陳飛

“你買到票了嗎？”成了最近流行的一句問候語。

12月10日，鐵路系統(tǒng)開始發(fā)售2月7日除夕的火車票。在奮力搶票之余，12306網(wǎng)站的驗證碼成了網(wǎng)友們集中吐槽的對象。該網(wǎng)站的最新驗證碼系統(tǒng)采用圖片加邏輯問題的形式：“請點擊下圖中所有的非智能眼鏡?！薄罢堻c擊下圖中所有的博斯普魯斯海峽?！边@些“奇葩”的圖片選擇題難倒了不少人。網(wǎng)友感嘆：“這不僅是考我的眼力，還要考知識面?。　蓖虏埏L潮中，甚至有人PS出各種無厘頭的驗證圖片對該網(wǎng)站進行惡搞，以示抗議。

不過，被嫌棄的驗證碼，并不是從一開始就這么讓人討厭的。

驗證碼不是用來黑的

盡管被買火車票的人們百般吐槽，但小小的驗證碼其實大有來頭。

驗證碼只是一個俗稱，它還有一個聽起來非?！案叽笊稀钡娜詣訁^(qū)分計算機和人類的圖靈測試（英文縮寫CAPTCHA）。圖靈測試是指一種測試機器是不是具備人類智能的方法，而驗證碼則反其道而行之——它利用人與計算機在認知方面的差異，來確認操作者是人類，從而阻止惡意軟件的侵入。

2000年左右，雅虎公司受到了很大困擾，有人用黑客程序在短時間內(nèi)自動創(chuàng)建了上千個電子郵件地址，然后利用這些地址發(fā)送垃圾郵件。但他們不可能一一審查郵件，因為那樣做既不尊重隱私，工作量也太大。為此，雅虎找到了當時年僅21歲、正在卡內(nèi)基梅隆大學讀書的路易斯·馮·安（Luis von Ahn）。這位計算機天才后來被美國《探索》雜志評為“20位40歲以下的最聰明的科學家”之一。

路易斯發(fā)現(xiàn)，對于那些鑲嵌在圖片中的、被扭曲過、污染過的文字，機器無法辨識，而人類稍加注意就可以識別出來。路易斯在導師布魯姆的幫助下很快設計了一個程序，也就是現(xiàn)在的CAPTCHA。它首先生成一個隨機的字符串，比如“smwm”，然后對這串字符進行隨機的扭曲、重疊、污染，再顯示給要進行操作的用戶。于是，在計算機“眼中”，這串字符只是一組毫無意義的曲線，而人類很容易就能夠識別這個變了形的“smwm”。

在路易斯研發(fā)這一系統(tǒng)之前，早期的驗證碼可能只是一串簡單的ASCⅡ字符（即“美國信息交換標準代碼”，是基于拉丁字母的一套電腦編碼系統(tǒng)）。但隨機數(shù)字或字母驗證碼，可以通過編寫對應的軟件來破解。后來，驗證碼變成了通過圖片顯示字符串或者數(shù)字的形式，但帶光學字符識別（OCR）的軟件也可以繞過這種驗證碼。這就是為什么現(xiàn)在的驗證碼中字符通常都經(jīng)過了一定程度的扭曲變形的原因。這類驗證碼最易自動產(chǎn)生，具有標準答案，不受背景知識和文化差異的影響。其圖像中包含的字符序列既能與背景圖像進行融合，又能做出扭曲、變形之類的效果處理，所以被破解的難度很大。我們平日訪問的網(wǎng)站，大都使用了這種基于字符的圖片驗證碼。

不過，隨著計算機技術(shù)的不斷進步，個人網(wǎng)絡安全保護成了一件越來越復雜的事。即使是扭曲、變形的驗證碼，也并不能完全將機器人阻擋在外。好在就破解驗證碼來說，尖端的圖像識別技術(shù)需要花費大量時間和金錢成本。因而只有那些涉及機密、金錢利益的網(wǎng)站，比如網(wǎng)上銀行、購物網(wǎng)站等受到較大威脅。

