国庆节转眼结束,又离开被窝的怀抱。
这两天,无论是买路票还是景点的票,都感觉仿佛在突破,能否抢到暂且不说,谁也逃脱不了验证码的痛苦。
只要互联网正在流行,就有可能因为验证码而崩溃。
据一项统计,全世界的网民每天必须输入约2亿次的验证码。 如果每次输入只有10秒钟的话,那么人类每天在验证码上所花的时间已经超过了50万小时……
何况现在的验证码形式越来越“土气”,没有知识储备,连验证码都输了。
这些网络安全不仅阻隔了人工智能,还把人变成了人工智能障碍。
无论哪个“验证码输入错误”的瞬间,我都想问上天大地——到底是谁把验证码带入了我的人生。
“在网上,你永远不知道屏幕那边是人,是狗。 ”
这个互联网发展之初的笑话,在千禧年之后变成了现实。
2000年的时候,最流行的信息发布方式是雅虎邮箱,被称为当时互联网行业的“杀手级”APP。 很多中国人的第一个电子邮件地址的后缀是@yahoo.com。
网络黑产为什么要错过这么好的渠道?
当时,国际上最大的黑产是尼日利亚人,世纪之交时,他们开始用机器注册大量雅虎马甲邮箱,发送垃圾邮件、网络诈骗,被媒体称为“雅虎男孩”。
他们的诈骗对欧美中老年白人并不不利,2003年白宫警告尼日利亚政府,如果不采取有效措施,美国将实施经济制裁。 可以看出,当时除了口头警告,没有真正有效的安全措施。
(假装中国工商银行工作人员的虚假邮件() ) ) ) ) ) ) ) ) ) ) ) ) )。
当时美国有个叫psdqq的天才少年,不知所措的他在雅虎上设计了人机验证方案,也就是最初的文字验证码。
当时的黑产程序还不能识别图像,用简单的验证码成功攻击了黑产,很快就成为了各个网站的认证标准装备。 也就是说,这是我们登录/注册的第一个障碍。
最初的文字验证,还是一张小照片,上面有方形单词,用人类的眼睛看不费劲,但不久用机器看也不费劲了。
随着科学技术的发展,图像识别难以打倒计算机,因此验证码被扭曲,输入验证码开始变得痛苦。
尤其是hsjdy忘记密码,一个个试的时候,验证码和密码,总有一个输入有误,关键是你还不知道哪个有误……
赶上网不好的时候,那张小小的验证码图片根本刷不出来,好不容易刷出来了,歪七扭八也分不清是Q还是O,让人特别想砸键盘。
翻转、变形、上面有划线、背景看着特别难受,都是验证码进化的代价。
这个阶段还有一件特别有意思的事,还是那个天才少年psdqq,他把当时很多需要电子化,但是电脑无法自动识别的古书籍和旧报刊里的字符拿出来,做成了验证码,让网站的用户手动输入。
所以用户在输验证码的时候,不知不觉还为古籍电子化添砖加瓦了。
(一个计算机可以识别,另一个是古籍里无法识别的)
这个创意是很好,但是很快扭曲的字符也无法阻挡黑产的脚步了。
通过一些计算机技术,即使是变形的字符也能被机器精准地识别出来。而就算识别不出来的,也能跟古籍电子化的例子一样,用人工方法解决。
腾讯安全曾经协助警方破获过一个国内的“打码”团伙,他们用AI对验证码进行“爆破”,剩下爆破不了的就交给“外包”。
(这种兼职一律不要相信)
不知道你们有没有见过那种“翻译验证码赚钱”的兼职,当年头铁的我还真干过。
开始的时候,黑产团队先要了我200块“押金”,然后发了一个很小的电脑程序给我,上面有无止境刷新的验证码,旁边还有小框统计你输入了多少个、用了多长时间。
每输入一个验证码能赚一分钱,累计到一定程度后可以提现。
年轻的我很快就发现这玩意比他们说的“动动手指”累多了,第一次只坚持了十几分钟,几天后就痛苦地告别了我的二百块钱。
后来明白过来,才发现这伙人也太精了,输验证码能给他们挣钱,不输验证码拿不回押金还能给他们挣钱……
被骗的人还不止我一个,据不完全统计,这个链条上有百万级别的“从业者”,不是骗子就是被骗的。
