在这个随时随地需要登录、在线、授权的移动互联网时代,验证码成了移动应用的标配。尽管一堆不认识字样的验证码看起来毫无意义,但其实并不是所有人都清楚为什么我们要繁琐地输入一串数字或字母,或是花时间辨别看上去很幼稚的图形。
其实,验证码的终极目的是为了区分人类用户和机器操作,以保障企业和用户的网络安全。在20世纪初,黑客们开始使用具有JS解析能力的Python、Node.js等基础工具编写自动化攻击脚本。例如,发送垃圾电子邮件是最简单的网络犯罪之一。攻击者使用自动化软件生成电子邮件地址并发送低级别的骗局,如钓鱼木马和伪造的礼品券。已经有数百万人成为了受害者。
雅虎是最早尝试解决这一问题的公司之一。作为互联网时代早期最重要的免费邮件提供商,他们一方面需要解决用户们每天遇到的数以百计的垃圾邮件轰炸,另一方面,雅虎提供的免费邮箱,恰好成为垃圾邮件的最爱。无数资源被耗费于阻止来自自己服务器的垃圾邮件,这使得雅虎开始认真考虑如何解决恶意机器流量问题。他们找到当时刚刚21岁的天才Luis von Ahn。Luis Von Ahn提出的解决方案是图形验证码。当时,计算机图像识别技术还未成熟,对于扭曲、粘连等文字无法辨识。而人类却可以轻松地认出这些文字。
然而,随着光学字符识别技术(OCR)的不断进步以及类似于人类神经网络的深度学习技术的出现,图形验证码的安全性正在不断下降,变得更容易被攻破。与此同时,主流浏览器的开放性也使得黑客可以使用脚本驱动的工具进行自动化攻击。
在黑产技术威胁下,企业遭受了一系列攻击,导致图形验证码不得不改变以抵御新技术攻击的威胁。由此应运而生的是各种扭曲、变形、旋转、粘附等难以识别的验证码形式,甚至更多奇葩的验证形式也应运而生。虽然这些措施在一定程度上能够抵御黑产的攻击,但同时也严重损害了用户的体验感受,不仅用户通过率不高,而且还导致网站/APP注册用户流失。根据相关资料的统计,因为这些奇葩图形验证码,企业用户流失率高达21.8%。这与当初设计验证码的初衷背道而驰,相去甚远。因此,在与黑产技术斗争的过程中,图形验证码的便捷性和安全性变成了鱼与熊掌不可兼得的关系。
只能说,在业务和安全不断权衡的前提下,没有一种验证码可以适用于所有场景,也没有绝对安全无法破解的验证码。为了找到一个体验和安全平衡的点,我们需要大幅度改变这段话,使其无法被认出。只有不断创新和改变,验证码服务才能适应当前复杂的黑产现状和业务多变的场景,才能在持续和各种黑产团队的斗争中保持有效性。
