驗證碼的魔道之戰

張襦心

網上消費已經進入中國鄉村，新技術對于年青一代農村務工者來說不難，但年齡偏大的務工者大多還是不會使用。

因為神一樣的驗證碼，12306被“噴”慘了。是誰為12306打造了這套驗證系統？背后又有著怎樣的考慮？本刊記者就此展開了調查。不過，在對調查結果展開敘述前，各位有必要先跟隨記者來了解一下驗證碼的前世今生，這有助于您對12306驗證系統的了解。

驗證碼之“大禹治水”

估計每個上網的人，都有過看不清驗證碼而抓狂的經歷，越著急越出錯，有時候恨不得摔鍵盤。

這還不算悲催。據驗證碼創始人2008年的統計，當時每天全球范圍內就有大約2億次驗證碼輸入，每次浪費10秒鐘，意味著全人類為了輸入驗證碼，每天要浪費55萬個小時。時過7年，這個數字想必還要再翻幾番。

這就令人產生了一個疑問：人類為什么要造出這么“反人類”的存在？為什么驗證碼非要歪歪扭扭、模模糊糊地令人生厭？

老網民應該都有印象，這個世界本來沒有驗證碼。公元2000年前，堪稱互聯網的荒蠻時代，那時候剛剛開天辟地不久，天地一片混沌，根本沒有什么安全概念。垃圾郵件和垃圾評論應運而生。

1994年，美國亞利桑那州，有一對在互聯網世界里臭名昭著的律師夫婦Cantor和Siegel，為了宣傳自己的移民顧問服務，寫了一段小程序，把 “綠卡抽獎”的廣告郵件，同時發送給了兩人能夠窮盡的近6000個Usenet新聞組的用戶，這就是垃圾郵件的起源。這一事件因此也被稱為“綠卡事件”。當時這對夫婦只花了不到20美元的上網通信費用，就吸引來了25000個客戶，賺了10萬美元。后來還把這段“成功經驗”寫了一本書：《網絡賺錢術》，宣傳這種“前所未有的幾乎無需任何成本的營銷方式”。

“綠卡事件”導致很多服務商的服務處于癱瘓狀態。遭受郵件騷擾的用戶，紛紛跑到新聞組里聲討，有人甚至留言說：“我恨不能用椰子殼和SPAM午餐肉罐頭砸扁他們”。從此美國大名鼎鼎的午餐肉品牌“SPAM”，就變成了互聯網垃圾信息的別名，沿用至今。

盡管“綠卡事件”的始作俑者被口誅筆伐，但“賺錢的示范效應”歷來都是驚人的。憤怒聲中，一些觸覺敏銳的商人覺察到了其中的商機，從此潘多拉的盒子就被打開了。

圖表：2016 年鐵路出行購票七大變化。

第二年，有人寫出了可以大批量發送電子郵件的程序。緊接著，又有人拿出200萬個郵件地址出售。到了1997年，垃圾郵件已經泛濫成災。

有垃圾郵件，就有反垃圾郵件。

有人將這段纏斗過程，戲稱為“大禹治水”：

“首位安全架構師女媧取五彩之石，煉就密碼三次錯誤自動鎖定賬戶之禁制，才將天空補完?！?/p>

“天”雖補完，“水”患依舊橫行，蠻荒野獸肆虐，它們或者采用慢速掃描，或者利用密碼輪詢賬號，以避過“女媧”所留“密碼三次錯誤自動鎖定賬戶”的禁制?！皥虻叟甚呏嗡保磅叀倍ǘ滤摺拊L問者IP，堵“洪水”源頭，“洪水”因此而改道，或經代理，或走“肉雞”，“鯀”治“水”歷時九年，“水”患難除，疲于奔命，卒于“羽山”。

