驗證碼的前世今生

“你永遠不知道，網(wǎng)絡(luò)對面坐的一個人還是一只狗”

--網(wǎng)友戲說

視頻、出行、購物等網(wǎng)站的使用者，就一定是人類嗎？會不會是偽裝成“人類”的計算機呢？

為了能夠識別人類和計算機，“驗證碼”應(yīng)運而生。

今天，讓我們了解一下驗證碼的前世今生吧！

01、先了解什么是“圖靈測試”

從 1946 年世界上第一臺計算機出現(xiàn)開始，聰明的人類就已經(jīng)考慮計算機發(fā)展到替代人類的可能性。艾倫?麥席森?圖靈，被稱為計算機科學(xué)之父、人工智能之父，專門設(shè)計了一個著名的“圖靈測試”，用來判定計算機能否在智力行為上表現(xiàn)得和人無法區(qū)分。

當(dāng)主持人問了 1 個問題，然后無法從 2 個解答中分辨出誰是人類、誰是計算機時，就表明計算機的智能水平已經(jīng)與人類沒有差異了。

“圖靈測試”是由人類來判斷：誰是計算機？誰是人類？

最重要的目的，是識別出計算機。

02、反過來的“圖靈測試” 就是驗證碼

那么“驗證碼”，是由計算機來判斷：誰是人類？誰是計算機？

最重要的目的，是識別出人類。

這一點，可以從驗證碼的中英文全稱中看出來：CAPTCHA（Completely Automated Public Turing Test to Tell Computers and Humans Apart， 全自動區(qū)分計算機和人類的公開圖靈測試），又名 HIP（Human Interaction Proof，人類交互行為證明）。

最典型的驗證碼，如下圖所示。

以目前的眼光來看，這個驗證碼確實略顯簡陋。

但是在計算機技術(shù)還不發(fā)達的年代，這樣的驗證碼，已經(jīng)足以識別出人類：

只有人類，才能識別出驗證碼中被嚴重扭曲的字母或者數(shù)字；

而計算機，則無法識別。

基于這樣的驗證碼，各種計算機系統(tǒng)（例如：網(wǎng)站、郵箱等）成功識別到真正的人類后，允許人類繼續(xù)操作，比如：登錄郵箱、投票等。

03、為“保護”而生的驗證碼

當(dāng)各種計算機系統(tǒng)無法識別人類和計算機時，計算機技術(shù)也能給人類帶來麻煩，例如：

郵箱的泛濫注冊，導(dǎo)致垃圾郵件滿天飛；

投票的野蠻刷票，導(dǎo)致投票結(jié)果不公正；

車票的插件搶占，導(dǎo)致返鄉(xiāng)車票買不到。

1999 年一個網(wǎng)站發(fā)起的在線投票，推選全美計算機科學(xué)專業(yè)最好的學(xué)校時，按理來說是一個人投一張票。但是投票網(wǎng)站在設(shè)計的時候，沒有考慮太多，只以投票者所在計算機的 IP 地址作為判斷依據(jù)。

于是有人編寫了計算機腳本進行批量刷票：每次投票完后更改一個 IP 地址，然后繼續(xù)投票。這樣的話，有成千上萬個 IP 地址就代表了成千上萬個不同的人，就可以投成千上萬票。

這樣的計算機技術(shù)，無疑是影響到了整個投票的公平性。

所以說，各種計算機系統(tǒng)，需要一個堅固的“盾”來保護自己。

實際上，第一種驗證碼（字符型）的出現(xiàn)，就是為了對抗“自動刷票”這種計算機技術(shù)的。

04、越來越堅固的“盾”

那么你知道都有哪些千奇百怪的“驗證碼”嗎？

01、字符型

字符型驗證碼，是我們?nèi)粘Ｗ罱?jīng)常見到的驗證碼。通常是一些字母、數(shù)字的組合，而且為了增加識別的難度，這些字符經(jīng)常會被變形、被扭曲、被翻轉(zhuǎn)。

隨著計算機技術(shù)的發(fā)展，字符型驗證碼的安全程度在降低，逐漸被其他類型驗證碼替代。

02、計算型

計算型驗證碼，通常是一些數(shù)學(xué)公式，需要人類發(fā)動聰明的大腦進行復(fù)雜的運算，才能得出正確的結(jié)果。

很遺憾，這種可以提供較高安全性的驗證碼，雖然計算機很難識別，但是大部分人類自己也覺得很難。所以計算型驗證碼，并沒有廣泛應(yīng)用過。

03、點擊型

點擊型驗證碼的最大特點是：使用者只需要通過鼠標進行點擊，不需要輸入任何東西。通過這種人類專屬的行為動作，以及使用者在瀏覽器中的一些操作數(shù)據(jù)、瀏覽數(shù)據(jù)等，共同識別出真正的人類。

