[教程]一种利用验证码增强管理员及特定用户账户安全性的方案

对于管理员或者特定权限账号，有时候恶意的爆破手段可能导致账号被异地登录，即使开启了验证码，对于当前的机器手段也是效果甚微，毕竟很多验证码都可以被机器识别破解，形同虚设。既然如此，我们可以对特定的账号，...

对于管理员或者特定权限账号，有时候恶意的爆破手段可能导致账号被异地登录，即使开启了验证码，对于当前的机器手段也是效果甚微，毕竟很多验证码都可以被机器识别破解，形同虚设。

既然如此，我们可以对特定的账号，比如管理员账号设置特定的验证码，只有输入设置好的固定验证码才可以通过验证，这样验证码就成了一种“二次密码”，而且是隐形的二次密码，不知道的用户只能徒劳的尝试不可能正确的验证码，卡在验证码这一关，根本没有机会去尝试账号的密码。因为这种验证码是自己额外设置的，字符位数甚至类型都与验证码图片上的字符不匹配，很难被猜到，除非服务器被攻破，文件被泄露才会被看到真实的验证码。当然，服务器都被攻破了，密码什么的也就没有意义了。

这种方案的优点在于，它不影响普通账号的使用的验证，但是极大增强了管理用户账号的安全性。对于不同的验证码插件，修改方案也是不同的，比较适合字符型验证码，一般就是修改登录部分的验证码代码，针对管理用户的用户名进行判断并重新设定验证码session值，达到指定用户名固定验证码的效果。