驗(yàn)證碼能保護(hù)網(wǎng)絡(luò)安全嗎?安全與便捷是否兼容?

目前被民眾詬病的不是令人崩潰的網(wǎng)站，而是網(wǎng)站上的驗(yàn)證碼。

“日防夜防，黃牛難防”，為了防止黃牛倒票，12306不斷更新驗(yàn)證碼形式，最新的一版驗(yàn)證碼顯示方式被網(wǎng)友戲稱為“史上最奇葩”：用戶需要根據(jù)提示，從8張圖片中找到提示中提到的相關(guān)物品，比如賀卡、雕像、貝殼、玻璃瓶、搟面杖、熱氣球等，看不清或者沒把握的可以刷新更換。

如此確認(rèn)無誤后，才能登陸或者提交訂單。然而該驗(yàn)證碼面世不到一天，市面上多個(gè)常見的搶票軟件就已經(jīng)破解該驗(yàn)證碼。

縱觀其他網(wǎng)站的驗(yàn)證碼，形式各不相同，有字母或數(shù)字的組合，背景有的是純色，有的則是雜亂無章地密布底紋;有的驗(yàn)證碼是公式，需要算對結(jié)果才能正確驗(yàn)證;還有的則是文字和圖片結(jié)合，輸入其中的某些特定文字，方可通過。

或許有些老網(wǎng)民們還記得，剛開始上網(wǎng)的時(shí)候是不存在驗(yàn)證碼的。那么，半途殺出的驗(yàn)證碼是干什么用的呢，黃牛黨們?yōu)楹我l頻破解它?

區(qū)分計(jì)算機(jī)還是人類

在那個(gè)沒有驗(yàn)證碼的時(shí)代，并非人人上網(wǎng)的目的都那么單純，伴隨網(wǎng)絡(luò)而來的“黑客”，利用一些小程序掠奪網(wǎng)絡(luò)資源。這一點(diǎn)從網(wǎng)民們郵箱中日益增多的垃圾郵件中可窺一斑。如果不加以制止，那么垃圾評論和垃圾郵件就可以輕松通過任何一個(gè)網(wǎng)站的注冊程序，通過各種方式轟炸人民群眾的眼球。

互聯(lián)網(wǎng)時(shí)代的“先驅(qū)”之一 ——雅虎，開始尋求解決辦法。一方面要解決用戶們每天遇到的數(shù)以百計(jì)的垃圾郵件轟炸，另一方面，他們自己的免費(fèi)郵箱，恰恰又是垃圾郵件的最愛——耗費(fèi)無數(shù)資源所阻止的垃圾郵件，都來自于自己的服務(wù)器。怎么辦?2000年，卡內(nèi)基梅隆的Luis von Ahn使用Gimpy機(jī)制來防范雅虎的垃圾廣告信息，并首次提出了CAPTCHA驗(yàn)證碼的概念。

“驗(yàn)證碼”其實(shí)并不是網(wǎng)友在不同網(wǎng)站上看到的難以辨認(rèn)的字母組合的代名詞，而是“全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測試”的俗稱，顧名思義，它的作用是區(qū)分計(jì)算機(jī)和人類。

“驗(yàn)證碼對于人來說很簡單識(shí)別，但是對于計(jì)算機(jī)程序來說卻很難自動(dòng)識(shí)別，這樣就阻止了那些意圖通過計(jì)算機(jī)程序來自動(dòng)申請更多郵箱發(fā)送垃圾短信或者刷票的人。”西安電子科技大學(xué)軟件學(xué)院副教授高海昌告訴《中國科學(xué)報(bào)》記者。

魔高一尺，道高一丈

然而，互聯(lián)網(wǎng)的安全護(hù)衛(wèi)者與黑客是伴生在互聯(lián)網(wǎng)平臺(tái)上的兩股勢力，它們在互聯(lián)網(wǎng)上互相拉扯。道高一尺，魔高一丈。此時(shí)，有人做出驗(yàn)證碼，彼時(shí)，便有高手破解驗(yàn)證碼。于是，驗(yàn)證碼由最初的一些簡單的字母，慢慢加入了數(shù)字、圖案，字母也分出大小寫，在國內(nèi)，驗(yàn)證碼中還會(huì)出現(xiàn)漢字。