“鯀”之子“禹”定疏水之策，立“定海神針”——以驗證碼確定正常訪問者身份，是人是妖一眼看穿，杜絕洪水肆虐，終解大患，此乃驗證碼之由來。

這里面的“大禹”，其實就是雅虎。

別看雅虎今天已經變得跟“紙老虎”差不多了，當年它可是互聯網第一代創業標桿，也是互聯網早期最重要的免費郵箱提供商。而免費郵箱，恰恰是垃圾郵件的最愛。雅虎發現：垃圾郵件，竟然都來自自己的服務器。通過機器程序注冊，短時間內就可以自動創建上千個電子郵件地址，然后就可以利用這些地址發送垃圾郵件了。

于是雅虎就找到了在卡內基·梅隆大學碩博連讀的——Luis von Ahn。這家伙當時才21歲，不愧是拿過“麥克阿瑟天才獎”的人物，向世人展示了學神和學霸的差距，就是誰解決問題更簡潔、更優雅。

如何分辨正在注冊的究竟是人還是機器呢？Luis von Ahn想到了一個非常簡單而又巧妙的設計。讓計算機先產生一個隨機的字符串，然后用程序把這個字符串的圖像進行隨機的污染、扭曲，再顯示給顯示器前的人或者機器，這玩意，就是驗證碼（CAPTCHA）。很顯然，人類能夠辨識這些字符，計算機可就傻眼了——當時計算機的辨識技術還很落后。

雖然驗證碼攔截住了大部分的惡意注冊和垃圾信息，但也帶來了用戶時間的浪費。

有人會說，輸入一次不就10秒鐘嗎？對學渣而言，你給他一年他也敢瀟瀟灑灑地浪費啊？但“神”可不是這么想的。

Luis von Ahn掐指一算，全人類一天就要浪費55萬個小時。這些時間怎么能收集起來，讓它產生價值？

優質男想到了拿這些零碎時間，來幫助紙質圖書進行數字化，稱之為“reCaptcha”。比如150 年前的《紐約時報》，從前我們要數字化，要不就是手動輸入，需要花費巨大的人力、資金，要不就是掃描后靠軟件識別，但軟件識別的準確率很難保證。尤其不少文章，已經因為年代久遠，油墨褪色，變得更難辨識。而Luis von Ahn要做的，就是把掃描件上的單詞切割抽取出來，然后與一組自動生成的字符混合，生成驗證碼。于是《紐約時報》從 1851 年到現在的所有報紙，總共超過1300萬篇文章，就這么借助廣大網友之手，成功地錄入了計算機。一個令人生厭、又為了安全不得不做的輸入驗證碼，就這么變成了一個對人類知識寶庫做貢獻的公益之舉。因而Luis von Ahn又被稱為著名的眾包先驅，《彭博商業周刊》譽其為“人類計算”的先鋒，即借由計算機和網絡平臺，發揮人類技能，去解決大規模、復雜的問題。

2009年，谷歌收購了這個天才的項目。隨后人們就發現，咦？驗證碼里怎么會出現疑似門牌號碼的圖片？沒錯，這些就是門牌號，來自Google拍攝的街景。為了提高地圖的準確度，那些機器人識別不出來的門牌號碼，就可以丟給reCaptcha讓廣大網友幫忙識別咯。

沒有驗證碼的驗證碼

所謂道高一尺，魔高一丈。

當年“魔”還只是發發垃圾廣告獲利，后來用計算機還能破解密碼、盜號、操縱網絡輿論和投票……試想，如果沒有驗證碼，黃牛用個電腦程序就可以把大量12306的火車票購入囊中。

巨大的黑金利益，催生了破解驗證碼的瘋狂。而在極客的世界里，攻守驗證碼，也變成了一種較量刀法和劍術的“賽事”。

為了防止驗證碼被輕易破解，十幾年間驗證碼陸續發展出了多種形式。比如驗證碼最早是數字，后來是字母，然后是數字加字母，后來騰訊又推出了漢字驗證碼。漢字就漢字吧，還給漢字打上了馬賽克。驗證碼還開始跟手機短信結合。如果沒有驗證需求，在微信已經一統天下的今天，手機短信幾乎失去了存在的必要。

