上過(guò)網(wǎng)沖過(guò)浪的“老司機(jī)”都知道網(wǎng)站驗(yàn)證碼���,現(xiàn)在幾乎每個(gè)網(wǎng)站和論壇都會(huì)有驗(yàn)證碼的出現(xiàn)���。
有人說(shuō),驗(yàn)證碼保護(hù)了網(wǎng)站服務(wù)器和用戶的隱私安全;還有人說(shuō)���,驗(yàn)證碼嚴(yán)重影響了用戶體驗(yàn)��,是在浪費(fèi)時(shí)間�。那驗(yàn)證碼到底是好是壞?驗(yàn)證的原理是什么?什么樣的驗(yàn)證碼才最安全?
驗(yàn)證碼的誕生:區(qū)分計(jì)算機(jī)和真正的人
急沖沖地購(gòu)買火車票��,輸入賬號(hào)密碼后跳出一幅九宮格要求點(diǎn)擊指定圖片驗(yàn)證���,好不容易玩完“大家來(lái)找茬”�����,一看火車票已被搶光�,這樣的情形你是否經(jīng)常遇到?對(duì),阻礙你的就是耳熟能詳?shù)尿?yàn)證碼�����。驗(yàn)證碼的存在似乎讓用戶體驗(yàn)不佳�,那它存在的意義是什么?
“現(xiàn)在很多網(wǎng)站的注冊(cè)和登錄都需要用到驗(yàn)證碼,為了區(qū)分計(jì)算機(jī)和真正的人���?��!?南京大學(xué)信息科學(xué)博士、南京視網(wǎng)么信息科技有限公司創(chuàng)始人張帥告訴記者���,驗(yàn)證碼英文“ CAPTCHA”直譯就是“全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試 ”��,而圖靈測(cè)試是人工智能圈一個(gè)著名的實(shí)驗(yàn)�,實(shí)驗(yàn)者詢問(wèn)一臺(tái)機(jī)器和一個(gè)人類一些問(wèn)題�����,如果實(shí)驗(yàn)者無(wú)法分辨他倆的差別,那么這臺(tái)機(jī)器便通過(guò)圖靈測(cè)試�。驗(yàn)證碼就是這個(gè)圖靈測(cè)試的反向和變種,用來(lái)區(qū)分計(jì)算機(jī)和人類��。
早在驗(yàn)證碼出現(xiàn)之前����,垃圾郵件滿天飛���,有人通過(guò)注冊(cè)大量新郵件賬號(hào)發(fā)送垃圾推廣郵件�����。郵件公司封號(hào)刪除的速度甚至趕不上他們注冊(cè)的速度����,很多人深受其害��。直到有程序員發(fā)現(xiàn)計(jì)算機(jī)程序難以識(shí)別手寫的文本���,而人類可以輕易看懂���,于是程序員在注冊(cè)賬號(hào)時(shí)設(shè)置一道門檻——必須輸入“歪曲”的文本才能完成注冊(cè)��,用來(lái)區(qū)別計(jì)算機(jī)和真人�����,從此驗(yàn)證碼登上歷史的舞臺(tái)�����。
“有了圖形驗(yàn)證碼����,可以拒絕重放攻擊(破壞身份認(rèn)證的正確性)����,有效避免了暴力請(qǐng)求破解的威脅。在圖形(數(shù)字)驗(yàn)證碼的基礎(chǔ)之上��,慢慢演化出了滑塊驗(yàn)證碼����、圖像驗(yàn)證碼、智能驗(yàn)證碼等新的驗(yàn)證形式���?��!?張帥說(shuō)�,除此以外還有短信驗(yàn)證碼���,可用于對(duì)安全性要求較高的應(yīng)用�,比如支付寶����、登錄銀行客戶端等����,可以一定程度上避免賬號(hào)密碼泄露、身份偽造等行為��。
