余之敏

在2015年年底的網(wǎng)絡(luò)購票高峰中，中國鐵路客戶服務(wù)中心的12306圖形驗證碼系統(tǒng)讓很多購票者吐槽。人們不禁要問，那么復(fù)雜的驗證碼系統(tǒng)，到底有什么用？

要回答這個問題，得先弄明白何為驗證碼。驗證碼實際上是一種Web自動程序，它有一個充滿科學(xué)氣息的名字——“全自動區(qū)分電腦和人類的圖靈測試”，就是由機器來向操作者提問，從而鑒別操作者是人還是機器的一種測試。目前，這種測試主要有四類：圖形驗證碼、手機短信驗證碼、手機語音驗證碼、視頻驗證碼。

中國鐵路客戶服務(wù)中心的驗證碼是圖形驗證碼，又叫主流驗證碼。剛開始，圖形驗證碼只是靜態(tài)的圖片，后來變成了動態(tài)的驗證碼圖片，它的防垃圾注入幾乎可以達到100%，是一個非常有效的驗證碼創(chuàng)新模式。

手機短信驗證碼通過發(fā)送驗證碼到手機來驗證用戶的真實性。大型網(wǎng)站，尤其是購物網(wǎng)站，都能提供這項功能，能比較準(zhǔn)確和安全地保證購物的安全性。

手機語音驗證碼實現(xiàn)了自動語音播報，同時也能發(fā)送短信到用戶手機上，確保萬無一失。如果有收聽失敗的，系統(tǒng)還能自動重播，確保不漏掉任何一個，這就從根本上解決了網(wǎng)站用戶收不到驗證碼的問題。

視頻驗證碼是驗證碼中的新秀，這種由隨機數(shù)字、字母和中文組合成的驗證碼會動態(tài)嵌入到MP4等視頻中，增加了破解難度。視頻中的驗證碼字母，數(shù)字組合，字體的形狀、大小，速度的快慢，顯示效果和軌跡的動態(tài)變換，增加了惡意抓屏破解的難度，其安全度遠高于其他驗證碼，而且這種驗證碼還不會使用戶感到枯燥，同時又降低了用戶識別的難度，讓用戶更容易辨認(rèn)。

驗證碼的主要作用是攔截不合理的入侵。比方說，若要進入一個頁面，就需要通過驗證， 這時操作者就要依次輸入數(shù)字、字母，有時還要加上無法被計算機辨識，但用戶肉眼可以識別的文字圖像（如12306圖形驗證），而操作者只有通過了驗證，才能順利打開網(wǎng)頁，有效防止惡意破解密碼，論壇灌水，刷票等。

隨著計算機技術(shù)的進步，驗證碼設(shè)計也越來越復(fù)雜，程序員正在與破解者進行著一場仿佛沒有終點的“拉鋸戰(zhàn)”，而在這場“拉鋸戰(zhàn)”中又催生出驗證碼新的作用：2015年年底，美國卡內(nèi)基梅隆大學(xué)的路易斯·馮·安等人設(shè)計出把無法識別的古籍文字制成驗證碼，派發(fā)給網(wǎng)站用戶驗證，根據(jù)不同用戶反饋回來的單詞答案，就可以輕松得到典籍模糊字符的正確結(jié)果，這對于古籍保護而言無疑是一個福音。

不過，越來越復(fù)雜的驗證碼還是令很多網(wǎng)友煩惱。為此，谷歌公司正在實施一項“消滅驗證碼”的工程，即驗證碼將被一個簡單的復(fù)選框代替，用戶只需勾選“我不是機器人”，電腦通過收集用戶單擊前的鼠標(biāo)軌跡，然后對比用戶當(dāng)前的行為是否與在互聯(lián)網(wǎng)上的歷史行為一致，就可以輕松判定操作者究竟是人還是機器。這對于大多數(shù)用戶來說，無疑會簡化他們的體驗，但它也會在“不經(jīng)意間”收集用戶的IP地址等變量，從而泄露隱私。

但是不可否認(rèn)，驗證碼仍然是各網(wǎng)站反黑客惡意操作中必不可少的一項保障系統(tǒng)，還是會被繼續(xù)使用下去，直到被另一種全新的、功能更好的反黑客軟件所代替。

（摘自《知識窗》2016年第3期，稍有改動）