背景也不再是單純的顏色，而是加入了形狀各異的底紋。高海昌解釋說，破解驗(yàn)證碼的軟件會(huì)通過圖像處理、模式分類等方法自動(dòng)識(shí)別出驗(yàn)證碼的內(nèi)容，如果驗(yàn)證碼過于簡單則很容易被猜出。

“其實(shí)12306剛剛推出的圖案驗(yàn)證碼，是比較容易破解的。根本都用不到前面提到的計(jì)算機(jī)技術(shù)。最簡單的方法，從所給的8張圖片中隨機(jī)選出兩個(gè)圖案作為答案進(jìn)行嘗試，直到成功為止。從數(shù)學(xué)角度看，這種隨機(jī)的方法就大概有4%的成功幾率。

在電腦上，用這種猜測的方法，成功猜對一次所需要的時(shí)間連1秒鐘都不到?！备吆２f，“為了增加計(jì)算機(jī)識(shí)別的難度，現(xiàn)在大部分主流網(wǎng)站的驗(yàn)證碼都進(jìn)行了扭曲、黏連、加干擾線等設(shè)計(jì)。那些數(shù)字加字母的組合，特別是字母中還要區(qū)分大小寫的，字符集就會(huì)大很多，也會(huì)加大程序計(jì)算的難度。在這方面，中文字符有先天優(yōu)勢，常用的漢字就有3000多個(gè)。所以，國內(nèi)的網(wǎng)站使用中文驗(yàn)證碼相對還是更安全一些?！?

安全性與便捷性無法兼得?

不過，這場無聲的較量暫時(shí)不會(huì)畫上句點(diǎn)，驗(yàn)證碼大戰(zhàn)依然如火如荼?；蛟S有人會(huì)想，既然驗(yàn)證碼總是被破解，那么為何不設(shè)計(jì)一個(gè)復(fù)雜難認(rèn)的驗(yàn)證碼一了百了呢?

驗(yàn)證碼的推出是保護(hù)互聯(lián)網(wǎng)資源不被濫用，但是驗(yàn)證碼本身也占據(jù)著網(wǎng)絡(luò)資源。而驗(yàn)證碼的安全性與便捷性，更專業(yè)的說法是可用性和魯棒性，是天生的矛與盾。

“目前，驗(yàn)證碼主要包括文本驗(yàn)證碼、語音驗(yàn)證碼、圖形驗(yàn)證碼。其中，由于生成的便利性，文本驗(yàn)證碼應(yīng)用最廣泛，也是12306等各大網(wǎng)站正在使用的驗(yàn)證碼。語音驗(yàn)證碼和圖形驗(yàn)證碼對資料庫和網(wǎng)絡(luò)帶寬要求比較高，所以應(yīng)用不是很廣泛。

另一方面，語音和圖形驗(yàn)證碼的驗(yàn)證時(shí)間較長，可用性比較差，也是不被廣泛采用的另一個(gè)原因?！备吆２忉尩?，“全球相關(guān)的研究團(tuán)隊(duì)都在尋找替代驗(yàn)證碼的方法，目前有些網(wǎng)站已經(jīng)不使用驗(yàn)證碼進(jìn)行人類和計(jì)算機(jī)程序的區(qū)分，而是使用SMS短信驗(yàn)證的方式，這可以說是一種很好的替代方式。但是這種也不是無懈可擊，黃牛同樣可以通過注冊一堆的手機(jī)號(hào)來實(shí)現(xiàn)破解。所以驗(yàn)證碼還會(huì)在較長一段時(shí)間內(nèi)存在，而圍繞驗(yàn)證碼的設(shè)計(jì)和破解的較量也會(huì)繼續(xù)下去。”

責(zé)任編輯:佰佰安全網(wǎng)