越来越离谱的验证码到底在验证啥「越来越离谱的验证码到底在验证啥」

如今，小到注册登录，大到确认信息，验证码无一不存在。自验证码出现以来，它的花样越来越多，衍变出多种模样，甚至令你抓狂。验证码有没有存在的必要？为什么还存在？本文一一解析，一起来看看吧。

“我是谁？我在哪？我要到哪里去？”

迫使你思考哲学问题的，有时可能不是苏格拉底，而是不断翻新花样的验证码。

不知从什么时候开始，上网冲浪变成了视力与智力的双重挑战。

验证码，就是你要面对的第一关卡。

让扭曲翻转的数字众神归位，将一盘散沙的成语按顺序点击，在乱花渐欲迷人眼的图片里精准选出正确的几张……

选出正确的棕榈树

明明是上网解压，结果却让验证码逼得压力更大。

更要命的是，验证码的形式越来越花里胡哨，想顺利登陆网站却没它不行——

上网冲个浪，为啥需要这么麻烦？

验证码的初衷其实很简单，就是用来区分计算机程序和真正的人。

计算机程序无法识别被扭曲的数字，就不能通过验证，进而对网站进行恶意攻击和污染。

一切噩梦的开始

据统计，全球网民每天要输入2亿次验证码，耗时超过50万个小时。

随着生活中验证码的无孔不入，这届网民也逐渐失去了耐心。

登录网站、个人社交平台、手机转账需要验证码情有可原，毕竟涉及个人财产和信息安全；

如今，下载一张图片、看一篇文章、甚至转发一条微博，都需要验证码。

点赞也需要验证码

如果只是看到验证码的窗口弹出就开始火冒三丈，那你气早了。

验证码考验大家的离谱形式，才是真正让人“原地去世”的电子砒霜。

最基础的英文数字组合验证码，就已经会让人陷入自我怀疑：

“I还是1？0还是O？2还是Z？9还是q？vv还是w？”

你这个验证码怎么还会骂人呢？

找出图中汽车和斑马线的验证码，更是会让人陷入强迫症的焦虑：

“只露个车屁股算不算包含车？角落里的玩具汽车要不要选？”

如今，带干扰线的数字、找出红绿灯、公交车或烟囱已经过时，新一轮考验正式开始——

“请点击每张包含微笑的狗的图片。”

于是，在思考”狗真的会笑吗“之前，人们就已经条件反射地研究起了狗狗的笑容。

事实上，大多数狗看起来既不高兴也不难过，只是张着嘴的算不算笑？还是说它们吐舌头才算笑？

这个问题的答案，只有成功通过的人才能知道。

而作为老互联网居民，也没人能忘记曾被12306网站验证码支配的恐惧。

2015年，如果想顺利买到火车票，抢票页面的“余票充足”并不能代表能买到，只有在付款前的验证码环节顺利通关，才算成功一半。

有奇怪的东西混进去了

要么是在一群明星的照片中找出影帝影后，要么是在一堆山寨商品中找出真货，更过分的是在一打方言中选出”海南话“……

彼时，被卡在验证码环节抢不到票的倒霉蛋不计其数。

“验证码，不想让我买到火车票你就直说。”

甚至让人陷入自我质疑

都说验证码能把机器人拦住，但事实却是大活人上网被绊了一跤。

更悲剧的是，大部分时候验证码的难易程度，总是和你的着急程度呈正相关。

“有急事时的验证码总是让人想摔手机，你越急，它就越不容易成功。”

无数被烦人验证码挡在网页外的网民，心里都有一声愤怒的呐喊：验证码，人类一生之敌。

“人类发明验证码是为了反机器，现在的网站却用它来反人类。”

