驗證碼,本意是安全不是麻煩
- 發佈時間:2015-12-22 01:30:58 來源:科技日報 責任編輯:羅伯特
■將新聞進行到底
文·本報記者 付麗麗
隨著一年一度的春運遷徙潮即將到來,鐵路部門和廣大旅客同胞們都在摩拳擦掌緊張著同一件事——購票。近日,購票網站12306再次被拋向輿論的風口浪尖。這一次,其飽受詬病的不是令人崩潰的網站,而是驗證碼。一方面人們紛紛吐槽12306網站的圖形驗證碼不易辨認,另一方面,人們也開始對驗證碼本身産生了質疑,究竟驗證碼有沒有存在的必要,是不是有些多此一舉呢?
——新聞緣起——
12306購票驗證碼遭吐槽
“請點擊下圖中所有的瑪瑙”“請點擊下圖中所有的博斯普魯斯海峽”“請點擊下圖中所有的蜥蜴”……這些都是人們在12306網站購票時遭遇的驗證碼問題。
由於設置了圖形驗證碼,用戶需要根據提示,從8張圖片中找到提示中提到的相關物品,看不清或者沒把握的可以刷新更換。如此確認無誤後,才能在12306網站登錄或者提交訂單。據統計,目前12306的圖形碼數量已多達581種,可細分為12個品類。
然而本用來防止黃牛倒票的圖形驗證碼,卻因畫質模糊、辨識度低,幾乎成了消費者和火車票之間最大的攔路虎。
深受驗證碼困擾的小劉説:“12306所提供的圖形碼畫質一般,而且一些‘老古董’,比如煤油燈、縫紉機,我們90後很多人都沒見過。”
“搶過票,才知道自己見識有多少”“驗證碼要猜半天,等到猜對了票就沒了”“12306的驗證碼,已經擊敗了全國99%的購票者,我已經找不到回家的路了”對於12306的驗證碼網友紛紛吐槽。
——核心關注——
驗證碼驗的到底是啥?
早期,網站登錄都是依據用戶名與密碼,但駭客程式有可能針對某一個特定用戶賬號採用窮舉破解的方法,不斷進行登錄嘗試,造成潛在威脅,於是驗證碼應運而生。它出自美國卡內基梅隆大學研究人員的設計,用來防範那些可能對線上服務造成威脅的自動執行程式,例如:惡意破解登錄密碼、刷票、論壇灌水、刷網頁等。
“驗證碼為驗證登錄的用戶是人還是電腦程式,提供了一種方便的辨別手段。”北京郵電大學資訊與通信工程學院教授牛凱説,理論上,只有真人才能通過推理分析驗證碼圖片中的字符。隱蔽在雜亂背景中的扭曲字母,通過細緻觀察,人眼可以較準確辨識,而採用電腦識別準確率較低。
牛凱介紹,一般而言,驗證碼包括3類:文本驗證碼、語音驗證碼和圖像驗證碼。其中,文本驗證碼又可以細分為線上識別文本與線下識別文本。線上識別文本是指,用戶根據網頁提供的文本內容,進行識別,這些文本可能有扭曲變形,可能被背景圖片遮擋。而線下識別文本是指,識別碼通過其他通信方式,例如手機、email等,傳輸到用戶端,需要用戶識別後填寫到網頁中。
語音驗證碼主要以語音播報的形式將識別碼播送給用戶,可能有背景雜音或干擾,這種驗證方式尤其適合盲人或弱視人群。
圖像驗證碼又可以細分為靜止圖像或視頻驗證碼。前者主要是需要用戶對一幅靜止圖像中的物體進行辨識,而後者需要用戶對視頻中動態出現的物體進行區分與辨別。動態視頻驗證碼技術上具有先進性,但網站投入成本較高,目前還未普及。
為什麼一定要用圖形驗證碼?
