作者:记者 付丽丽 来源:科技日报(2015-12-22)第05版 科报视点
12306网站验证码遭拍砖
验证码,本意是安全不是麻烦
随着一年一度的春运迁徙潮即将到来,铁路部门和广大旅客同胞们都在摩拳擦掌紧张着同一件事——购票。近日,购票网站12306再次被抛向舆论的风口浪尖。这一次,其饱受诟病的不是令人崩溃的网站,而是验证码。一方面人们纷纷吐槽12306网站的图形验证码不易辨认,另一方面,人们也开始对验证码本身产生了质疑,究竟验证码有没有存在的必要,是不是有些多此一举呢?
——新闻缘起——
12306购票验证码遭吐槽
“请点击下图中所有的玛瑙”“请点击下图中所有的博斯普鲁斯海峡”“请点击下图中所有的蜥蜴”……这些都是人们在12306网站购票时遭遇的验证码问题。
由于设置了图形验证码,用户需要根据提示,从8张图片中找到提示中提到的相关物品,看不清或者没把握的可以刷新更换。如此确认无误后,才能在12306网站登录或者提交订单。据统计,目前12306的图形码数量已多达581种,可细分为12个品类。
然而本用来防止黄牛倒票的图形验证码,却因画质模糊、辨识度低,几乎成了消费者和火车票之间最大的拦路虎。
深受验证码困扰的小刘说:“12306所提供的图形码画质一般,而且一些‘老古董’,比如煤油灯、缝纫机,我们90后很多人都没见过。”
“抢过票,才知道自己见识有多少”“验证码要猜半天,等到猜对了票就没了”“12306的验证码,已经击败了全国99%的购票者,我已经找不到回家的路了”对于12306的验证码网友纷纷吐槽。
——核心关注——
验证码验的到底是啥?
早期,网站登录都是依据用户名与密码,但黑客程序有可能针对某一个特定用户账号采用穷举破解的方法,不断进行登录尝试,造成潜在威胁,于是验证码应运而生。它出自美国卡内基梅隆大学研究人员的设计,用来防范那些可能对在线服务造成威胁的自动执行程序,例如:恶意破解登录密码、刷票、论坛灌水、刷网页等。
“验证码为验证登录的用户是人还是计算机程序,提供了一种方便的辨别手段。”北京邮电大学信息与通信工程学院教授牛凯说,理论上,只有真人才能通过推理分析验证码图片中的字符。隐蔽在杂乱背景中的扭曲字母,通过细致观察,人眼可以较准确辨识,而采用计算机识别准确率较低。
牛凯介绍,一般而言,验证码包括3类:文本验证码、语音验证码和图像验证码。其中,文本验证码又可以细分为在线识别文本与线下识别文本。在线识别文本是指,用户根据网页提供的文本内容,进行识别,这些文本可能有扭曲变形,可能被背景图片遮挡。而线下识别文本是指,识别码通过其他通信方式,例如手机、email等,传输到用户端,需要用户识别后填写到网页中。
语音验证码主要以语音播报的形式将识别码播送给用户,可能有背景杂音或干扰,这种验证方式尤其适合盲人或弱视人群。
图像验证码又可以细分为静止图像或视频验证码。前者主要是需要用户对一幅静止图像中的物体进行辨识,而后者需要用户对视频中动态出现的物体进行区分与辨别。动态视频验证码技术上具有先进性,但网站投入成本较高,目前还未普及。
为什么一定要用图形验证码?
