轉眼國慶就要結束了，又要離開被窩的懷抱了。

這兩天不管是買回來路上的票，還是旅遊景點的票，感覺都像在闖關，搶不搶得到另說，誰也逃不過驗證碼的折磨。

只要是網路弄潮兒，總有被驗證碼搞崩潰的時候。

有人做過統計，全世界的網民一天要輸入將近2億次驗證碼，如果每次輸入只用10秒鐘，那麼人類每天在驗證碼上花的時間已經超過了50萬小時……

更何況，現在的驗證碼形式越來越“野”，沒有點知識儲備，連驗證碼都輸不對了。

這些網路保安不僅敬業地擋住了人工智慧，還把人變成了人工智障。

每個“驗證碼輸入有誤”的瞬間，都讓人想要問天問大地——到底是誰把驗證碼帶進了我的生命裡？

“在網上，你永遠也不知道螢幕那頭是人是狗。”

這句網際網路發展之初的玩笑話，在千禧年之後成為了現實。

2000年那會兒，最潮流的資訊傳送方式還是雅虎郵箱，堪稱當時網際網路行業的“殺手級”應用，很多中國人的第一個電子郵箱字尾就是@yahoo。com。

網路黑產怎麼會放過這麼好的渠道呢？

當年國際上最大的黑產是奈及利亞人，世紀之交時，他們開始用機器註冊大量的雅虎馬甲郵箱，用來發送垃圾郵件，進行網路詐騙，被媒體稱作“雅虎男孩”。

他們的騙術對歐美的中老年白人無往不利，以至於2003年時，白宮甚至警告奈及利亞政府，如果不採取有效措施，美國將對其實施經濟制裁。可見當時除了口頭警告，真沒有有效的安全措施。

（一封假冒中國工商銀行職員的虛假電郵）

當時美國有一個天才少年，叫路易斯·馮·安，不堪其擾的他給雅虎設計了一套人機驗證方案，也就是最早的字元驗證碼。

那時的黑產程式還識別不出來影象，一個簡單的驗證碼就成功地抵擋住了黑產的進攻，而且很快就變成了各個網站的身份驗證標配，也就是我們的登入/註冊路上的第一道障礙。

最開始的字元驗證，還只是一張小圖片，上面帶個方方正正的單詞，人眼看著不費勁，但是沒過多久機器看著也不費勁了。

隨著科學技術的發展，影象識別根本難不倒計算機，所以驗證碼被迫變得扭曲，輸入驗證碼開始變得痛苦。

尤其是當你忘記密碼，一個個試的時候，驗證碼和密碼，總有一個輸入有誤，關鍵是你還不知道哪個有誤……

趕上網不好的時候，那張小小的驗證碼圖片根本刷不出來，好不容易刷出來了，歪七扭八也分不清是Q還是O，讓人特別想砸鍵盤。

翻轉、變形、上面有劃線、背景看著特別難受，都是驗證碼進化的代價。

這個階段還有一件特別有意思的事，還是那個天才少年路易斯·馮·安，他把當時很多需要電子化，但是電腦無法自動識別的古書籍和舊報刊裡的字元拿出來，做成了驗證碼，讓網站的使用者手動輸入。

