陳飛

“你買到票了嗎？”成了最近流行的一句問候語。

12月10日，鐵路系統(tǒng)開始發(fā)售2月7日除夕的火車票。在奮力搶票之余，12306網(wǎng)站的驗(yàn)證碼成了網(wǎng)友們集中吐槽的對(duì)象。該網(wǎng)站的最新驗(yàn)證碼系統(tǒng)采用圖片加邏輯問題的形式：“請(qǐng)點(diǎn)擊下圖中所有的非智能眼鏡?！薄罢?qǐng)點(diǎn)擊下圖中所有的博斯普魯斯海峽。”這些“奇葩”的圖片選擇題難倒了不少人。網(wǎng)友感嘆：“這不僅是考我的眼力，還要考知識(shí)面啊！”吐槽風(fēng)潮中，甚至有人PS出各種無厘頭的驗(yàn)證圖片對(duì)該網(wǎng)站進(jìn)行惡搞，以示抗議。

不過，被嫌棄的驗(yàn)證碼，并不是從一開始就這么讓人討厭的。

驗(yàn)證碼不是用來黑的

盡管被買火車票的人們百般吐槽，但小小的驗(yàn)證碼其實(shí)大有來頭。

驗(yàn)證碼只是一個(gè)俗稱，它還有一個(gè)聽起來非?！案叽笊稀钡娜詣?dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試（英文縮寫CAPTCHA）。圖靈測(cè)試是指一種測(cè)試機(jī)器是不是具備人類智能的方法，而驗(yàn)證碼則反其道而行之——它利用人與計(jì)算機(jī)在認(rèn)知方面的差異，來確認(rèn)操作者是人類，從而阻止惡意軟件的侵入。

2000年左右，雅虎公司受到了很大困擾，有人用黑客程序在短時(shí)間內(nèi)自動(dòng)創(chuàng)建了上千個(gè)電子郵件地址，然后利用這些地址發(fā)送垃圾郵件。但他們不可能一一審查郵件，因?yàn)槟菢幼黾炔蛔鹬仉[私，工作量也太大。為此，雅虎找到了當(dāng)時(shí)年僅21歲、正在卡內(nèi)基梅隆大學(xué)讀書的路易斯·馮·安（Luis von Ahn）。這位計(jì)算機(jī)天才后來被美國(guó)《探索》雜志評(píng)為“20位40歲以下的最聰明的科學(xué)家”之一。

路易斯發(fā)現(xiàn)，對(duì)于那些鑲嵌在圖片中的、被扭曲過、污染過的文字，機(jī)器無法辨識(shí)，而人類稍加注意就可以識(shí)別出來。路易斯在導(dǎo)師布魯姆的幫助下很快設(shè)計(jì)了一個(gè)程序，也就是現(xiàn)在的CAPTCHA。它首先生成一個(gè)隨機(jī)的字符串，比如“smwm”，然后對(duì)這串字符進(jìn)行隨機(jī)的扭曲、重疊、污染，再顯示給要進(jìn)行操作的用戶。于是，在計(jì)算機(jī)“眼中”，這串字符只是一組毫無意義的曲線，而人類很容易就能夠識(shí)別這個(gè)變了形的“smwm”。

在路易斯研發(fā)這一系統(tǒng)之前，早期的驗(yàn)證碼可能只是一串簡(jiǎn)單的ASCⅡ字符（即“美國(guó)信息交換標(biāo)準(zhǔn)代碼”，是基于拉丁字母的一套電腦編碼系統(tǒng)）。但隨機(jī)數(shù)字或字母驗(yàn)證碼，可以通過編寫對(duì)應(yīng)的軟件來破解。后來，驗(yàn)證碼變成了通過圖片顯示字符串或者數(shù)字的形式，但帶光學(xué)字符識(shí)別（OCR）的軟件也可以繞過這種驗(yàn)證碼。這就是為什么現(xiàn)在的驗(yàn)證碼中字符通常都經(jīng)過了一定程度的扭曲變形的原因。這類驗(yàn)證碼最易自動(dòng)產(chǎn)生，具有標(biāo)準(zhǔn)答案，不受背景知識(shí)和文化差異的影響。其圖像中包含的字符序列既能與背景圖像進(jìn)行融合，又能做出扭曲、變形之類的效果處理，所以被破解的難度很大。我們平日訪問的網(wǎng)站，大都使用了這種基于字符的圖片驗(yàn)證碼。

