轉眼國慶就要結束了,又要離開被窩的懷抱了。
這兩天不管是買回來路上的票,還是旅遊景點的票,感覺都像在闖關,搶不搶得到另說,誰也逃不過驗證碼的折磨。
只要是網路弄潮兒,總有被驗證碼搞崩潰的時候。
有人做過統計,全世界的網民一天要輸入將近2億次驗證碼,如果每次輸入只用10秒鐘,那麼人類每天在驗證碼上花的時間已經超過了50萬小時……
更何況,現在的驗證碼形式越來越“野”,沒有點知識儲備,連驗證碼都輸不對了。
這些網路保安不僅敬業地擋住了人工智慧,還把人變成了人工智障。
每個“驗證碼輸入有誤”的瞬間,都讓人想要問天問大地——到底是誰把驗證碼帶進了我的生命裡?
“在網上,你永遠也不知道螢幕那頭是人是狗。”
這句網際網路發展之初的玩笑話,在千禧年之後成為了現實。
2000年那會兒,最潮流的資訊傳送方式還是雅虎郵箱,堪稱當時網際網路行業的“殺手級”應用,很多中國人的第一個電子郵箱字尾就是@yahoo。com。
網路黑產怎麼會放過這麼好的渠道呢?
當年國際上最大的黑產是奈及利亞人,世紀之交時,他們開始用機器註冊大量的雅虎馬甲郵箱,用來發送垃圾郵件,進行網路詐騙,被媒體稱作“雅虎男孩”。
他們的騙術對歐美的中老年白人無往不利,以至於2003年時,白宮甚至警告奈及利亞政府,如果不採取有效措施,美國將對其實施經濟制裁。可見當時除了口頭警告,真沒有有效的安全措施。
(一封假冒中國工商銀行職員的虛假電郵)
當時美國有一個天才少年,叫路易斯·馮·安,不堪其擾的他給雅虎設計了一套人機驗證方案,也就是最早的字元驗證碼。
那時的黑產程式還識別不出來影象,一個簡單的驗證碼就成功地抵擋住了黑產的進攻,而且很快就變成了各個網站的身份驗證標配,也就是我們的登入/註冊路上的第一道障礙。
最開始的字元驗證,還只是一張小圖片,上面帶個方方正正的單詞,人眼看著不費勁,但是沒過多久機器看著也不費勁了。
隨著科學技術的發展,影象識別根本難不倒計算機,所以驗證碼被迫變得扭曲,輸入驗證碼開始變得痛苦。
尤其是當你忘記密碼,一個個試的時候,驗證碼和密碼,總有一個輸入有誤,關鍵是你還不知道哪個有誤……
趕上網不好的時候,那張小小的驗證碼圖片根本刷不出來,好不容易刷出來了,歪七扭八也分不清是Q還是O,讓人特別想砸鍵盤。
翻轉、變形、上面有劃線、背景看著特別難受,都是驗證碼進化的代價。
這個階段還有一件特別有意思的事,還是那個天才少年路易斯·馮·安,他把當時很多需要電子化,但是電腦無法自動識別的古書籍和舊報刊裡的字元拿出來,做成了驗證碼,讓網站的使用者手動輸入。
所以使用者在輸驗證碼的時候,不知不覺還為古籍電子化添磚加瓦了。
(一個計算機可以識別,另一個是古籍裡無法識別的)
這個創意是很好,但是很快扭曲的字元也無法阻擋黑產的腳步了。
透過一些計算機技術,即使是變形的字元也能被機器精準地識別出來。而就算識別不出來的,也能跟古籍電子化的例子一樣,用人工方法解決。
騰訊安全曾經協助警方破獲過一個國內的“打碼”團伙,他們用AI對驗證碼進行“爆破”,剩下爆破不了的就交給“外包”。
(這種兼職一律不要相信)
不知道你們有沒有見過那種“翻譯驗證碼賺錢”的兼職,當年頭鐵的我還真幹過。
開始的時候,黑產團隊先要了我200塊“押金”,然後發了一個很小的電腦程式給我,上面有無止境重新整理的驗證碼,旁邊還有小框統計你輸入了多少個、用了多長時間。
每輸入一個驗證碼能賺一分錢,累計到一定程度後可以提現。
年輕的我很快就發現這玩意比他們說的“動動手指”累多了,第一次只堅持了十幾分鍾,幾天後就痛苦地告別了我的二百塊錢。
後來明白過來,才發現這夥人也太精了,輸驗證碼能給他們掙錢,不輸驗證碼拿不回押金還能給他們掙錢……
被騙的人還不止我一個,據不完全統計,這個鏈條上有百萬級別的“從業者”,不是騙子就是被騙的。
