又到了一年一度的“春运”大潮,每年这个时候,购票无疑都会成为热门话题。而今年,12306的“奇葩”验证码又一次使这个话题被刷上各大网站的热度榜。
“请点击下图中所有的‘好’男人”、“请点击下图中所有的博斯普鲁斯海峡”等逆天的问题让网友不禁感慨“抢过票,才知道自己见识少”。
除了题目奇葩外,图形模糊、辨识度低、越错越难等特性也是为众多用户所诟病的“槽点”。12306设置如此难的验证码关卡到底有何玄机?而这种奇葩的识别验证码真的能达到最初期望的效果吗?
一、防“黄牛”效果不是很好,反而伤害了用户体验
“黄牛”的存在一直是春运售票环节中令人头疼的问题。自从12306在2013年推出了网上购票服务后,“黄牛”也“与时俱进”,学会了用各种软件、识别工具等高科技手段进行抢票。针对这个问题,12306一直通过在验证码方面更新换代的方式来遏制“黄牛”的刷票行为。
最初的验证码一般都是数字或字母以及加减乘除的计算题目等,但这种旧式体系很快就被攻破。传统的验证码抵挡不住迅速发展的机器学习技术,不管是“黄牛”还是用户都纷纷学会用这种新技术抢票。
基于机器学习技术的抢票软件让用户和“黄牛”分分钟刷到票。但对12306来说,则是一场“灾难”:各大浏览器、服务器帮助用户和“黄牛”刷票,使得12306服务器承受的请求次数比以往增多了数十倍。这种情况严重影响了12306的运行效率,使得运行的本就不算顺畅的网站“雪上加霜”。
在这种情况下,12306自创了一套图形验证码,而且逐渐增加其难度,以期解决这一问题。
比如,除了奇葩的难题,糟糕的画质是用户最不满的地方。但国内机器视觉公司旷视科技内部人员表示:“12306并不是没有画质高的图片,但故意选用很难识别的图片,目的就是让人类都难以识别,这样机器学习就会非常困难,虽然技术上可以操作,但识别率会很低”。
由此看来,这种方法确实在打击“黄牛”刷票方面起到了一定的效果,但也极大地伤害了用户体验。
据360公布的12306验证码大数据显示,目前,其图形验证码数量已经达到581种。按照输入两个关键词才能登录的规则,用户将要面对336980道题目,而每次的正确率为8%,两次成功的比率为27%,而需要输入三次甚至四次才能答对的人数比例多达65%。
在网站方面看来,这一方法虽然伤害了用户体验,但是却能有效地遏制“黄牛”。
尽管理想“丰满”,但现实却是极其“骨感”的。业内人士表示,破解图片验证码的技术难度虽有所增加,但实验表明,借助各种识图技术破解图形验证码的成功率已经达到85%。
一位互联网巨头公司的安全人员认为:“581种甚至5800种对于机器来说都不是困难的,只要能够足够的耐心,把所有的图片都刷出来并加上备注,暴力破解很容易”。
旷视科技内部人士也表示:“可以让机器提前记住答案,在需要验证码的时候背答案就可以,现成的工具很容易就能做到”。
一位“黄牛”甚至提出了一种更简单的办法:“去一些人工成本较低的地区,雇一些人专门刷验证码,其他的流程则交给机器”。
另外,用户还发现这次的验证码在难度升级的同时还加入了N多广告。原因在于这次的验证码是外包给第三方团队做的,其目的就是赚取广告费和外包费用。
从一定程度上来看,这确实是一个绝佳的商机。12306如果纯粹从商业角度来看,实在算不得一款优秀产品。但是,购票领域属于绝对的卖方市场,加之12306没有竞争对手。因此,将图形验证码变为广告位简直就是无限的商机。
作为网站,考虑如何盈利无可厚非。但从目前的状况来看,网站赚到了广告和外包的费用,“黄牛”依然猖獗,技术达人也能有破解渠道。真正悲催的只有普通用户,购票门槛越来越高。久而久之,容易形成恶性循环。
那么,究竟有没有比设置高难度的图形验证码更有效的方法呢?
二、基于行为的验证或许是更好的方法,从根源遏制是最佳策略
验证码(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是一种区分用户是计算机和人的公共全自动程序。可以防止恶意破解密码、刷票、论坛灌水,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试。
简单来说,验证码的根本目的就是为了证明在电脑前操作的是人类而非机器。因此,基于行为的验证是最佳方法。在图形验证码仍存在诸多缺点时,滑块验证码倒是不错的选择。
第一,传统验证码已经有诸多方法被识别,而滑块验证码目前依然没有很好的破解方案。
数字、字母等简单验证码极易攻破,图形验证码也可以通过机器记忆的方法破解。而滑块验证码操作一次需3秒左右,其机器破解的正确率在30%。也就是说,破解一个滑块验证码需耗时10秒。
第二,图形验证码破坏用户体验,而滑块验证码对用户比较友好。
图形验证码对于用户的伤害,从网友的吐槽中就可以感受到。而滑块验证码则以新颖有趣的拼图形式呈现在用户面前,并且难度大大降低。这能使用户的购票过程更加舒适。
第三,对于商家来说,滑块验证码可以做广告。
虽然图形验证码中也可以插入广告,但毕竟不那么名正言顺,而且还容易招来骂声。而滑块验证码在难度降低的同时自然地插入广告,不易招来用户的反感。
除了从验证码入手以外,抢票软件猎豹工程师李铁军认为,今年12306会用多种方法来限制“黄牛”刷票。
比如,以往可以开多个浏览器同时抢票,今年可能不允许这种情况出现。
以往可以利用泄露的个人信息注册多个帐号,而今年限制一个帐号最多添加15个联系人并且半年内不允许删除。
其实,网站除了采取措施打击恶意刷票、设置限制以外,还应该从根源上解决问题。用户购票难,无非是由于以下几个原因:
一是票源有限。
这是由于相关部门对运输路线的规划所决定的,并非网站可以控制。
二是“黄牛”囤积居奇,高价转手。
实名制从一定程度上遏制了这种现象,但并没有达到预期的效果。近期12306又推行了手机号校验法,效果还有待检验。
三是网站服务器较落后。
这也是12306推出验证码限制购票率的重要因素之一。但这只是权宜之计,治标不治本。从根本上说,网站应该提升自身的服务效率,优化购票系统,使其尽可能承受更大的访问量,方为当务之急。
随着技术的发展,购票渠道也越来越多。比起以前春运购票时抱着铺盖卷排队,12306确实为广大用户提供了便利。但是由于购票市场的特殊性,供需矛盾仍然明显。
尽管如此,遏制黄牛也绝不是12306的第一要务。从古到今,只要市场供不应求,就必然出现投机倒把的“黄牛”。
这种现象绝非一个验证码就可以控制得了。非但控制不了,反而会让“黄牛”研究出更加先进的技术来刷票,就像病菌拥有了强大的抗药性一样。
虽然12306增加验证码难度的初衷是好的,但到头来,真正受苦的还是用户。所以,12306的首要任务是发展运力,优化网站,让广大用户的购票渠道更加顺畅。