為了防止財產(chǎn)損失，這些網(wǎng)站紛紛推出了各種進化版的驗證碼。主流的驗證碼都是靜態(tài)圖片，有些網(wǎng)站則推出了動態(tài)驗證碼，令機器人很難捕捉。還有一些程序可以生成3D二維碼，更加難以識別。此外，還有很多大型購物網(wǎng)站要求發(fā)送手機短信驗證碼，以確保操作者是用戶本人。又或者，問用戶一個常識性的問題，比如“牛奶和汽油哪個可以喝？”——總之，就是選擇一些機器不會、但是人類可以輕易回答的問題。不過，也有一些網(wǎng)站會做得比較過火，甚至，它們的驗證碼可能是一道微積分題，或者出一些難度讓人抓狂的智力測試題，還有的網(wǎng)站竟然讓人把看到的圖片照著畫下來。

12306惹誰了

當然，在提升驗證碼難度這件事上，12306網(wǎng)站也一直在不懈地努力——也許稍微過頭了點兒。為了防止“技術(shù)黃?！彼⑵?，12306系統(tǒng)幾乎保持著每年更新的節(jié)奏，簡直書寫了一部黃牛與12306的技術(shù)博弈史。

2010年，12306訂票系統(tǒng)面世。緊隨其后，2011年就出現(xiàn)了當時最早的刷票軟件，黃?？梢栽诙虝r間內(nèi)定光一趟車的票。2012年，12306上線了排隊系統(tǒng)，升級了驗證碼。但很快黃牛就發(fā)明了新軟件，可以強行購買一趟票已經(jīng)售罄的列車的車票。這樣，一旦有退票，就會立刻落入黃牛手中。之后，又經(jīng)過了幾次讓驗證碼越來越“扭曲”的升級，2015年3月16日，網(wǎng)站啟用現(xiàn)在的圖片驗證碼。

目前，12306的圖形碼的數(shù)量已經(jīng)多達581種。按照要輸入兩個關鍵詞的登錄規(guī)則，用戶將有機會嘗試336980道不同的驗證碼題目。據(jù)360瀏覽器提供的數(shù)據(jù)，用戶一次輸入正確的概率僅為8%，兩次成功的比率為27%，而需要輸入三次甚至四次才能答對的人數(shù)比例為65%。驗證難度大的原因在于，12306網(wǎng)站的圖形大概有12個品類，而另一方面，由于圖形的像素不高，又有許多相似物品的圖形出現(xiàn)，所以選錯的幾率非常高，這就直接造成用戶搶票失敗的情況。

提供這一系統(tǒng)的杭州微觸科技有限公司，把自身定位為“12306網(wǎng)站圖片驗證碼專利方”。對于他們設計的廣受詬病的驗證碼系統(tǒng)，該公司負責人稱：“這樣做的目的是保證所有人的購票公平性，圖標式點觸驗證碼是打擊黃牛的最重一拳，今年也是網(wǎng)上售票以來第一次真正實現(xiàn)了公平的購票環(huán)境。”

北京郵電大學網(wǎng)絡技術(shù)研究院教授馬嚴認為，目前的這種圖片結(jié)合邏輯判斷的驗證碼，從技術(shù)上對抗機器人軟件確實效果不錯，除非網(wǎng)站代碼自身有漏洞，否則很難繞過，所以12306的圖片驗證碼對黃牛軟件確實可以實現(xiàn)有效的封堵。但目前來看，驗證碼的缺陷是邏輯問題的判斷上需要花費大量精力和技巧，最好能更簡單清晰。

而網(wǎng)友的普遍看法則是“然并卵”。一位知乎網(wǎng)友表示：“現(xiàn)在的問題是，驗證碼調(diào)得難度這么高，機器識別不出，人識別也很費勁，這并沒有起到任何效果?！碑吘?，驗證碼的作用是讓機器無法識別，而不是為了難住用戶，讓用戶無法正常使用。

鐵路總公司目前已經(jīng)開始考慮采取一些措施使圖形碼更容易辨認。對此，中國鐵道科學研究院電子計算機研究所副所長朱建生說：“我們會刪除清晰度不高，難辨認的圖片，并且不斷篩選更新清晰度更高的圖片，讓旅客更順暢地購票。”

驗證碼升級大戰(zhàn)

越來越智能的計算機與越來越復雜的驗證碼，兩者之間形成“道高一尺魔高一丈”式的升級大戰(zhàn)。其結(jié)果是，人們也越來越容易被驗證碼折磨或者難住。很多人開始問這個問題：“萬惡的”驗證碼真的是必要的嗎？

