這個月，橙柿互動樂隊在杭州的比賽進入了海選投票階段，不少橙友吐槽：投個票為什么這么復(fù)雜？每一次為喜歡的樂隊投上一票，都需要通過點選漢字的驗證才能完成。

其實答案并不復(fù)雜，為了防止大家用機器刷票。也就是說，投票之前得先證明一下，你是個人，而不是機器，以此保證票數(shù)的公平性。

專家分析，

   新昕科技首席技術(shù)官， 曾在去哪兒、易寶支付等支付及航旅等大型平臺負(fù)責(zé)相關(guān)的安全，  對此表示：  在新一代的機器學(xué)習(xí)框架下， 靠視覺來達到安全方面的目的已經(jīng)不靈了，  

    前企查查負(fù)責(zé)爬蟲的技術(shù)專家文先生則表示，  這些只能對付高中水平的黑客，對付機器人，那不可能 。

互聯(lián)網(wǎng)時代，當(dāng)日常生活的需求被一個個應(yīng)用所滿足，我們會很自然地做出以下動作：輸入用戶名、密碼，緊接著按照指示進行著五花八門的驗證方式：點選漢字、滑動拼圖、旋轉(zhuǎn)驗證，或者計算面積、回答問題……

關(guān)鍵時刻總有一款驗證碼能折磨到你，既然被詬病那么多，驗證碼為什么還四處可見？有沒有辦法替代它呢？

還記得被12306驗證碼支配的恐懼嗎？

驗證碼最早于2002年由卡內(nèi)基梅隆大學(xué)的路易斯·馮·安等人提出，專業(yè)術(shù)語叫“全自動區(qū)分計算機和人類的公開圖靈測試”（CAPTCHA），是一種區(qū)分用戶是計算機還是人的公共全自動程序。

最初的驗證方式比較簡單，采用的是晃動扭曲的文本形式，既可以避免計算機程序自動識別，又能讓人類順利讀懂。

但隨著機器越來越智能，當(dāng)扭曲的字母被機器讀懂后，驗證方式不得不越來越復(fù)雜。

比如，讓你做一些簡單的動作，從左滑到右，將物品順時針、逆時針旋轉(zhuǎn)到正確位置。或者是讓你進行點選的動作，看著圖片中七倒八歪的漢字，根據(jù)提示依次點擊。

再難一點的，有一些驗證碼考驗基本的數(shù)學(xué)和語文能力。像是按照成語的順序來點選文字，點擊選擇面積最大的區(qū)域，或者一道加減乘除題。有的驗證碼還讓你回答，唐僧有幾個徒弟（算白龍馬）？武大郎在家里排行第幾？

大家對驗證碼最有感知的事情或許還是2015年春運搶票。當(dāng)時，為了防止搶票插件和黃牛黨惡意購票，鐵路部門不斷升級網(wǎng)站驗證碼，圖形驗證碼的種類逐漸增加。據(jù)說當(dāng)時購票驗證碼共有581種，這些圖片幾乎囊括了天文地理、歷史政治等多方面內(nèi)容，為了便于加載，還順帶降低了圖片的清晰度，一時間難倒了不少著急搶票的旅客。

無論是哪種驗證方式，在更暢快到達我們所需要頁面之前，驗證碼成為了讓人煩躁的攔路虎，不得不接受著它的“盤問”。

有的驗證碼“看不見”不代表沒有

“上面羅列的這些常見驗證方式，以知識和軌跡行為驗證為主，都屬于第二代驗證碼。”螞蟻集團流量安全專家霖煦說，“為了對抗不斷進化的機器對驗證碼的破解，業(yè)界不斷提高驗證碼的交互難度，難住了機器的同時也難住了人類。”

2014年，Google發(fā)布了一個專門解讀扭曲文本驗證碼的算法，人工智能技術(shù)已經(jīng)能以 99.8%的準(zhǔn)確率解決最困難的扭曲文本，而人類的成功率是33%，第一代驗證碼就這樣被機器攻破了。

不過，從目前來看，這場“人機交戰(zhàn)”并不是無休止地“道高一尺，魔高一丈”。最具代表性的依然是12306，你有多久沒在買票的時候遇到驗證碼了？

據(jù)霖煦介紹，目前驗證碼已經(jīng)發(fā)展到第三代，“就是智能無感驗證，也是這幾年主流的驗證方式。”這背后是人工智能為了了解你做足了功課，它可能包括了解設(shè)備環(huán)境等多個風(fēng)險判斷要素，進行全方位人機風(fēng)險防控。

