近日，同濟大學的學生們紛紛跑到網(wǎng)絡上投稿，內(nèi)容是同樣的一張圖——“學校的驗證碼竟然勸我轉(zhuǎn)學”。

如今隨時隨地都需要登錄、在線、授權的移動互聯(lián)網(wǎng)時代，用戶幾乎每天都要輸入幾次驗證碼。驗證碼，逐漸成了移動應用的標配?！翱燹D(zhuǎn)學”字樣的驗證碼雖然只是隨機出現(xiàn)，卻讓人聯(lián)想到那些奇葩惱人的驗證碼，似乎與“證明你媽是你媽”一樣無厘頭，但并不是所有人都清楚，我們?yōu)槭裁匆爆嵉剌斎胍淮當?shù)字或字母，以及花時間辨別看上去很幼稚的圖形。

1.機器流量泛濫，圖形驗證碼誕生

驗證碼其終極目的，就是區(qū)分正常人和機器的操作，保障企業(yè)與用戶的網(wǎng)絡安全。在20世紀初時，黑客們通過具備JS解析能力的python、Node.js等基礎工具編寫自動化攻擊腳本，例如發(fā)送垃圾電子郵件是最簡單的網(wǎng)絡犯罪之一，攻擊者使用自動化軟件生成電子郵件地址并發(fā)送低級別的騙局，例如釣魚木馬，偽造的禮品券等，至少已有數(shù)百萬的受害者。

最先想要解決這一問題的是雅虎，作為互聯(lián)網(wǎng)時代早期最重要的免費郵件提供商，他們一方面要解決用戶們每天遇到的數(shù)以百計的垃圾郵件轟炸，另一方面，雅虎提供的免費郵箱，恰恰又是垃圾郵件的最愛，耗費無數(shù)資源所阻止的垃圾郵件，都來自于自己的服務器。這讓雅虎開始認真考慮如何解決惡意機器流量問題。他們找到一位當時剛剛21歲的天才——Luis von Ahn。而Luis Von Ahn給出的方案就是圖形驗證碼。當時，計算機圖像識別技術還未成熟，對于經(jīng)過扭曲、粘連等文字，無法辨識。而人類卻可以輕松認出這些文字。

圖形驗證碼被驗證有效后，得到了迅速推廣，各大平臺紛紛上線圖形驗證碼。企業(yè)在用戶注冊、登錄、發(fā)帖、領優(yōu)惠券、投票等等應用場景，使用圖形驗證碼有效防范灌水內(nèi)容、垃圾注冊、惡意登錄、刷票、撞庫、活動作弊、垃圾廣告、爬蟲、羊毛黨等一系列惡劣行為，維護自身產(chǎn)品服務，保障用戶安全體驗。

2.黑產(chǎn)攻擊，圖形驗證碼艱難抵抗

但是很快，隨著光學字符識別技術（OCR）的不斷進步，以及模仿人類神經(jīng)網(wǎng)絡的深度學習技術的出現(xiàn)，圖形驗證碼很容易被攻破，安全性正在不斷下降。同時，主流瀏覽器的開放性使得黑產(chǎn)通過腳本驅(qū)動類的工具進行自動化攻擊。例如專門提供手機號碼的料商、接碼平臺、打碼平臺、設備資源提供商及管理平臺（群控、云控、箱控等）、秒撥IP等資源。

• 提供手機號碼的料商，通過不同渠道收集手機卡并完成實名制，通過“貓池”設備批量使用手機卡，這種設備手機卡即可連上通信網(wǎng)絡，收發(fā)短信，且全程自動化，在各類秒殺活動中，速度遠快于正常用戶。
• 提供黑產(chǎn)工具的技術團伙，針對不同行業(yè)不同平臺可定制化改機工具、注冊機、一鍵秒殺、多開、位置欺詐等多種黑產(chǎn)工具。
• 提供設備及管理平臺服務商，例如云控系統(tǒng)，使用一臺電腦控制N臺云手機，提供一鍵控制、同步操作、批量管理上千臺手機，節(jié)約成本的同時提升攻擊效率。
• 提供IP資源，一方面秒撥IP的成本更低，另一方面，IP池極為豐富，使用也較為方便，可以跟隨進程自動切換IP。