“黃牛不可能人工去買票,必然是使用搶票軟體。”牛凱説,黃牛可能手中囤積大量的身份證號碼,刷票軟體可以自動登錄,用真實的身份證資訊進行自動下單交易,由於整個過程由軟體自動完成,執行速度比正常用戶的手工操作快幾十倍乃至上百倍,因此可以搶得先機,大量刷票。
在牛凱看來,12306網站採用驗證碼後,每一次下單購買車票,都需要判斷驗證碼中的內容並選擇。理論上這種推理識別能力,只有真人才具有,目前的人工智慧在推理識別方面無法與人類相比,因此可以有效阻擋自動登錄刷票。
中國鐵道科學研究院電子計算技術研究所副所長朱建生此前也表示,不用圖形驗證碼,機器搶票時間為0.1秒/張,人工搶票則為2秒/張,而使用圖形驗證碼,由於機器無法自動識別,令票販子無法再利用刷票軟體囤票倒票。
那麼,驗證碼為什麼不能用簡單的數字呢?對此,牛凱介紹説,對於驗證碼,目前刷票軟體大多采用OCR文本識別技術。如果僅採用數字驗證碼,對於正常的數字顯示,現有技術的識別準確率已經很高,很容易突破技術壁壘,這樣驗證碼就會形同虛設了。另一方面,如果顯示數字時,增加變形扭曲等操作,雖然能夠提高機器識別的難度,但對於真人而言,識別準確率也會大幅度下降,同樣會導致用戶抱怨。
“採用圖形驗證碼,真人能夠識別,而對於刷票軟體來説,OCR技術無法直接應用,增加了識別難度。”牛凱説,目前有些刷票軟體號稱能夠破解圖形驗證碼,所採用的技術實際上是大量的數據樣本累計與人工辨識結合。由於12306的圖形驗證碼數量是有限的,一旦刷票軟體能夠存儲充分多的圖片驗證碼樣本並進行人工標識,當新的驗證碼出現時,軟體就可以通過與數據庫中所存儲的圖片匹配來進行識別。
“這就類似于考試命題時,從題庫中抽取題目。只要事先對題庫中的題目進行充分練習,就可以提高考試成績一樣。但是,如果沒有驗證碼或驗證碼很簡單,火車票被黃牛搶走的概率會遠比現在高,普通人買票只會更難。”牛凱補充道。
——專家建言——
驗證碼最好是自動生成的文本或圖片
如今驗證碼遭到詬病,那麼有沒有一種方法可以替代驗證碼呢?對此,有專家指出,目前有些網站已經不使用驗證碼進行人類和電腦程式的區分,而是使用SMS 短信驗證的方式,這可以説是一種很好的替代方式。但是這種方式也不是無懈可擊,黃牛同樣可以通過註冊一堆手機號來實現破解。所以驗證碼還會在較長一段時間記憶體在,而圍繞驗證碼的設計和破解的較量也會繼續下去。
牛凱表示,對於12306而言,定期更新圖片數據庫,並不斷增加圖片識別碼數量才能有效對抗刷票軟體。但由於12306的圖片識別碼也都是人工標識産生的,最終,雙方對抗實際上歸結于哪一方所付出的人工更多,哪一方的投入更大,這不是一個終極解決方案。
他認為,較好的方案是,驗證碼是自動生成的文本或圖片,例如從掃描古書、古畫或者百科全書得到的各種局部文本或圖片,由於數據充分,較少重復,刷票軟體難以形成大的數據庫,因此可以降低其識別概率。
“還可以考慮將圖片驗證碼替換成各種答題與推理,增加驗證的智慧性。”牛凱説,例如,線上四則運算答題,線上常識答題、線上邏輯推理,這些方法需要用戶有基本的數學、邏輯、常識等文化與科學素養,顯然刷票軟體很難具備相應的能力。
此外,也可以考慮用戶的特殊身份標識進行驗證,例如:聲紋、指紋、DNA等生理特徵。“但這些方案也存在各種技術挑戰並且會增加運營成本。”牛凱説。
■相關連結
官方表示將優化圖形驗證碼
目前,12306網站和手機APP在旅客登陸和購票提交訂單兩個環節設置了圖形驗證碼。據介紹,後臺對12306圖形驗證碼的正確識別率進行了統計,每分鐘的正確識讀率在70%左右。
中國鐵道科學研究院電子計算技術研究所副所長朱建生表示,12306的圖庫共有幾萬張圖片,圖形驗證碼選入的基本原則是“常用物品”,並沒有網上所謂“識別明星臉”之類的“奇葩”驗證碼。在12月15日前,已對驗證碼中數萬張圖片進行了優化,剔除一些辨識度不高的圖片,提高了圖片的清晰度,方便旅客購票。“未來努力的方向是讓驗證碼變得越來越簡單。但是現階段需要在可應用性和防止自動軟體惡意搶票中取得平衡。”朱建生説。
- 股票名稱 最新價 漲跌幅