們已經(jīng)提到，短信驗(yàn)證碼同樣具備驗(yàn)證登錄者的作用。既然都是驗(yàn)證碼，那為什么不用短信呢？

現(xiàn)在絕大部分App都在用短信驗(yàn)證，包括銀行的客戶端，可見短信驗(yàn)證的安全性也是經(jīng)得住考驗(yàn)的。

但是，“選擇購買過的商品”這種方式比短信驗(yàn)證碼更加安全。

因?yàn)椤斑x擇購買過的商品”的目標(biāo)是這個賬號背后的人，而短信驗(yàn)證碼的目標(biāo)是這個賬號曾經(jīng)綁定的手機(jī)，人顯然比手機(jī)更靠譜。

另外，用這種方式驗(yàn)證比發(fā)生短信驗(yàn)證碼的成本要低一些。

5.這9張圖的內(nèi)容是怎么決定的？

說完了安全，就需要說一下產(chǎn)品了。每個產(chǎn)品都有自身的風(fēng)格，這個驗(yàn)證碼既然是App登錄的一個環(huán)節(jié)，自然也是要契合這個風(fēng)格的。

坦率地說，從9張圖中選1張自己買過的東西這種方式還是很有趣的，而且也不需要像短信驗(yàn)證碼那樣讓用戶等待，徒增枯燥之感。

此時還得考慮一個新問題：如果用戶忘記自己買過什么東西怎么辦？

這也是選這種驗(yàn)證方式不選短信驗(yàn)證碼的不足之處——沒有人讀不出短信驗(yàn)證碼，但是未必所有人能記住之前買過的商品。

為了解決這個問題，閑魚在算法上做了一些設(shè)計（以下都是我的推測）：

一共九張圖，除了一張用戶買過的商品之外，其余八張全部推送和用戶從來不會購買的商品。這樣一來，用戶即使忘記了自己購買過的商品，也能推斷出哪個是自己買過的。比如說給我推送8張母嬰用品，我自然也不會去點(diǎn)，即使我忘了自己買過的是哪個。

至于如何給用戶推送8張完全不會購買的商品，這個就依賴淘寶的大數(shù)據(jù)支持了。根據(jù)用戶以往的購買記錄，勾勒出一個用戶畫像，然后就可以判斷出他不會買什么了。

以上可以解釋，為何9張驗(yàn)證的圖片，八張風(fēng)格如此高度統(tǒng)一，因?yàn)槟鞘窍到y(tǒng)選擇了某一類你最不可能買的商品。

作者：王劍，微信號wangjian4312，熱愛產(chǎn)品&運(yùn)營，坐標(biāo)魔都

本文由 @王劍 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。