那電腦程序是如何判斷驗(yàn)證碼輸入的背后是人類還是軟件?張帥介紹�����,隨著技術(shù)的發(fā)展����,通過(guò)圖像識(shí)別文字和人工智能技術(shù),機(jī)器也具備了識(shí)別和理解驗(yàn)證碼的能力。常見(jiàn)的方式是通過(guò)在圖像驗(yàn)證碼中加入噪點(diǎn)��,來(lái)影響機(jī)器識(shí)別驗(yàn)證碼圖片的真實(shí)信息;還通過(guò)頁(yè)面上的腳本運(yùn)行來(lái)進(jìn)一步輔助判斷�,來(lái)識(shí)別該操作是人類行為還是機(jī)器行為。
新式驗(yàn)證碼有貢獻(xiàn):每年數(shù)字化230多萬(wàn)本舊書 有網(wǎng)友做過(guò)計(jì)算��,全世界的網(wǎng)民一天共要輸入上億次驗(yàn)證碼�����,粗略估計(jì)���,人類每天輸入驗(yàn)證碼的時(shí)間已經(jīng)超過(guò)了50萬(wàn)小時(shí)����,驗(yàn)證碼的存在是不是浪費(fèi)時(shí)間和資源?
對(duì)此�,從事視覺(jué)圖像領(lǐng)域工作多年的系統(tǒng)架構(gòu)師王之琳表示,“存在即合理��,驗(yàn)證碼并不是一無(wú)是處���?!彼e例�,很多公益組織將舊書籍掃描成電子版時(shí)經(jīng)常出現(xiàn)無(wú)法識(shí)別的現(xiàn)象���。書籍的內(nèi)容大部分是文本,驗(yàn)證碼也是文本����,把掃描版的書籍文本對(duì)接到驗(yàn)證碼上,讓用戶來(lái)識(shí)別�����。
簡(jiǎn)單來(lái)說(shuō)�,就是打造一款新式驗(yàn)證碼系統(tǒng),系統(tǒng)會(huì)提供兩個(gè)單詞給用戶來(lái)識(shí)別���,這兩個(gè)單詞都是書籍掃描版的一部分�。計(jì)算機(jī)其實(shí)已經(jīng)知道第一個(gè)單詞的正確答案���,之所以要展示出來(lái),是為測(cè)試用戶是否是真人����。而第二個(gè)單詞計(jì)算機(jī)暫時(shí)無(wú)法識(shí)別。對(duì)于這第二個(gè)單詞�����,一旦有10個(gè)人輸入了同樣的答案,那么這答案就會(huì)被當(dāng)作是正確答案�。靠這種方法�,新式驗(yàn)證碼系統(tǒng)每年能成功數(shù)字化230多萬(wàn)本舊書,為人類文化事業(yè)做出了巨大的貢獻(xiàn)��。
“用戶輸入驗(yàn)證碼時(shí)��,程序會(huì)不可避免地收集到用戶的行為數(shù)據(jù)�����,通過(guò)分析和訓(xùn)練這些數(shù)據(jù)����,得到各種用戶的行為模型和習(xí)慣?��!?王之琳說(shuō)�����,輸入驗(yàn)證碼是一把雙刃劍�����,驗(yàn)證用戶是否是真人的同時(shí)����,帶來(lái)數(shù)據(jù)隱私泄露的風(fēng)險(xiǎn)。
“沒(méi)有絕對(duì)的好人���,也沒(méi)有絕對(duì)的壞人�?�!?王之琳表示�,一般情況下在許可協(xié)議和隱私協(xié)議中會(huì)有提到,系統(tǒng)會(huì)采集用戶的哪些數(shù)據(jù)����,用于哪些用途。但截至目前����,很多時(shí)候�����,用戶并沒(méi)有權(quán)力去選擇是否要分享這部分?jǐn)?shù)據(jù)。