其實，人們花在識別驗證碼上的時間，并沒有完全被浪費。據(jù)CAPTCHA發(fā)明者路易斯估算，全世界的網(wǎng)民每天要輸入驗證碼總共接近2億次，假設每次花費10秒，那大概就花費了50多萬個小時。他告訴美國公共電視臺說：“我開始思考：我們是否可以把這種勞動用于為人類造福？”于是，路易斯提出了“reCAPTCHA”系統(tǒng)作為解決方案。

現(xiàn)在，很多舊的書籍、報紙需要整理成電子版，但是電腦掃描辨識時常常出錯，因為這些資料常常不可避免地有字跡模糊、褪色、污損等情況。對此，唯一的方法是人工核對。那么，為什么不讓網(wǎng)民們來幫忙呢？

ReCAPTCHA系統(tǒng)于是出現(xiàn)了。它是一種雙重驗證碼，讓你可以在輸驗證碼的時候幫助還原書籍、報刊中那些很難被OCR識別的單詞。為了驗證輸入的文字是正確的，而不是隨意輸入的，網(wǎng)頁上會顯示兩組字符：一個是OCR無法識別的，另一個是系統(tǒng)知道正確答案的。如果你第二組答對了，就會被確認是人工操作，于是你對第一組的答案會被用來貢獻一次人工校對。路易斯還將同一個未知的單詞輸送給多個用戶，如果所有用戶辨識的結(jié)果一致，那么就認為這個單詞被正確識別了。很快，ReCAPTCHA就被谷歌收購了，現(xiàn)在已經(jīng)成為了谷歌旗下的一項免費服務。

據(jù)杜克大學官方雜志《杜克》估算，2011年有6000萬至7000萬人每天破解大約一億個單詞——你可能也在無意中參與其中。從2012年起，它還增加了一項新功能：顯示谷歌地圖上的街景地址和名稱（從地圖上的街景中提取街道地址和名稱以及交通標志等數(shù)據(jù)，以完善谷歌地圖上的信息）。目前，reCAPTCHA正在進行《紐約時報》掃描存檔的信息化工作，并已完成20年的資料。

實際上，一些科技公司已經(jīng)開始拋棄挑戰(zhàn)計算機光學字符識別（OCR）能力的思路，開發(fā)一些對人類來說較為輕松，但計算機又無法識別的驗證碼。比如，谷歌公司最近使用的辦法是，用戶只需要點擊一個復選框（勾選“我不是機器人”）即可完成驗證工作。如果這樣還不能判定是機器人還是人類，那么會使用舊版的reCAPTCHA方法來驗證。據(jù)透露，在使用新方式的時候，約60%的WordPress、80%的Humble Bundle用戶可以驗證成功，因而他們不需要再進入到reCAPTCHA界面。

這種方式的具體原理，是在用戶使用網(wǎng)絡的時候就開始收集大量信息，包括IP地址、Cookies等，然后通過這些數(shù)據(jù)來判定用戶現(xiàn)在與過去的使用方式是否一致，從而確定操作者到底是不是機器人。不僅如此，谷歌還會根據(jù)用戶鼠標在復選框上的移動方式、點擊方式等細微動作，來確定人與機器人的區(qū)別。

可以看到，解決驗證計算機使用者身份問題的方法從來不是只有一種。除了谷歌主要基于用戶數(shù)據(jù)的判斷方式之外，新的驗證機制也有很多。例如，有的使用觸覺原理，要求用戶將一個滑塊推動到指定位置;或者給出一條曲線，用戶需要用鼠標照著畫一遍;用鼠標給一些字母排序也能難住惡意軟件。當然，還有利用人臉識別與語音識別的方法。

可以說，中國鐵路購票系統(tǒng)12306網(wǎng)的驗證碼被嫌棄的最大原因，并不是因為它本身有多么困難，而在于在那么多種選擇中，他們偏偏使用了最不人性化的一種。不考慮用戶體驗的技術(shù)總是會遭到吐嘈，在互聯(lián)網(wǎng)時代，吐嘈可謂是用戶的一種最容易發(fā)起的集體狂歡。