(现在还有这种黑产,绝对不要相信)
由于英文字母只有26个,太容易被机器识别,有一阵还兴起过中文验证码,让汉字的博大精深教黑产做人。
在一段时间内,它有效地挡住了黑产和黑客,但随着信息技术的发展,中文也不是个事了。
当文字通通落败,验证码就彻底走上了魔幻的道路……
在字符验证之后登场的是“指定物品验证”,也就是让人痛恨的图片选择题。
这个方阵里最“臭名昭著”就是12306。
为了防止抢票插件和黄牛恶意购票,铁路部门从2013年起,就开始频繁升级网站验证码,增加图形验证码的种类。
到了2015年底,12306的图片题一共有581种,可以细分为十二个品类。这些图片几乎囊括了天文地理、历史政治等多个方面,基本可以检测出购票者是否德智体美劳全面发展。
有网站统计过,12306的验证码一次性输入正确的比例只有8%,两次输入正确的比例也不过27%;
假设一个人在8张相似的面孔里准确找到cjdzt的用时为5秒,那么每输错一次验证码,就意味着当次购票成功率下降80%。
在“一秒没”的抢票情境下,能成功买到票的都是天选之人。
车票这种东西,一年也买不了几次,铁路部门大可以把门槛设的严苛一点,但指望用户频繁登录的大小网站可不敢这么任性。
在文字验证码失败后,他们采用的是一种叫做“行为验证码”的玩意,里面最常见的就是“滑动拼图到指定位置”。
这种验证方式,不仅是测试用户能不能将拼图滑到正确的位置,还测试了移动速度,如果检测到移动速度是机器识别,就会不予通过。
所以目前来说,滑动验证码还是比较安全的,很多网站和APP都会采用这样的验证方式。
其他同类的还有“按照顺序选文字”“问题验证码”等等奇葩的验证方式。
比如,2019年上海拍牌就采用的是“回答问题”验证码,成功将网站变成了一站到底海选赛。
一大批人倒在了验证码上,他们遇到的问题是:“请输入成语或俗语对应的下方数字”。
要我说,对用户最友好的还是手机验证码,通过发送验证码到手机,方便快捷不费眼。
手机验证码能成功出现,还多亏了手机实名制。
我国不少地方从2010年就陆续开始施行手机实名制,此后每一年都在加大手机实名制推行的力度,用了5年多的时间,才取得了一定成果。
同时还在落实网络实名制,于是手机验证码就变成了网络账号实名制的一种认证方式,被广泛应用了。
作为为数不多的“真心想让我登录”的验证码,手机验证码可谓是魔幻验证码队伍里的正道之光,让人甘愿冒着信息泄露的风险,也要拥护它。
美剧里总有这样的情节:当一项新的高精尖计算机成果问世,全球的网络安全就会经历一次大地震,银行和政府的安全措施都要被更新。
我觉得验证码也有相似之处,黑产破解验证码用到的网络技术,跟普通人的生活就是两条平行线;
但每当旧的验证码不再安全,新的验证码已经出现,我普通的生活就会增添很多烦恼……
验证码的发展与其说是科技发展的结果,不如说是人与人斗智斗勇的过程。
这里的“人”,不光是发明验证码的网络安全员工,以及想要突破验证码的不法分子,更多是每天被迫输入很多遍验证码的普通人。
抢车票、抢演唱会票、购物节抢东西,所有需要“抢”的场合都有魔幻验证码的一席之地。
而验证码每魔幻一分,抢得到的几率就小了十分。
即使是普普通通一次登录,都要先经过验证码的考验,有时候还要反复经历考验,更别提验证码正在往越来越魔幻的方向发展……
城门失火殃及池鱼,衷心希望黑产和黄牛早日投案自首,把一身本领和有限的生命投入到光明的事业中去,不要再在别人的手机和电脑里“斗法”了!
参考资料:
雅虎邮箱培养了一批雅虎男孩,现在他们骗到中国来了
12306验证码百度百科验证码的魔幻进化史
在被12306坑之后 我们聊聊验证码发展史
科普:验证码的发展史与未来预测