(現在還有這種黑產,絕對不要相信)
由於英文字母只有26個,太容易被機器識別,有一陣還興起過中文驗證碼,讓漢字的博大精深教黑產做人。
在一段時間內,它有效地擋住了黑產和駭客,但隨著資訊科技的發展,中文也不是個事了。
當文字通通落敗,驗證碼就徹底走上了魔幻的道路……
在字元驗證之後登場的是“指定物品驗證”,也就是讓人痛恨的圖片選擇題。
這個方陣裡最“臭名昭著”就是12306。
為了防止搶票外掛和黃牛惡意購票,鐵路部門從2013年起,就開始頻繁升級網站驗證碼,增加圖形驗證碼的種類。
到了2015年底,12306的圖片題一共有581種,可以細分為十二個品類。這些圖片幾乎囊括了天文地理、歷史政治等多個方面,基本可以檢測出購票者是否德智體美勞全面發展。
有網站統計過,12306的驗證碼一次性輸入正確的比例只有8%,兩次輸入正確的比例也不過27%;
假設一個人在8張相似的面孔裡準確找到劉翔的用時為5秒,那麼每輸錯一次驗證碼,就意味著當次購票成功率下降80%。
在“一秒沒”的搶票情境下,能成功買到票的都是天選之人。
車票這種東西,一年也買不了幾次,鐵路部門大可以把門檻設的嚴苛一點,但指望使用者頻繁登入的大小網站可不敢這麼任性。
在文字驗證碼失敗後,他們採用的是一種叫做“行為驗證碼”的玩意,裡面最常見的就是“滑動拼圖到指定位置”。
這種驗證方式,不僅是測試使用者能不能將拼圖滑到正確的位置,還測試了移動速度,如果檢測到移動速度是機器識別,就會不予透過。
所以目前來說,滑動驗證碼還是比較安全的,很多網站和APP都會採用這樣的驗證方式。
其他同類的還有“按照順序選文字”“問題驗證碼”等等奇葩的驗證方式。
比如,2019年上海拍牌就採用的是“回答問題”驗證碼,成功將網站變成了一站到底海選賽。
一大批人倒在了驗證碼上,他們遇到的問題是:“請輸入成語或俗語對應的下方數字”。
要我說,對使用者最友好的還是手機驗證碼,透過傳送驗證碼到手機,方便快捷不費眼。
手機驗證碼能成功出現,還多虧了手機實名制。
我國不少地方從2010年就陸續開始施行手機實名制,此後每一年都在加大手機實名制推行的力度,用了5年多的時間,才取得了一定成果。
同時還在落實網路實名制,於是手機驗證碼就變成了網路賬號實名制的一種認證方式,被廣泛應用了。
作為為數不多的“真心想讓我登入”的驗證碼,手機驗證碼可謂是魔幻驗證碼隊伍裡的正道之光,讓人甘願冒著資訊洩露的風險,也要擁護它。
美劇裡總有這樣的情節:當一項新的高精尖計算機成果問世,全球的網路安全就會經歷一次大地震,銀行和政府的安全措施都要被更新。
我覺得驗證碼也有相似之處,黑產破解驗證碼用到的網路技術,跟普通人的生活就是兩條平行線;
但每當舊的驗證碼不再安全,新的驗證碼已經出現,我普通的生活就會增添很多煩惱……
驗證碼的發展與其說是科技發展的結果,不如說是人與人鬥智鬥勇的過程。
這裡的“人”,不光是發明驗證碼的網路安全員工,以及想要突破驗證碼的不法分子,更多是每天被迫輸入很多遍驗證碼的普通人。
搶車票、搶演唱會票、購物節搶東西,所有需要“搶”的場合都有魔幻驗證碼的一席之地。
而驗證碼每魔幻一分,搶得到的機率就小了十分。
即使是普普通通一次登入,都要先經過驗證碼的考驗,有時候還要反覆經歷考驗,更別提驗證碼正在往越來越魔幻的方向發展……
城門失火殃及池魚,衷心希望黑產和黃牛早日投案自首,把一身本領和有限的生命投入到光明的事業中去,不要再在別人的手機和電腦裡“鬥法”了!
參考資料:
雅虎郵箱培養了一批雅虎男孩,現在他們騙到中國來了
12306驗證碼百度百科驗證碼的魔幻進化史
在被12306坑之後 我們聊聊驗證碼發展史
科普:驗證碼的發展史與未來預測
本文創作團隊
作者 |崇衫
策劃 |
崇衫
編輯 |
沉夕