點擊型驗證碼的安全性較高，而且用戶體驗較好。

在一些重要的計算機系統(tǒng)，例如：動車售票網(wǎng)站、大型購物網(wǎng)站、大型視頻網(wǎng)站等用戶量較大、數(shù)據(jù)安全要求高的地方，采用點擊型驗證碼，可以有效識別人類，避免其他計算機的攻擊。

04、滑動型

滑動型驗證碼通過收集使用者的動作，判斷是否為人類。例如：人類拖動滑塊的軌跡會是一個先快后慢的過程：先快速拖動，后慢慢對齊，再瞬間釋放。

這種驗證碼的用戶體驗較好，雖然被計算機技術(shù)突破的成功率也有 60% 以上，但是計算機技術(shù)模擬人類行為的成本較大，得不償失。

05、短信型

短信型驗證碼，是最常用的一種方式。各種 App 一般會采用這種方式，簡單直接，通過運營商來發(fā)送短信，安全上有保障。

每個驗證碼與手機號碼相對應(yīng)而且一般有效期僅為 60 秒~90 秒，不留其他人鉆空子的機會。

06、掃碼型

掃碼型驗證碼，實際上就是首先確保在手機上已經(jīng)成功登錄，然后通過掃描二維碼的方式在 PC 上繼續(xù)登錄。這是如今各大視頻網(wǎng)站、購物網(wǎng)站的常用方法。

讓人類自己去驗證人類自己，嘿，這方法真棒。

07、生物特征型

各種人臉識別、指紋識別、聲紋識別甚至虹膜識別，都可以算作是生物特征型驗證碼。使用起來更加簡單，而且因為這些生物特征在每個人類中的獨特性，猶如一把專屬鑰匙，具備較高的安全性。

05、越來越鋒利的“矛”

雖然“盾”很堅固，但是隨著計算機技術(shù)的不斷進步，鋒利的“矛”也層出不窮。

為了突破驗證碼的保護，發(fā)展出了以下的計算機技術(shù)：

01、OCR 技術(shù)

OCR （Optical Character Recognition，光學(xué)字符識別）技術(shù)，可以將圖片、照片上的文字內(nèi)容，直接轉(zhuǎn)換為可編輯的文本。

2003 年有人通過圖像識別算法（Shape Context）對簡單字符型的驗證碼進行自動化識別，可以達到 93% 的成功率。

OCR 技術(shù)僅能攻破一些簡單的字符型驗證碼，稍微復(fù)雜一些（比如扭曲、翻轉(zhuǎn)）的字符，就需要花費更多時間，一般無法在字符型驗證失效前識別成功。

02、機器學(xué)習(xí)模型

2005 年有人利用機器學(xué)習(xí)模型（CNN）對單個字符的驗證碼進行自動化識別，計算機的識別成功率竟然還比人類的成功率還高。

然而，要想使用機器學(xué)習(xí)模型來識別字符型驗證碼，需要先準備好多臺高性能計算機和大量的訓(xùn)練數(shù)據(jù)，因此模型識別的成本太高，一般人用不起。

03、偽裝的手機基站

要想破解短信型驗證碼，偽裝的手機基站需要首先屏蔽目標手機的信號，然后以這個手機號碼去嘗試登錄網(wǎng)站，還要能夠偽裝目標手機去接收短信。

各個環(huán)節(jié)都要在短時間內(nèi)完成，簡直就是 Mission Impossible，而且每一步都是違法違規(guī)，破解成本高到天際了。

04、終極的“偽裝”

“能打敗人類的，終將是人類自己”！

當(dāng)人類擁有走出宇宙文明的計算機技術(shù)時，是否可以通過克隆出一個人類，讓這個復(fù)制出來的人類去破解各種各樣的驗證碼，豈不是手到擒來？！

當(dāng)然，這僅僅是小編的一丟丟幻想，可能會在科幻片里看到，各位粉絲不要當(dāng)真哦！

好的，今天的內(nèi)容就是這些啦，和小編一起回顧一下吧：

“圖靈測試”是為了分辨出誰才是計算機；

“驗證碼”是為了分辨出誰才是人類；

千奇百怪的“驗證碼”保護著各種計算機系統(tǒng)；

層出不窮的“計算機技術(shù)”不斷提高自己偽裝成人類的能力。

作為“盾”，驗證碼如何才能更安全、更易用？

作為“矛”，計算機技術(shù)如何才能突破驗證碼的嚴防死守？

這些問題，都需要交給聰明的人類、更加智能的計算機技術(shù)去解答。

可以預(yù)見，作為“人類與計算機的角斗場”的驗證碼，將迎來更多的攻防機會，同時也會給我們的社會帶來更多的改變，讓我們拭目以待！

本文來自微信公眾號：中興文檔 （ID：ztedoc），作者：中興文檔

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。