不過，隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)步，個(gè)人網(wǎng)絡(luò)安全保護(hù)成了一件越來越復(fù)雜的事。即使是扭曲、變形的驗(yàn)證碼，也并不能完全將機(jī)器人阻擋在外。好在就破解驗(yàn)證碼來說，尖端的圖像識(shí)別技術(shù)需要花費(fèi)大量時(shí)間和金錢成本。因而只有那些涉及機(jī)密、金錢利益的網(wǎng)站，比如網(wǎng)上銀行、購(gòu)物網(wǎng)站等受到較大威脅。

為了防止財(cái)產(chǎn)損失，這些網(wǎng)站紛紛推出了各種進(jìn)化版的驗(yàn)證碼。主流的驗(yàn)證碼都是靜態(tài)圖片，有些網(wǎng)站則推出了動(dòng)態(tài)驗(yàn)證碼，令機(jī)器人很難捕捉。還有一些程序可以生成3D二維碼，更加難以識(shí)別。此外，還有很多大型購(gòu)物網(wǎng)站要求發(fā)送手機(jī)短信驗(yàn)證碼，以確保操作者是用戶本人。又或者，問用戶一個(gè)常識(shí)性的問題，比如“牛奶和汽油哪個(gè)可以喝？”——總之，就是選擇一些機(jī)器不會(huì)、但是人類可以輕易回答的問題。不過，也有一些網(wǎng)站會(huì)做得比較過火，甚至，它們的驗(yàn)證碼可能是一道微積分題，或者出一些難度讓人抓狂的智力測(cè)試題，還有的網(wǎng)站竟然讓人把看到的圖片照著畫下來。

12306惹誰了

當(dāng)然，在提升驗(yàn)證碼難度這件事上，12306網(wǎng)站也一直在不懈地努力——也許稍微過頭了點(diǎn)兒。為了防止“技術(shù)黃牛”刷票，12306系統(tǒng)幾乎保持著每年更新的節(jié)奏，簡(jiǎn)直書寫了一部黃牛與12306的技術(shù)博弈史。

2010年，12306訂票系統(tǒng)面世。緊隨其后，2011年就出現(xiàn)了當(dāng)時(shí)最早的刷票軟件，黃牛可以在短時(shí)間內(nèi)定光一趟車的票。2012年，12306上線了排隊(duì)系統(tǒng)，升級(jí)了驗(yàn)證碼。但很快黃牛就發(fā)明了新軟件，可以強(qiáng)行購(gòu)買一趟票已經(jīng)售罄的列車的車票。這樣，一旦有退票，就會(huì)立刻落入黃牛手中。之后，又經(jīng)過了幾次讓驗(yàn)證碼越來越“扭曲”的升級(jí)，2015年3月16日，網(wǎng)站啟用現(xiàn)在的圖片驗(yàn)證碼。

目前，12306的圖形碼的數(shù)量已經(jīng)多達(dá)581種。按照要輸入兩個(gè)關(guān)鍵詞的登錄規(guī)則，用戶將有機(jī)會(huì)嘗試336980道不同的驗(yàn)證碼題目。據(jù)360瀏覽器提供的數(shù)據(jù)，用戶一次輸入正確的概率僅為8%，兩次成功的比率為27%，而需要輸入三次甚至四次才能答對(duì)的人數(shù)比例為65%。驗(yàn)證難度大的原因在于，12306網(wǎng)站的圖形大概有12個(gè)品類，而另一方面，由于圖形的像素不高，又有許多相似物品的圖形出現(xiàn)，所以選錯(cuò)的幾率非常高，這就直接造成用戶搶票失敗的情況。