但上述不管怎么變，驗證碼都依然處于輸入字符的時代。而慣于挑戰人類想象力的谷歌則反向行之，先是推出了圖片驗證碼，后來又致力于把人類再從輸入驗證碼中解放出來。

這個牛氣閃閃的項目，就是上面谷歌收購的reCaptcha的新版。去年底，谷歌宣稱，他們開發了一種沒有驗證碼的驗證碼 “No Captcha reCaptcha”），只提供了一個復選框，里面寫著“I'm not a robot”（我不是機器人）。當你打鉤之后，谷歌就能利用“風險分析引擎”進行全方位測評，以此來判斷你到底是不是真人。

谷歌敢顛覆傳統驗證碼的背后，有著強大的人工智能技術的支撐?！帮L險分析引擎”，就像一個善于搜集蛛絲馬跡，深諳行為分析術的超級FBI。據reCAPTCHAs的產品經理Vinay Shet說，他們會收集大量信息，包括IP地址和cookies，然后通過收集這些數據看對方是否和過去在互聯網上的行為一致，來判定這個用戶究竟是不是機器人。即便是在單擊復選框之前移動鼠標的那一瞬間，谷歌都可以借此區分一個真人和一個自動程序之間的那點微妙的差異。

如果你被谷歌判斷為“可疑”，那它就會給你傳統的驗證碼進行第二次驗證。這里面既包括升級版的字符驗證碼，也包括圖片驗證碼——早在2009年，谷歌就研發出了這種新型的圖片驗證碼。谷歌高級研究科學家Rich Gossweiler當時表示：“我們的技術拓展了圖形驗證碼的表現形式，使其不再局限于字符，也讓分辨驗證碼圖形的過程不再枯燥無味，而平添了不少樂趣?！倍覉D片驗證碼還可以根據網站的主題創建，例如，迪士尼網站可以采用卡通圖片，eBay則可以采用銷售的商品圖片。

如果您有興趣去細看谷歌的圖片驗證碼。您就會覺得有點眼熟，跟12306最近被吐沫星子淹死的驗證碼如出一轍！

大學生創業項目

現在，話題可以回到12306了。話說12306的驗證碼4年6版本，說出來也是一部血淚史。它的“技術?！保踔翉倪@家網站2010年1月30日剛誕生，就已經被吐槽，每年春運訂票進入高峰期，12306都會成為“話題之王”：有時候登陸12306比登陸釣魚島還難，或者登陸了沒法點購買，能點購買了沒法付費，付費了收不到短信通知……廣大購票者一時怒火滔天： 3億多元的軟硬件投入，就做出了這么個玩意？

好在隨著這些年的升級改進，12306終于變得不那么難用了。但怎么對付“黃牛黨”，卻一直缺乏妙招。據說網絡黃牛信奉天下武功，唯“快”不破。用搶票軟件本來就比12306網站要快一些，更何況網絡黃牛每天都掛在網頁上不停地刷。

為了阻擋黃牛，12306的驗證碼已經從數字-字母-加減法-閃爍變形字母-干擾線變形字母，升級到了最新的圖片驗證碼。

記者注意到，如今被吐槽的“圖片驗證碼”，其實12306早在今年3月15日就已經推出。叫好、拍磚的皆有。

微博ID為“中國民間評論員”的網友評論說：“12306這新驗證碼果然威武！看圖識字，可以幼教啟蒙了。”而Azura則抱怨：“昨天買票的時候還是正常的驗證碼。今天買票的時候說讓我選圖片，關鍵是怎么選都不對啊，怎么搞。后來發現，要兩個圖片一起點，你說坑爹不坑爹?。?！”

但當時春運已過，圖片驗證碼并沒有掀起多大的反響，直到9個月后，新一年春運即將到來之前，才一舉躥成了“網紅”。

為12306提供圖片驗證碼的，此前有媒體報道，為“北京點觸互聯科技有限公司”。從工商注冊資料可以看出，這是一家2015年12月3日才剛剛成立的新公司，公司位于中關村商圈，法定代表人為宋超，注冊資本為100萬元。線索似乎暫時中斷。但長期跑科技口的老記或許能想起，當年有幾個大學生對外稱自主研發了一種“點觸驗證碼”，曾在浙報傳媒主辦的新媒體創業大賽上拿到二等獎，吸引了數百萬的天使投資。為首的那位大學生，名字即為宋超。

