GB/T 41802-2022 信息技术 验证码程序要求（正式版）

ICS35.240.01信息技术验证码程序要求国家市场监督管理总局国家标准化管理委员会GB/T41802—2022 I Ⅱ 2规范性引用文件 3术语和定义 2 3附录A(资料性)验证码示例 5IGB/T41802—2022本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。ⅡGB/T41802—2022本文件描述的验证码主要是指用于区分用户是计算机还是自然人的信息元素(包括图形字符、问题、目标位置或轨迹形状、语音)。验证码通常用于用户注册、操作确认、信息提交等场景。发送验证码的一条主要路径是：应用所处的系统，将验证码连同验证操作要求直接发送至申请该应用的设备上。设备持有人按操作要求进行操作(反馈)以完成验证。本文件针对上述验证码发送路径所涉及的验证码，描述和规范验证码程序。1信息技术验证码程序要求本文件规定了基于文本、知识、行为、语音及其复合验证码程序的通用要求和特定要求。本文件未件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于GB/T1988—1998信息技术信息交换用七位编码字符集GB18030信息技术中文编码字符集用于生成一组以文本形式呈现的验证码，并实现验证功能的程序。2GB/T41802—20223.6基于知识的验证码程序knowledge-basedverificationcodeprogram用于生成一组以问题形式呈现的验证码，并实现验证功能的程序。3.7基于行为的验证码程序behavior-basedverificationcodeprogram用于生成一组以目标位置、轨迹形状等形式呈现的验证码，并通过获取用户行为实现验证功能的程序。注：用户需要通过执行点击某个位置、拖动滑块到某个位置、绘制轨迹等动作实现验证信息输入，验证码程序收集3.8基于语音的验证码程序voice-basedverificationcodeprogram用于生成一组以语音形式呈现的验证码，并实现验证功能的程序。3.9复合验证码程序compoundverificationcodeprogram用于生成由两类或两类以上信息元素构成的验证码，并实现验证功能的程序。4通用要求4.1验证码程序(以下简称程序)生成的验证码应具有以下特征：a)可及性：验证码所呈现的信息能通过自然人的眼睛、耳朵等感官系统获得。b)可识别性：验证码所呈现的信息能被自然人识别。c)适应性：1)验证码的呈现方式与用户相适应，例如供视力障碍用户使用的验证码采取语音方式呈现；2)验证码数量与可能使用验证码的总次数相适应；3)与用户的认知结构、范围和程度相适应；d)时效性：验证码所呈现的信息仅在程序设定的有效期内有效。4.2程序生成验证码时应同时产生相应的验证操作提示。示例1:请输入验证码完成验证。示例2:请拖动滑块完成拼图。4.3程序应能接收用户反馈(即用户按要求执行的验证操作),并判断是否达到预期结果。4.4程序宜能设置对同一用户连续验证码生成请求的响应时间间隔。4.5程序应能对其生成的验证码设置允许的验证操作时间长度。4.6程序生成的验证码应是随机的。证码时，所使用的信息元素库中每个信息元素被选中的概率宜尽可能相同。4.8程序应采取措施确保程序本身及信息元素的安全。4.9程序不应提供直接或间接获取预期结果的方法。3GB/T41802—20225特定要求5.1.1程序应能生成一组文本，对这组文本进行干扰处理后作为验证码(示例见A.1)呈现给用户判定用户的反馈是否符合预期。5.1.2宜建立与用户数相适宜的图形字符库，图形字符应符合GB18030的要求。5.1.3程序生成的验证码文本长度应不少于4个字符。5.1.4应采取不少于2种干扰处理方法对生成的文本进行处理。干扰处理方法可包括但不限于字符5.2.1程序应能生成一组问题，将这组问题及备选答案(若存在)作为验证码(示例见A.2)呈现给用注1:不是所有基于知识的验证码程序都需提供备选答案给用户。注2:问题所涉及的知识可能是常识、专业知识，也可能是与用户行为相关的信息，这些信息包括但不限于用户注册时输入的信息、浏览过的页面类型、观看过的节目类型、购买过的商品类a)一个问题针对所有用户都只有一个正确答案；b)一个问题针对不同的用户有不同的答案(如：最近观看过的节目类型),但是针对某一个特定用户其答案是唯一的。5.2.4宜采取与5.1.4相同的干扰处理方法对问题文本进行处理。5.3.1程序应能生成一组目标位置、轨迹形状等信息作为验证码(示例见A.3)呈现给用户，并能判定用户通过其行为反馈的信息是否符合预期。用户数相适宜的图片库存储相应的信息元素。5.4.1程序应能生成一组语音作为验证码(示例见A.4)呈现给用户，并能判定用户的验证操作(反馈)是否符合预期。5.4.2程序宜包含与用户相适宜的语音库存储相应的信息元素，语音信息元素涉及的内容包括但不限5.4.4语音信息元素涉及的字符应符合GB/T1988—1998和GB18030的要求。5.4.5语音库中信息元素应包括不少于1种干扰信息。干扰信息包括但不限于噪声、背景音乐、环境4GB/T41802—2022声等。5.5复合验证码程序5.5.1程序应能运用5.1～5.4中信息元素(包括图形字符、问题、目标位置或轨迹形状、语音)的组合生成一组验证码(示例见A.5)呈现给用户，并能判定用户的反馈是否符合预期。5.5.2程序使用的信息元素及信息元素库应符合5.1～5.4的要求。5GB/T41802—2022(资料性)验证码示例A.1基于文本的验证码基于文本的验证码示例见图A.1。图A.1基于文本的验证码示例A.2基于知识的验证码基于知识的验证码示例见图A.2。图A.2基于知识的验证码示例6请选择下图中所有的c)示例3请点山下方图片，旋转至正确方向d)示例4图A.2基于知识的验证码示例(续)A.3基于行为的验证码基于行为的验证码示例见图A.3。图A.3基于行