提供這一系統(tǒng)的杭州微觸科技有限公司，把自身定位為“12306網(wǎng)站圖片驗(yàn)證碼專利方”。對(duì)于他們?cè)O(shè)計(jì)的廣受詬病的驗(yàn)證碼系統(tǒng)，該公司負(fù)責(zé)人稱：“這樣做的目的是保證所有人的購(gòu)票公平性，圖標(biāo)式點(diǎn)觸驗(yàn)證碼是打擊黃牛的最重一拳，今年也是網(wǎng)上售票以來第一次真正實(shí)現(xiàn)了公平的購(gòu)票環(huán)境?！?/p>

北京郵電大學(xué)網(wǎng)絡(luò)技術(shù)研究院教授馬嚴(yán)認(rèn)為，目前的這種圖片結(jié)合邏輯判斷的驗(yàn)證碼，從技術(shù)上對(duì)抗機(jī)器人軟件確實(shí)效果不錯(cuò)，除非網(wǎng)站代碼自身有漏洞，否則很難繞過，所以12306的圖片驗(yàn)證碼對(duì)黃牛軟件確實(shí)可以實(shí)現(xiàn)有效的封堵。但目前來看，驗(yàn)證碼的缺陷是邏輯問題的判斷上需要花費(fèi)大量精力和技巧，最好能更簡(jiǎn)單清晰。

而網(wǎng)友的普遍看法則是“然并卵”。一位知乎網(wǎng)友表示：“現(xiàn)在的問題是，驗(yàn)證碼調(diào)得難度這么高，機(jī)器識(shí)別不出，人識(shí)別也很費(fèi)勁，這并沒有起到任何效果。”畢竟，驗(yàn)證碼的作用是讓機(jī)器無法識(shí)別，而不是為了難住用戶，讓用戶無法正常使用。

鐵路總公司目前已經(jīng)開始考慮采取一些措施使圖形碼更容易辨認(rèn)。對(duì)此，中國(guó)鐵道科學(xué)研究院電子計(jì)算機(jī)研究所副所長(zhǎng)朱建生說：“我們會(huì)刪除清晰度不高，難辨認(rèn)的圖片，并且不斷篩選更新清晰度更高的圖片，讓旅客更順暢地購(gòu)票?！?h3>驗(yàn)證碼升級(jí)大戰(zhàn)

越來越智能的計(jì)算機(jī)與越來越復(fù)雜的驗(yàn)證碼，兩者之間形成“道高一尺魔高一丈”式的升級(jí)大戰(zhàn)。其結(jié)果是，人們也越來越容易被驗(yàn)證碼折磨或者難住。很多人開始問這個(gè)問題：“萬惡的”驗(yàn)證碼真的是必要的嗎？

其實(shí)，人們花在識(shí)別驗(yàn)證碼上的時(shí)間，并沒有完全被浪費(fèi)。據(jù)CAPTCHA發(fā)明者路易斯估算，全世界的網(wǎng)民每天要輸入驗(yàn)證碼總共接近2億次，假設(shè)每次花費(fèi)10秒，那大概就花費(fèi)了50多萬個(gè)小時(shí)。他告訴美國(guó)公共電視臺(tái)說：“我開始思考：我們是否可以把這種勞動(dòng)用于為人類造福？”于是，路易斯提出了“reCAPTCHA”系統(tǒng)作為解決方案。

現(xiàn)在，很多舊的書籍、報(bào)紙需要整理成電子版，但是電腦掃描辨識(shí)時(shí)常常出錯(cuò)，因?yàn)檫@些資料常常不可避免地有字跡模糊、褪色、污損等情況。對(duì)此，唯一的方法是人工核對(duì)。那么，為什么不讓網(wǎng)民們來幫忙呢？