直到2018年���,歐盟頒布了通用數(shù)據(jù)保護(hù)條例GDPR�,才有了對(duì)個(gè)人數(shù)據(jù)的嚴(yán)格保護(hù)�。但王之琳坦言,個(gè)人數(shù)據(jù)是很狹窄的范圍����,如位置、DNA�����、聯(lián)系方式等��。用戶鼠標(biāo)在屏幕上從左往右滑動(dòng)了一次都會(huì)被電腦程序記錄下來(lái)���,但是這是否屬于隱私行為數(shù)據(jù)在協(xié)議中很難界定��,也得不到保護(hù)�����。而且這種隱私的泄露不僅僅存在于智能驗(yàn)證碼的學(xué)習(xí)過(guò)程中,還存在于整個(gè)互聯(lián)網(wǎng)。
AI越來(lái)越聰明:驗(yàn)證碼未來(lái)何去何從 在人工智能不斷發(fā)展的現(xiàn)在��,機(jī)器能通過(guò)越來(lái)越多類型的圖靈測(cè)試,并且經(jīng)過(guò)了大量驗(yàn)證碼類型的機(jī)器訓(xùn)練,未來(lái)的驗(yàn)證碼還能起到效用嗎?如果AI學(xué)會(huì)識(shí)別驗(yàn)證碼并被別有用心的人利用,有哪些反制措施?
張帥認(rèn)為�����,不管AI多聰明����,驗(yàn)證碼都不會(huì)被淘汰����。他說(shuō),沒(méi)有絕對(duì)安全的系統(tǒng)����。在利益的驅(qū)動(dòng)下,反驗(yàn)證碼的技術(shù)也會(huì)不斷提升��。網(wǎng)站通過(guò)判斷是否有真人操作的行為來(lái)區(qū)別人機(jī)�,攻擊者可以反復(fù)訓(xùn)練機(jī)器去模擬真人的操作來(lái)混淆校驗(yàn)的判斷。驗(yàn)證碼和反驗(yàn)證碼的技術(shù)會(huì)在此消彼長(zhǎng)中交替著前行�����。破壞安全的方式也會(huì)越來(lái)越刁鉆�,系統(tǒng)安全性措施會(huì)越來(lái)越嚴(yán)謹(jǐn)完善,所以不必太擔(dān)心�����。
還有網(wǎng)友表示����,有的驗(yàn)證碼過(guò)于復(fù)雜,有時(shí)多次驗(yàn)證失敗難以注冊(cè)��,非常影響用戶體驗(yàn)����。對(duì)此,王之琳表示�����,驗(yàn)證碼已進(jìn)入智能時(shí)代����,操作體驗(yàn)已經(jīng)變得簡(jiǎn)單,用戶只需在頁(yè)面上點(diǎn)擊“I'm not a robot”(我不是機(jī)器人)的勾選按鈕即可�。但其實(shí)從用戶打開(kāi)頁(yè)面���,加載出驗(yàn)證碼的那一刻起,校驗(yàn)的過(guò)程就已經(jīng)開(kāi)始了���。通過(guò)用戶在頁(yè)面上的停留時(shí)間����、鼠標(biāo)的移動(dòng)速度�、位置偏移,通過(guò)瀏覽器信息請(qǐng)求頭信息等共同作為參考因素��,將這些復(fù)雜的數(shù)據(jù)傳到校驗(yàn)服務(wù)器的后臺(tái)進(jìn)行AI分析�,來(lái)判斷是不是真人用戶的操作。
展望未來(lái)�����,張帥說(shuō)����,目前國(guó)內(nèi)驗(yàn)證碼技術(shù)大多停留在圖形圖像相關(guān)方向,忽略了對(duì)于語(yǔ)音和無(wú)障礙訪問(wèn)的支持�����。雖然有部分網(wǎng)站提供了語(yǔ)音驗(yàn)證碼的功能,但還是少數(shù)�,他期望多關(guān)注和支撐殘障人士的使用體驗(yàn)�����,提供更多形式的驗(yàn)證方式���。