所以使用者在輸驗證碼的時候，不知不覺還為古籍電子化添磚加瓦了。

（一個計算機可以識別，另一個是古籍裡無法識別的）

這個創意是很好，但是很快扭曲的字元也無法阻擋黑產的腳步了。

透過一些計算機技術，即使是變形的字元也能被機器精準地識別出來。而就算識別不出來的，也能跟古籍電子化的例子一樣，用人工方法解決。

騰訊安全曾經協助警方破獲過一個國內的“打碼”團伙，他們用AI對驗證碼進行“爆破”，剩下爆破不了的就交給“外包”。

（這種兼職一律不要相信）

不知道你們有沒有見過那種“翻譯驗證碼賺錢”的兼職，當年頭鐵的我還真幹過。

開始的時候，黑產團隊先要了我200塊“押金”，然後發了一個很小的電腦程式給我，上面有無止境重新整理的驗證碼，旁邊還有小框統計你輸入了多少個、用了多長時間。

每輸入一個驗證碼能賺一分錢，累計到一定程度後可以提現。

年輕的我很快就發現這玩意比他們說的“動動手指”累多了，第一次只堅持了十幾分鍾，幾天後就痛苦地告別了我的二百塊錢。

後來明白過來，才發現這夥人也太精了，輸驗證碼能給他們掙錢，不輸驗證碼拿不回押金還能給他們掙錢……

被騙的人還不止我一個，據不完全統計，這個鏈條上有百萬級別的“從業者”，不是騙子就是被騙的。

（現在還有這種黑產，絕對不要相信）

由於英文字母只有26個，太容易被機器識別，有一陣還興起過中文驗證碼，讓漢字的博大精深教黑產做人。

在一段時間內，它有效地擋住了黑產和駭客，但隨著資訊科技的發展，中文也不是個事了。

當文字通通落敗，驗證碼就徹底走上了魔幻的道路……

在字元驗證之後登場的是“指定物品驗證”，也就是讓人痛恨的圖片選擇題。

這個方陣裡最“臭名昭著”就是12306。

為了防止搶票外掛和黃牛惡意購票，鐵路部門從2013年起，就開始頻繁升級網站驗證碼，增加圖形驗證碼的種類。

到了2015年底，12306的圖片題一共有581種，可以細分為十二個品類。這些圖片幾乎囊括了天文地理、歷史政治等多個方面，基本可以檢測出購票者是否德智體美勞全面發展。

有網站統計過，12306的驗證碼一次性輸入正確的比例只有8%，兩次輸入正確的比例也不過27%；

假設一個人在8張相似的面孔裡準確找到劉翔的用時為5秒，那麼每輸錯一次驗證碼，就意味著當次購票成功率下降80%。

在“一秒沒”的搶票情境下，能成功買到票的都是天選之人。

車票這種東西，一年也買不了幾次，鐵路部門大可以把門檻設的嚴苛一點，但指望使用者頻繁登入的大小網站可不敢這麼任性。

在文字驗證碼失敗後，他們採用的是一種叫做“行為驗證碼”的玩意，裡面最常見的就是“滑動拼圖到指定位置”。

這種驗證方式，不僅是測試使用者能不能將拼圖滑到正確的位置，還測試了移動速度，如果檢測到移動速度是機器識別，就會不予透過。

所以目前來說，滑動驗證碼還是比較安全的，很多網站和APP都會採用這樣的驗證方式。

其他同類的還有“按照順序選文字”“問題驗證碼”等等奇葩的驗證方式。

比如，2019年上海拍牌就採用的是“回答問題”驗證碼，成功將網站變成了一站到底海選賽。

一大批人倒在了驗證碼上，他們遇到的問題是：“請輸入成語或俗語對應的下方數字”。

要我說，對使用者最友好的還是手機驗證碼，透過傳送驗證碼到手機，方便快捷不費眼。

手機驗證碼能成功出現，還多虧了手機實名制。

我國不少地方從2010年就陸續開始施行手機實名制，此後每一年都在加大手機實名制推行的力度，用了5年多的時間，才取得了一定成果。

同時還在落實網路實名制，於是手機驗證碼就變成了網路賬號實名制的一種認證方式，被廣泛應用了。

作為為數不多的“真心想讓我登入”的驗證碼，手機驗證碼可謂是魔幻驗證碼隊伍裡的正道之光，讓人甘願冒著資訊洩露的風險，也要擁護它。

美劇裡總有這樣的情節：當一項新的高精尖計算機成果問世，全球的網路安全就會經歷一次大地震，銀行和政府的安全措施都要被更新。

我覺得驗證碼也有相似之處，黑產破解驗證碼用到的網路技術，跟普通人的生活就是兩條平行線；

但每當舊的驗證碼不再安全，新的驗證碼已經出現，我普通的生活就會增添很多煩惱……

驗證碼的發展與其說是科技發展的結果，不如說是人與人鬥智鬥勇的過程。

這裡的“人”，不光是發明驗證碼的網路安全員工，以及想要突破驗證碼的不法分子，更多是每天被迫輸入很多遍驗證碼的普通人。

搶車票、搶演唱會票、購物節搶東西，所有需要“搶”的場合都有魔幻驗證碼的一席之地。

而驗證碼每魔幻一分，搶得到的機率就小了十分。

即使是普普通通一次登入，都要先經過驗證碼的考驗，有時候還要反覆經歷考驗，更別提驗證碼正在往越來越魔幻的方向發展……

城門失火殃及池魚，衷心希望黑產和黃牛早日投案自首，把一身本領和有限的生命投入到光明的事業中去，不要再在別人的手機和電腦裡“鬥法”了！

參考資料：

雅虎郵箱培養了一批雅虎男孩，現在他們騙到中國來了

12306驗證碼百度百科驗證碼的魔幻進化史

在被12306坑之後 我們聊聊驗證碼發展史

科普：驗證碼的發展史與未來預測

本文創作團隊

作者 |崇衫

策劃 |

崇衫

編輯 |

沉夕