以支付寶為例，只有在極少數(shù)的情況下會要求你進行有交互的人機驗證，去年還新上線了一個叫“揮一揮”的驗證方式，逐步替換登錄時出現(xiàn)的拖動滑塊驗證，不只明眼人可用，視障用戶也流暢使用，按照語音提示完成指令動作即可通過驗證。

但這并不意味著對大家的錢袋子不上心。“安全肯定是首要考慮的因素，驗證這個過程還是要有的，只不過是把復(fù)雜的驗證過程留給后臺的安全系統(tǒng)，把簡單的用戶體驗留給大家而已。”霖煦說。

隨著人工智能技術(shù)的發(fā)展和安全專家的努力，現(xiàn)在大部分的驗證場景是這樣的情況：在你進行登錄時，如果安全系統(tǒng)判定是人類操作，則可完全無感知通過；如果判定為疑似機器操作，則會根據(jù)風(fēng)險出現(xiàn)相應(yīng)驗證內(nèi)容，要求進行二次驗證。

驗證碼消失會是未來的一大趨勢

既然驗證碼的體驗這么差，不要它可以嗎？答案是真不行。既然人工智能可以聰明到確認(rèn)屏幕另一面是人，理論上也能模仿屏幕另一面的人騙過同行。霖煦說：“人機驗證系統(tǒng)需要牢牢守在用戶登錄的第一線，就是為了保護大家的錢袋子免受‘撞庫’攻擊。”

通俗點講，撞庫就是一些黑灰產(chǎn)攻擊者用非法獲取的一批賬號和密碼在各大平臺不停地試，許多人喜歡“一組賬密走天下”，就很容易因為在A平臺泄露的賬號和密碼信息，導(dǎo)致在其他各個平臺都失去安全保障。

也正因為如此，驗證碼已成為網(wǎng)絡(luò)安全的重要一環(huán)，成為產(chǎn)業(yè)鏈上的一部分。在杭州，網(wǎng)易就孵化了一個一站式數(shù)字內(nèi)容風(fēng)控品牌——網(wǎng)易易盾，除了網(wǎng)易自有業(yè)務(wù)模塊外，還給第三方提供各類數(shù)字內(nèi)容的安全服務(wù)，這其中就包括各類驗證碼的問題。

“之所以大家會遇到那么復(fù)雜的驗證碼，原因在于這個網(wǎng)站或者是應(yīng)用的安全攻防沒有做到位，只能以犧牲用戶體驗為代價，通過越來越復(fù)雜的驗證方式提升安全性。”易盾總經(jīng)理朱浩齊說。

但他認(rèn)為，從更長的時間維度來看，驗證碼消失是未來的一大趨勢，大家對驗證的感知肯定會越來越少，甚至到?jīng)]有，但這并不意味著驗證這個動作沒有了，“背后大量的工作，正是安全攻防系統(tǒng)在與黑灰產(chǎn)們不停博弈，積累著一次次的經(jīng)驗。”

一個簡單的例子，日常消費的時候，很多人喜歡先領(lǐng)個優(yōu)惠券再買單，商家也希望通過發(fā)優(yōu)惠券、紅包等形式吸引和回饋顧客，但令人頭疼的是這些獎勵經(jīng)常會被黑灰產(chǎn)薅走。在和這類型黑灰產(chǎn)博弈的過程中，易盾在梳理大量的黑灰產(chǎn)的歷史數(shù)據(jù)庫后，針對不同場景特點，輸出不同的風(fēng)控策略和反作弊算法模型，才守住了屬于消費者的“羊毛”，而且大多數(shù)情況下是在大家毫無察覺時進行了無感攔截。

今年6月，蘋果在全球開發(fā)者大會宣布將用私人訪問令牌（Private Access Tokens）取代驗證碼。當(dāng)蘋果系統(tǒng)內(nèi)驗證該設(shè)備和 Apple ID賬戶是正常狀態(tài)，就會向需要驗證碼的應(yīng)用或網(wǎng)站提供“私人訪問令牌”。

簡單來說，用戶在蘋果系統(tǒng)內(nèi)，可能就不再需要驗證碼。

未來，復(fù)雜的驗證碼大概率只會出現(xiàn)在少數(shù)特殊場景，比如說涉及到支付和資金。但這個時候，其實需要驗證的就不僅僅是“你是人還是機器”的問題，而是“你是不是你本人”的更高級別驗證，可能需要通過短信或者是刷臉等核身驗證方式了。