“黄牛不可能人工去买票,必然是使用抢票软件。”牛凯说,黄牛可能手中囤积大量的身份证号码,刷票软件可以自动登录,用真实的身份证信息进行自动下单交易,由于整个过程由软件自动完成,执行速度比正常用户的手工操作快几十倍乃至上百倍,因此可以抢得先机,大量刷票。
在牛凯看来,12306网站采用验证码后,每一次下单购买车票,都需要判断验证码中的内容并选择。理论上这种推理识别能力,只有真人才具有,目前的人工智能在推理识别方面无法与人类相比,因此可以有效阻挡自动登录刷票。
中国铁道科学研究院电子计算技术研究所副所长朱建生此前也表示,不用图形验证码,机器抢票时间为0.1秒/张,人工抢票则为2秒/张,而使用图形验证码,由于机器无法自动识别,令票贩子无法再利用刷票软件囤票倒票。
那么,验证码为什么不能用简单的数字呢?对此,牛凯介绍说,对于验证码,目前刷票软件大多采用OCR文本识别技术。如果仅采用数字验证码,对于正常的数字显示,现有技术的识别准确率已经很高,很容易突破技术壁垒,这样验证码就会形同虚设了。另一方面,如果显示数字时,增加变形扭曲等操作,虽然能够提高机器识别的难度,但对于真人而言,识别准确率也会大幅度下降,同样会导致用户抱怨。
“采用图形验证码,真人能够识别,而对于刷票软件来说,OCR技术无法直接应用,增加了识别难度。”牛凯说,目前有些刷票软件号称能够破解图形验证码,所采用的技术实际上是大量的数据样本累计与人工辨识结合。由于12306的图形验证码数量是有限的,一旦刷票软件能够存储充分多的图片验证码样本并进行人工标识,当新的验证码出现时,软件就可以通过与数据库中所存储的图片匹配来进行识别。
“这就类似于考试命题时,从题库中抽取题目。只要事先对题库中的题目进行充分练习,就可以提高考试成绩一样。但是,如果没有验证码或验证码很简单,火车票被黄牛抢走的概率会远比现在高,普通人买票只会更难。”牛凯补充道。
——专家建言——
验证码最好是自动生成的文本或图片
如今验证码遭到诟病,那么有没有一种方法可以替代验证码呢?对此,有专家指出,目前有些网站已经不使用验证码进行人类和计算机程序的区分,而是使用SMS 短信验证的方式,这可以说是一种很好的替代方式。但是这种方式也不是无懈可击,黄牛同样可以通过注册一堆手机号来实现破解。所以验证码还会在较长一段时间内存在,而围绕验证码的设计和破解的较量也会继续下去。
牛凯表示,对于12306而言,定期更新图片数据库,并不断增加图片识别码数量才能有效对抗刷票软件。但由于12306的图片识别码也都是人工标识产生的,最终,双方对抗实际上归结于哪一方所付出的人工更多,哪一方的投入更大,这不是一个终极解决方案。
他认为,较好的方案是,验证码是自动生成的文本或图片,例如从扫描古书、古画或者百科全书得到的各种局部文本或图片,由于数据充分,较少重复,刷票软件难以形成大的数据库,因此可以降低其识别概率。
“还可以考虑将图片验证码替换成各种答题与推理,增加验证的智能性。”牛凯说,例如,在线四则运算答题,在线常识答题、在线逻辑推理,这些方法需要用户有基本的数学、逻辑、常识等文化与科学素养,显然刷票软件很难具备相应的能力。
此外,也可以考虑用户的特殊身份标识进行验证,例如:声纹、指纹、DNA等生理特征。“但这些方案也存在各种技术挑战并且会增加运营成本。”牛凯说。
■相关链接
官方表示将优化图形验证码
目前,12306网站和手机APP在旅客登陆和购票提交订单两个环节设置了图形验证码。据介绍,后台对12306图形验证码的正确识别率进行了统计,每分钟的正确识读率在70%左右。
中国铁道科学研究院电子计算技术研究所副所长朱建生表示,12306的图库共有几万张图片,图形验证码选入的基本原则是“常用物品”,并没有网上所谓“识别明星脸”之类的“奇葩”验证码。在12月15日前,已对验证码中数万张图片进行了优化,剔除一些辨识度不高的图片,提高了图片的清晰度,方便旅客购票。“未来努力的方向是让验证码变得越来越简单。但是现阶段需要在可应用性和防止自动软件恶意抢票中取得平衡。”朱建生说。