記者通過查閱相關資料，證實兩位“宋超”確實為同一人，今年26歲。

那是在2011年的11月，宋超當時還是哈工大計算機學院網絡信息安全專業的研一的學生，他接手了學校大學生創業聯盟注冊的子公司“千元軟件工作室”，平時接點外包項目賺錢。有一次在團隊頭腦風暴時，偶然想到了“點觸驗證碼”的點子。宋超后來曾對媒體表示：“傳統的驗證碼輸入方式已經20多年沒變化了，其操作習慣已遠不適應當下。我們首創的點擊、拖動驗證方式更加簡單、高效，足以引發一場驗證碼革命。”他們的驗證碼就是讓用戶在特殊處理過的組合圖片中識別特定區域的意義，比如在幾張圖片中識別出水果，讓用戶用點擊、拖拽、觸摸的方式，完成驗證碼的輸入。

2012年4月，宋超報名參加了浙報傳媒的“中國首屆新媒體創業大賽”，據說比賽還沒有結束，傳媒夢工場創投基金就表現出了投資興趣。該基金是由傳媒夢工場聯合阿里資本及創新工場共同發起創業投資基金。

但在那個時候，宋超還要忙于學業。而互聯網創業的特點，就是如果跑得不夠快，那就會死得很快。學業還是創業，讓宋超似乎陷入了“創業躁郁癥”，曾在自己的微博上感慨：“大學生創業最缺的不是創意，不是經驗，不是決心，而是時間！”

最終他和兩位伙伴選擇了休學創業。 2012年9月，杭州微觸科技有限公司成立，宋超擔任了CEO。2014年1月，該公司正式開始商業化運作，累計盈利超過200萬元，曾計劃在2015年上半年完成A輪融資1000萬元。其間公司總部已由杭州搬至北京，并經歷了多次股權變更。2013年5月28日，韓光明從投資人中退出。2015年3月，最初創業“三劍客”之一的郝忠翁也從投資人名單中消失。宋超也在媒體采訪中坦承：“由于有段時間公司發展困難，資金流出現緊張。一名同學看不到希望，跳槽走了?！钡?015年5月27日，杭州微觸股東實繳出資額，從變更前的夢工廠傳媒有限公司6萬、張揚3.36萬、宋超20.64萬，變為傳媒夢工廠6萬、張揚3.36萬、龔甜3.45萬、宋超17.19萬。

而在新成立的北京點觸中，自然人股東只有張揚和宋超兩位。到目前為止，該公司的客戶包含了12306、中國郵政、金山快盤、浙江在線、IT之家、新文化網社區等。與12306合作的這一外包項目，據宋超本人稱，服務價格超過了100萬元，委托方則是鐵科院電子所。

本來是作為第一大客戶案例的項目，卻遭來了鋪天蓋地的批評，該公司的壓力驟增。

目前無論是北京點觸，還是鐵科院電子所，對該項目都是三緘其口。

記者致電北京點觸，該公司的吳姓負責人表示：“公司最近承受了很大的壓力，不太方便接受采訪?！苯o宋超發送的采訪郵件，未得到回復。而鐵科院電子所，則對該外包項目是否進行了招標、中標原因等問題，也未有回應。

從該公司網站公布的一些驗證碼案例看，其圖片清晰美觀，趣味感強。但在12306上卻顯得非常模糊劣質。

這似乎是鐵科院電子所主導的結果。鐵科院電子所副所長朱建生近日在媒體上承認：“為了防范搶票軟件的自動識別，我們會對圖片做出微調、旋轉、切割的處理。這樣做主要是為了在方便旅客購票和打擊搶票軟件中尋找平衡?！?/p>

攻守之戰

成本與效果，是檢驗“驗證碼”的唯一真理。

一位曾在BAT就職的技術管理者告訴記者：“圖片驗證碼的獲取與維護成本，比字符驗證碼更高。因為字符都是現成的，可以隨意變形、加干擾線等，識別不受背景知識和文化差異的影響。而一張圖片的內容不能變，只能在圖片的組合與出題上加以變化，圖庫也需要專門去獲取。”