ReCAPTCHA系統(tǒng)于是出現(xiàn)了。它是一種雙重驗(yàn)證碼，讓你可以在輸驗(yàn)證碼的時(shí)候幫助還原書籍、報(bào)刊中那些很難被OCR識(shí)別的單詞。為了驗(yàn)證輸入的文字是正確的，而不是隨意輸入的，網(wǎng)頁上會(huì)顯示兩組字符：一個(gè)是OCR無法識(shí)別的，另一個(gè)是系統(tǒng)知道正確答案的。如果你第二組答對(duì)了，就會(huì)被確認(rèn)是人工操作，于是你對(duì)第一組的答案會(huì)被用來貢獻(xiàn)一次人工校對(duì)。路易斯還將同一個(gè)未知的單詞輸送給多個(gè)用戶，如果所有用戶辨識(shí)的結(jié)果一致，那么就認(rèn)為這個(gè)單詞被正確識(shí)別了。很快，ReCAPTCHA就被谷歌收購(gòu)了，現(xiàn)在已經(jīng)成為了谷歌旗下的一項(xiàng)免費(fèi)服務(wù)。

據(jù)杜克大學(xué)官方雜志《杜克》估算，2011年有6000萬至7000萬人每天破解大約一億個(gè)單詞——你可能也在無意中參與其中。從2012年起，它還增加了一項(xiàng)新功能：顯示谷歌地圖上的街景地址和名稱（從地圖上的街景中提取街道地址和名稱以及交通標(biāo)志等數(shù)據(jù)，以完善谷歌地圖上的信息）。目前，reCAPTCHA正在進(jìn)行《紐約時(shí)報(bào)》掃描存檔的信息化工作，并已完成20年的資料。

實(shí)際上，一些科技公司已經(jīng)開始拋棄挑戰(zhàn)計(jì)算機(jī)光學(xué)字符識(shí)別（OCR）能力的思路，開發(fā)一些對(duì)人類來說較為輕松，但計(jì)算機(jī)又無法識(shí)別的驗(yàn)證碼。比如，谷歌公司最近使用的辦法是，用戶只需要點(diǎn)擊一個(gè)復(fù)選框（勾選“我不是機(jī)器人”）即可完成驗(yàn)證工作。如果這樣還不能判定是機(jī)器人還是人類，那么會(huì)使用舊版的reCAPTCHA方法來驗(yàn)證。據(jù)透露，在使用新方式的時(shí)候，約60%的WordPress、80%的Humble Bundle用戶可以驗(yàn)證成功，因而他們不需要再進(jìn)入到reCAPTCHA界面。

這種方式的具體原理，是在用戶使用網(wǎng)絡(luò)的時(shí)候就開始收集大量信息，包括IP地址、Cookies等，然后通過這些數(shù)據(jù)來判定用戶現(xiàn)在與過去的使用方式是否一致，從而確定操作者到底是不是機(jī)器人。不僅如此，谷歌還會(huì)根據(jù)用戶鼠標(biāo)在復(fù)選框上的移動(dòng)方式、點(diǎn)擊方式等細(xì)微動(dòng)作，來確定人與機(jī)器人的區(qū)別。

可以看到，解決驗(yàn)證計(jì)算機(jī)使用者身份問題的方法從來不是只有一種。除了谷歌主要基于用戶數(shù)據(jù)的判斷方式之外，新的驗(yàn)證機(jī)制也有很多。例如，有的使用觸覺原理，要求用戶將一個(gè)滑塊推動(dòng)到指定位置;或者給出一條曲線，用戶需要用鼠標(biāo)照著畫一遍;用鼠標(biāo)給一些字母排序也能難住惡意軟件。當(dāng)然，還有利用人臉識(shí)別與語音識(shí)別的方法。

可以說，中國(guó)鐵路購(gòu)票系統(tǒng)12306網(wǎng)的驗(yàn)證碼被嫌棄的最大原因，并不是因?yàn)樗旧碛卸嗝蠢щy，而在于在那么多種選擇中，他們偏偏使用了最不人性化的一種。不考慮用戶體驗(yàn)的技術(shù)總是會(huì)遭到吐嘈，在互聯(lián)網(wǎng)時(shí)代，吐嘈可謂是用戶的一種最容易發(fā)起的集體狂歡。