黑產(chǎn)技術的一系列攻擊，使得企業(yè)深受其害，圖形驗證碼不得不發(fā)生改變，抵抗新式的技術攻擊。于是出現(xiàn)了各種扭曲，變形，旋轉(zhuǎn)，粘連等難以識別，甚至更多奇葩驗證形式的驗證碼。

雖然這些做法在一定程度上抵御了黑產(chǎn)的攻擊，但嚴重損害了用戶的體驗感受，不僅用戶通過率不高，還造成網(wǎng)站/APP注冊用戶的流失。據(jù)相關資料統(tǒng)計，因各類奇葩圖形驗證碼導致企業(yè)用戶流失率高達21.8%。這與當初設計驗證碼的初衷南轅北轍，相去甚遠。由此以往，在與黑產(chǎn)技術斗爭的過程中，圖形驗證碼的便捷性和安全性似乎變成了魚與熊掌的關系。

3.驗證碼升級，行為式驗證碼上線

在此基礎上，行為式驗證碼應運而生了。它的誕生將驗證碼推向變革，更好的用戶體驗和安全性使其成為應用最為廣泛的驗證方式之一。

行為式驗證碼是通過用戶的操作行為來完成驗證，而無需去讀懂扭曲的圖片文字。核心思想是利用用戶的“行為特征”來做驗證安全判別。整個驗證框架采用高效的“行為沙盒”主動框架, 這個框架會引導用戶在“行為沙盒”內(nèi)產(chǎn)生特定的行為數(shù)據(jù)，利用“多重復合行為判別”算法從特指、視覺、思考等多重行為信息中辨識出生物個體的特征， 從而準確快速的提供驗證結果。

并且相對于以往識別字符并輸入，行為式驗證碼更為簡單，且?guī)в行∮螒蛐再|(zhì)，增強用戶體驗感，行為式驗證碼成為趨勢更在于它的安全性，驗證碼背景圖片添加了很多隨機效果，能有效防止OCR文字識別。

云片行為式驗證服務對外提供4種類型的驗證方式：文字點選驗證，圖標點選驗證，滑動拼圖驗證，無感驗證；極大優(yōu)化了傳統(tǒng)驗證碼用戶體驗不佳的問題，用戶不需要鍵盤手動輸入，只需要產(chǎn)生指定的行為軌跡；提高機器破解難度、降低人眼識別難度。目前該業(yè)務已覆蓋全國數(shù)萬家企業(yè)，并在電商、餐飲、教育、社交等?業(yè)擁有大量頭部客戶。

沒有一種驗證碼可以通吃所有場景，也沒有絕對安全無法破解的驗證碼，只有在業(yè)務和安全不斷權衡的前提下，找到一個屬于體驗和安全平衡的點，這才是驗證碼正確的打開方式。在和各種黑產(chǎn)團隊不停斗爭的過程中，驗證碼服務只有不停地改變，創(chuàng)新，才可以適應當前復雜的黑產(chǎn)現(xiàn)狀以及業(yè)務多變的場景。

未來，云片將繼續(xù)保持對行為式驗證碼的迭代升級，用極致創(chuàng)新的服務幫助企業(yè)與用戶之間更好地溝通與聯(lián)系。

★福利大放送★

云片正在進行 “云片行為驗證，超級福利大放送”優(yōu)惠活動，活動期間，開通行為驗證自動續(xù)費，新用戶可免費試用15天，支持隨時取消！更有多版本選擇，享更多優(yōu)惠福利，不容錯過！了解活動詳細內(nèi)容，可在后臺聯(lián)系在線客服，趕緊參與報名吧～