原創(chuàng) Owl 果殼

當你守在電腦前，為買到一張期待已久的演出票摩拳擦掌，正打算點擊鼠標激情搶購時，電腦突然跳出來一個驗證碼輸入框……

請輸入中間圖片里的字母……你這字母呢？

丨larrysworld.com

這是在搶票還是在測視力啊！誰能想到努力了半天結(jié)果敗給了驗證碼。這驗證碼要是像這樣痛快地讓人看不懂也就罷了，更讓人迷惑的是圖片選擇。讓我選出所有包含汽車的圖片，那這一塊占了一點點，我到底該不該選上？

我看你是在欺負近視的人！丨apify.com

被這些離譜驗證碼“氣笑了”的人，把嘲諷技能直接拉滿，整出了不少梗圖。你們這些驗證碼不是想難為我嗎？有本事直接整這些啊！

一團亂麻、解數(shù)學題，甚至可以讓別人選擇代碼里的bug？丨devrant.com

最近，有公司對煩人的驗證碼出手了！蘋果在今年的開發(fā)者大會上，提到了新系統(tǒng)里的一個功能：自動驗證。他們想讓系統(tǒng)代替人為操作，自動通過驗證碼核驗。這么多年過去了，我們終于能和驗證碼說拜拜了嗎？

iOS16測試版中的功能丨作者供圖

你不是機器人吧？

驗證碼很“難”這件事，光是從自身的全名就能體現(xiàn)出來。2000年，來自卡內(nèi)基梅隆大學的一群博士創(chuàng)造了CAPTCHA。這一串字母代表了全自動區(qū)分計算機和人類的公開圖靈測試(Completely Automated Public Turing test to tell Computers and Humans Apart）。這個聽起來非常高端的測試，落到用戶的手里，就是“輸入驗證碼”。

不過最開始，這個驗證碼并不想為難人類，而是想為難機器人。互聯(lián)網(wǎng)上始終充滿了機器人，而這些機器人本質(zhì)上是一行行自動運行的計算機代碼。這些代碼可以在不同的網(wǎng)站注冊海量賬戶。之后，機器人賬戶便可以四處發(fā)布垃圾信息、自動刷票、甚至攻擊網(wǎng)站。

人工審核很難能快過重復運行的代碼，所以網(wǎng)站需要一個有效的方法來識別機器人和真人。驗證碼成了一個理想方案。

早期的驗證碼一般通過扭曲正常的文字或者給它們加上一些干擾的線條，來區(qū)分機器人和真人。這種簡單的變化對于人類閱讀而言不成問題，但對于只能識別標準文字的機器人來說，卻是一個十足的難題。

人類就這樣歲月靜好了一陣子，可機器人卻越來越“聰明”。隨著深度學習技術(shù)進一步發(fā)展，機器人可以輕松地識別這些扭曲的文字。這樣的惡性循環(huán)導致用以驗證的文字也變得越來越難。

怎么才能造出機器人鐵定看不懂的詞呢？卡內(nèi)基梅隆大學的研究團隊這時又想了一個好方法：用AI掃描幾本舊書，那些掃不出來的單詞不就是好的驗證碼素材了嗎？于是，這些AI無法識別的單詞和另一個已經(jīng)確定的單詞被一起放入了驗證碼框中。當你輸入這兩個單詞的時候，如果已經(jīng)確定的單詞輸入正確，系統(tǒng)就會偏向于判定另一個詞是有效的。

驗證碼，你沒事吧？丨webadictos.com

這樣的方法不僅阻止了機器人，還讓人類在不知不覺中干了份外包工作：當超過一定人數(shù)輸入這個AI無法識別的單詞后，單詞就會被確認并收回，從而完成舊書的電子化。

后來谷歌收購了這個項目，把它用在了谷歌圖書和谷歌街景等圖片的識別中。不過，比起程序生成的簡單變形字符，人類想要識別這些AI都看不出來的模糊書籍字符和圖片，難度變得更大了。

請選擇圖中所有的麥芬面包……丨memezila.com

滿世界都恨驗證碼

不論是文字識別還是圖片選擇，這些復雜惱人的驗證碼都成了正常人類上網(wǎng)的一種阻礙。

谷歌安全博客下，評論區(qū)的人認為驗證碼終將消失。因為這些“狗屎”阻礙了正常用戶在評論區(qū)留言。丨Googleblog.com

2012年的一項調(diào)查報告顯示，超過90%的人都認為使用這些驗證碼有點困難或是非常困難。有人不滿于此，甚至成立了驗證碼藝術(shù)小組來為離譜的驗證碼作畫。

