转眼国庆就要结束了,又要离开被窝的怀抱了。
这两天不管是买回来路上的票,还是旅游景点的票,感觉都像在闯关,抢不抢得到另说,谁也逃不过验证码的折磨。
只要是网络弄潮儿,总有被验证码搞崩溃的时候。
有人做过统计,全世界的网民一天要输入将近2亿次验证码,如果每次输入只用10秒钟,那么人类每天在验证码上花的时间已经超过了50万小时……
更何况,现在的验证码形式越来越“野”,没有点知识储备,连验证码都输不对了。
这些网络保安不仅敬业地挡住了人工智能,还把人变成了人工智障。
每个“验证码输入有误”的瞬间,都让人想要问天问大地——到底是谁把验证码带进了我的生命里?
“在网上,你永远也不知道屏幕那头是人是狗。”
这句互联网发展之初的玩笑话,在千禧年之后成为了现实。
2000年那会儿,最潮流的信息发送方式还是雅虎邮箱,堪称当时互联网行业的“杀手级”应用,很多中国人的第一个电子邮箱后缀就是@yahoo.com。
网络黑产怎么会放过这么好的渠道呢?
当年国际上最大的黑产是尼日利亚人,世纪之交时,他们开始用机器注册大量的雅虎马甲邮箱,用来发送垃圾邮件,进行网络诈骗,被媒体称作“雅虎男孩”。
他们的骗术对欧美的中老年白人无往不利,以至于2003年时,白宫甚至警告尼日利亚政府,如果不采取有效措施,美国将对其实施经济制裁。可见当时除了口头警告,真没有有效的安全措施。
(一封假冒中国工商银行职员的虚假电邮)
当时美国有一个天才少年,叫路易斯·冯·安,不堪其扰的他给雅虎设计了一套人机验证方案,也就是最早的字符验证码。
那时的黑产程序还识别不出来图像,一个简单的验证码就成功地抵挡住了黑产的进攻,而且很快就变成了各个网站的身份验证标配,也就是我们的登录/注册路上的第一道障碍。
最开始的字符验证,还只是一张小图片,上面带个方方正正的单词,人眼看着不费劲,但是没过多久机器看着也不费劲了。
随着科学技术的发展,图像识别根本难不倒计算机,所以验证码被迫变得扭曲,输入验证码开始变得痛苦。
尤其是当你忘记密码,一个个试的时候,验证码和密码,总有一个输入有误,关键是你还不知道哪个有误……
赶上网不好的时候,那张小小的验证码图片根本刷不出来,好不容易刷出来了,歪七扭八也分不清是Q还是O,让人特别想砸键盘。
翻转、变形、上面有划线、背景看着特别难受,都是验证码进化的代价。
这个阶段还有一件特别有意思的事,还是那个天才少年路易斯·冯·安,他把当时很多需要电子化,但是电脑无法自动识别的古书籍和旧报刊里的字符拿出来,做成了验证码,让网站的用户手动输入。
所以用户在输验证码的时候,不知不觉还为古籍电子化添砖加瓦了。
(一个计算机可以识别,另一个是古籍里无法识别的)
这个创意是很好,但是很快扭曲的字符也无法阻挡黑产的脚步了。
通过一些计算机技术,即使是变形的字符也能被机器精准地识别出来。而就算识别不出来的,也能跟古籍电子化的例子一样,用人工方法解决。
腾讯安全曾经协助警方破获过一个国内的“打码”团伙,他们用AI对验证码进行“爆破”,剩下爆破不了的就交给“外包”。
(这种兼职一律不要相信)
不知道你们有没有见过那种“翻译验证码赚钱”的兼职,当年头铁的我还真干过。
开始的时候,黑产团队先要了我200块“押金”,然后发了一个很小的电脑程序给我,上面有无止境刷新的验证码,旁边还有小框统计你输入了多少个、用了多长时间。
每输入一个验证码能赚一分钱,累计到一定程度后可以提现。
年轻的我很快就发现这玩意比他们说的“动动手指”累多了,第一次只坚持了十几分钟,几天后就痛苦地告别了我的二百块钱。
后来明白过来,才发现这伙人也太精了,输验证码能给他们挣钱,不输验证码拿不回押金还能给他们挣钱……
被骗的人还不止我一个,据不完全统计,这个链条上有百万级别的“从业者”,不是骗子就是被骗的。