朱建生近日稱：“將對驗證碼中數萬張圖片進行優化，剔除一些辨識度不高的圖片，提高圖片的清晰度?！薄澳戏饺藳]見過或北方人沒見過的，或各地叫法不同的，未來在優化時都將進行篩除?！?/p>

網友總結的搶票“技術”。

這顯然也是一件耗費人工與時間成本的事情。如果成本大，但效果好，這似乎也是值得投入的事情。但上述人士認為：“圖片驗證碼比字符驗證碼更容易破解?！彼e了騰訊為例?！膀v訊是國內對驗證碼最上心的的公司之一?？梢栽O想一下，是黃牛倒票利潤大？還是QQ盜號利潤大？目前QQ盜號的黑色產業都已經呈現集團化和行業細化的特征了。為了應對QQ盜號，騰訊必須采用目前最先進的驗證碼技術。而他們采用的，就是字符驗證碼。如果圖片驗證碼真的效果好，騰訊早就采用了。”

據其推算，12306的圖片數量應該沒有幾萬張，有可能是在1萬張左右，這個量并不大，可以先把所有圖片都刷出來，并加上備注，形成自己的圖片庫。當破解程序遇到驗證碼的時候，雖然它并不認識這些圖片是什么，但通過比對，可知這些圖，跟自己圖片庫里的某些圖相同，由此便可以進行破解。谷歌、百度現有的圖片識別，將會幫助加快這一過程。即使12306增加驗證碼的難度，但圖片的組合與題目的變化，總體而言是有限的。而字符的變形則是無限的。從目前來看，字符驗證碼，依然是判斷正在輸入的是真人還是程序的最簡單、高效的方法。

在12306圖片驗證碼推出不久，獵豹移動曾表示：搶票不受影響，速度還提升了1秒。緊接著，就有技術高手公開了破解方法和代碼，原理如下：1.12306存儲的圖片并非無限多2.模擬點擊完全沒問題3.智能識別圖像雖然有難度，但是所有圖片可以用MD5來標志。

日前，360瀏覽器“春運搶票開發團隊”也對外宣布， 360瀏覽器已經攻破了12306的圖片驗證碼。在本次春運搶票初期，360瀏覽器就破解了12306圖片驗證碼，成功率達到95%左右。不到兩天，12306展開了“報復”，增加圖片驗證碼的數量與關鍵詞，并提升識別難度。不過360瀏覽器工程師們也開始了新一輪破解大法，還喊出了“為全國人民干一票！”的口號。最后宣稱已在購票登陸和提交支付環節均能自動識別驗證碼。

當然無論是字符驗證碼，還是圖片驗證碼，都會遭遇一個終極難題，那就是“人工打碼”。如今百度上隨便一搜，就可以看到大量招聘兼職打碼的小廣告。比如有家打碼平臺給出的任務價格是1000張1.2元，還有獎勵機制，活躍會員以全職媽媽、殘障人士、收入不高的上班族為主。

人工打碼的存在已經不是一天兩天了?！都~約時報》早在2010年即有報道稱，一些發送垃圾郵件的公司會將填寫驗證碼的工作外包給發展中國家（中國、印度等國）的工人，每填寫1000個驗證碼可獲得0.8-1.2美元的報酬，還有專門的經紀人和中間人。一位孟加拉的驗證碼經紀人在自己的簡介網頁上稱，公司擁有30臺電腦，實行三班倒，可以每周7天、每天24小時地開展工作。

記者注意到，還有知名自媒體聲稱，12306推出圖形驗證碼，其實是在下一盤很大的棋，即想把驗證碼變成廣告展示位。其實打廣告，這確實是宋超選擇創業的初衷之一。上文提到，2009年谷歌推出圖形驗證碼的時候，也支持各家網站根據自己的主題創建，增加跟網友的互動。

但這在12306上恐怕行不通。江南春可以在樓梯間裝液晶屏，利用的是人的閑置時間。而搶票爭分奪秒，誰還有閑心去看廣告。廣告云云，不過是臆想罷了。