驗證碼sconce killed直譯為“燭臺被殺”，用戶為此作畫（？）丨prodlly/reddit

這些驗證碼還惹到了一些“無辜人士”。有些人為了攻破這些AI難以識別驗證碼，將驗證碼分發(fā)到色情、游戲等網(wǎng)站上，要求用戶在看到詳細內(nèi)容之前先輸入驗證碼。用戶在不知情的情況下，幫助別人“破解”了驗證碼。

一個虛假驗證碼出現(xiàn)在解密游戲上的例子丨參考文獻[11]

不僅用戶反感，網(wǎng)站也對驗證碼非常頭痛。一項研究邀請了210位參與者，超過一半的人需要輸入兩次甚至兩次以上驗證碼才能輸入正確。這對網(wǎng)站來說簡直就是災(zāi)難：用戶體驗這么差，得流失多少用戶啊！

為了解決引起眾怒的驗證碼，廠商也一直在努力。谷歌在新版的驗證碼系統(tǒng)中，使用了點擊按鈕代替之前的辨字和辨圖。你只需要點擊一下“我不是機器人”的選框，系統(tǒng)就可以根據(jù)你的操作信息驗證你是不是機器人。滑動驗證、拼圖驗證等方式，也會通過分析用戶拖拽行為來判斷是否是機器人操作。

你以為只點了個按鈕，但其實系統(tǒng)收會整合瀏覽行為和鼠標路徑等信息，綜合判斷你“是不是人”。丨Google Developers

隱式驗證碼也不斷在發(fā)展，系統(tǒng)會通過收集用戶的操作行為，自動對使用者進行綜合評定。不過人們也對隱私性產(chǎn)生了疑問：我在瀏覽網(wǎng)頁時，系統(tǒng)到底要收集多少我的信息？

蘋果這次更進一步，推出了私人訪問令牌（Private Access Tokens），計劃直接在使用手機這個階段就完成真人判斷：通過密碼或生物識別解鎖了手機、打開了瀏覽器、又精準輸入了網(wǎng)站……這些足以說明是個真人在使用手機了。當完成判定后，系統(tǒng)就會自動向網(wǎng)站發(fā)送“真人通知”，從而自動完成相關(guān)驗證。

蘋果與合作的科技公司計劃將相關(guān)的標準進行開源，也就是說，不只是蘋果用戶，或許未來越來越多的人都可以擺脫這些煩人的驗證碼了！

參考文獻

[1]ReplaceCAPTCHAswithPrivateAccessTokensWWDC22. https://developer.apple.com/videos/play/wwdc2022/10077/

[2]This new iOS 16 feature will rid the web of pesky CAPTCHA verification puzzles. https://9to5mac.com/2022/06/20/ios-16-bypass-captchas/

[3]CAPTCHA: Telling Humans and Computers Apart Automatically. http://www.captcha.net/

[4] Human or Computer? Take This Test. https://www2.eecs.berkeley.edu/Research/Projects/CS/vision/mori-nyt/page1.html

[5]Are you a robot? Introducing “No CAPTCHA reCAPTCHA”. https://security.googleblog.com/2014/12/are-you-robot-introducing-no-captcha.html

[6]reCAPTCHA protects your website from fraud and abuse without creating friction. https://www.google.com/recaptcha/about/

[7]Moradi, M., & Keyvanpour, M. (2015). CAPTCHA and its Alternatives: A Review. Security and Communication Networks, 8(12), 2135-2156.

[8]Screen Reader User Survey #4 Results.

https://webaim.org/projects/screenreadersurvey4/#captcha/

[9]CaptchaArt - Reddit. https://www.reddit.com/r/CaptchaArt/

[10]Fidas, C. A., Voyiatzis, A. G., & Avouris, N. M. (2011, May). On the necessity of user-friendly CAPTCHA. In Proceedings of the SIGCHI conference on human factors in computing systems (pp. 2623-2626).

[11]Kang, L., & Xiang, J. (2009, December). CAPTCHA phishing: A practical attack on human interaction proofing. In International Conference on Information Security and Cryptology (pp. 411-425). Springer, Berlin, Heidelberg.

[12]CAPTCHA Effectiveness. https://blog.codinghorror.com/captcha-effectiveness/

[13]Private Attestation Token：使用開源標準消滅 iPhone 和 Mac 上的驗證碼. https://blog.cloudflare.com/zh-cn/eliminating-captchas-on-iphones-and-macs-using-new-standard-zh-cn/

作者：Owl

編輯：窗敲雨

一個AI

咋非得這么為難AI！

閱讀原文