(现在还有这种黑产,绝对不要相信)
由于英文字母只有26个,太容易被机器识别,有一阵还兴起过中文验证码,让汉字的博大精深教黑产做人。
在一段时间内,它有效地挡住了黑产和黑客,但随着信息技术的发展,中文也不是个事了。
当文字通通落败,验证码就彻底走上了魔幻的道路……
在字符验证之后登场的是“指定物品验证”,也就是让人痛恨的图片选择题。
这个方阵里最“臭名昭著”就是12306。
为了防止抢票插件和黄牛恶意购票,铁路部门从2013年起,就开始频繁升级网站验证码,增加图形验证码的种类。
到了2015年底,12306的图片题一共有581种,可以细分为十二个品类。这些图片几乎囊括了天文地理、历史政治等多个方面,基本可以检测出购票者是否德智体美劳全面发展。
有网站统计过,12306的验证码一次性输入正确的比例只有8%,两次输入正确的比例也不过27%;
假设一个人在8张相似的面孔里准确找到刘翔的用时为5秒,那么每输错一次验证码,就意味着当次购票成功率下降80%。
在“一秒没”的抢票情境下,能成功买到票的都是天选之人。
车票这种东西,一年也买不了几次,铁路部门大可以把门槛设的严苛一点,但指望用户频繁登录的大小网站可不敢这么任性。
在文字验证码失败后,他们采用的是一种叫做“行为验证码”的玩意,里面最常见的就是“滑动拼图到指定位置”。
这种验证方式,不仅是测试用户能不能将拼图滑到正确的位置,还测试了移动速度,如果检测到移动速度是机器识别,就会不予通过。
所以目前来说,滑动验证码还是比较安全的,很多网站和APP都会采用这样的验证方式。
其他同类的还有“按照顺序选文字”“问题验证码”等等奇葩的验证方式。
比如,2019年上海拍牌就采用的是“回答问题”验证码,成功将网站变成了一站到底海选赛。
一大批人倒在了验证码上,他们遇到的问题是:“请输入成语或俗语对应的下方数字”。
要我说,对用户最友好的还是手机验证码,通过发送验证码到手机,方便快捷不费眼。
手机验证码能成功出现,还多亏了手机实名制。
我国不少地方从2010年就陆续开始施行手机实名制,此后每一年都在加大手机实名制推行的力度,用了5年多的时间,才取得了一定成果。
同时还在落实网络实名制,于是手机验证码就变成了网络账号实名制的一种认证方式,被广泛应用了。
作为为数不多的“真心想让我登录”的验证码,手机验证码可谓是魔幻验证码队伍里的正道之光,让人甘愿冒着信息泄露的风险,也要拥护它。
美剧里总有这样的情节:当一项新的高精尖计算机成果问世,全球的网络安全就会经历一次大地震,银行和政府的安全措施都要被更新。
我觉得验证码也有相似之处,黑产破解验证码用到的网络技术,跟普通人的生活就是两条平行线;
但每当旧的验证码不再安全,新的验证码已经出现,我普通的生活就会增添很多烦恼……
验证码的发展与其说是科技发展的结果,不如说是人与人斗智斗勇的过程。
这里的“人”,不光是发明验证码的网络安全员工,以及想要突破验证码的不法分子,更多是每天被迫输入很多遍验证码的普通人。
抢车票、抢演唱会票、购物节抢东西,所有需要“抢”的场合都有魔幻验证码的一席之地。
而验证码每魔幻一分,抢得到的几率就小了十分。
即使是普普通通一次登录,都要先经过验证码的考验,有时候还要反复经历考验,更别提验证码正在往越来越魔幻的方向发展……
城门失火殃及池鱼,衷心希望黑产和黄牛早日投案自首,把一身本领和有限的生命投入到光明的事业中去,不要再在别人的手机和电脑里“斗法”了!
参考资料:
1、雅虎邮箱培养了一批雅虎男孩,现在他们骗到中国来了
2、12306验证码百度百科验证码的魔幻进化史
3、在被12306坑之后 我们聊聊验证码发展史
4、科普:验证码的发展史与未来预测