如今，被验证码气疯成了人们的日常，但事实上，当初发明验证码的初衷并不是想为难人类，而是想为难机器人。

请证明你是人类

时间回到2000年初，刚刚接触互联网的初代网民，也许还记得那时最头疼的事——

总是删不完的垃圾邮件，随意弹出的攻击页面，和永远快人一步、利用插件抢票的黄牛。

刚刚兴起的互联网，无异于一条自行车都能上的高速公路，有人办正事，就有人制造代码程序故意捣乱。

当封号的速度赶不上恶意注册的速度，人工审核追不上重复运行的代码时，给上网冲浪设置门槛便迫在眉睫。

2003年，为解决这个问题，来自卡内基梅隆大学的一群博士创造了CAPTCHA，是一个全自动区分计算机和人类的公开图灵测试。

所谓图灵测试，就是人类提问计算机解答，用来判定计算机能否在智力行为上表现得和人无法区分。

想要分辨电脑前是否为真人，只需要把这个测试反过来——由机器提问人类解答，“验证码”应运而生。

最早的验证码，于1997年设计公布并申请了专利

早期的验证码，由被变形、扭曲、翻转的字符串或者数字组成。

机器人看不懂，人类用肉眼却可以轻松辨认。

有了这道简单的门槛，垃圾邮件、黄牛插件和恶意攻击的爬虫程序，就被轻松挡在了网页外。

然而好景不长，这样的验证码很快就被程序破解了。

再复杂的程序也离不开26个英文字母、10个阿拉伯数字的组合，只要利用程序算法将字符与背景分离，久而久之，资料库便学会了识别。

与此同时，一套由庞大中文字符库组成的中文验证码，就这样出现了。

辨认相似结构的汉字、给汉字标拼音，以及按顺序点击打乱的成语，成了中文验证码的常规操作。

发展到最后，图文并用、阅读理解纷纷上阵，验证码的形式越来越多样，计算机的识别技术也越来越强。

升级版数字验证码

验证码的迭代，变成了一场“道高一尺，魔高一丈”的较量。

它既是程序员们智力的角逐，也是一场人机对抗学习。

时至今日，形式各样的验证码已经在互联网的考验洗礼中，按照功能分成了不同阵营。

当你想上个新闻网站，迎接你的大概率是点击型验证码。

算法会根据鼠标的运营轨迹判断你是否是真人，同时还能帮助验证码系统进化。

“我不是机器人”

当你登录私人账号时，滑动型验证码一边通过拖动速度判别真人，一边还会送上贴心鼓励：

“恭喜你用时1.6秒，超过全国90%的人。”

面对越来越变态的验证码，不少人质疑：

“为了保护我银行卡里的五毛钱，设置八层验证真的值得吗？”

答案是，值得。

所谓安全验证，判断的不仅仅是用户注册时设置的用户名、密码等，还要判断是不是真人、是不是本人操作。

目前为止，乖乖输入验证码，依然是区别人和计算机最有效率的方法。

鲜有人知的是，验证码的存在除了保护信息安全，人类还能利用它干点正事儿。

发明初代验证码的天才Luis von Ahn，曾在2004年带领团队上线了一个叫reCAPTCHA的验证码系统。

他们把计算机难以识别的旧书籍扫描成电子版，将其中斑驳的文字对接到验证码上让人们来识别。

靠着这个巧妙的方法，系统每年能成功数字化230多万本旧书。

图源：世界复杂性科学研究院

当人们以为这便是验证码的光明结局时，有人本着魔法打败魔法的原则，推出了破解验证码的插件。

只要遇到图形验证型验证码，小插件不仅会自动帮用户点击，甚至还会利用深度学习训练模型提高自己的精准度——

用的人越多，小插件就越精准。

你不仁就不要怪我不义/图源：chrome应用商店

围观了这一波腥风血雨的“验证码之战”后，有人感叹：

“验证码拿用户训练机器人，用户用机器人绕过验证码，最后机器人学到了最多。”

验证码难度的提升，反映的是人工智能技术的进步。

当机器越来越“聪明”，人类面临的挑战便越来越多，再复杂的验证码，也会有走投无路的一天，需要寻求新的改革。

但作为只想要网上轻松冲浪的用户，我们只求验证码，别再让我找出图片中微笑的狗、云做的马了。

作者：白小哲；公众号：网易公开课（ID：open163）

原文标题：越来越变态的验证码，到底在验证啥

上网冲浪时总会遇到越来越“过分”的验证码，到底在验证什么？

现在电子产品越来越丰富，想必很多人都是遇到过这样的事情的，因为手机是我们每天都会用的一个东西，然后我们不管是在浏览网页或者是看一些东西的时候就会发现，一天到晚要验证。有的时候是验证码，有的时候是一个图片的验证方式，真的非常的麻烦。其实我们有一些人很不能够理解，我们看东西看的好好的，为什么无缘无故就要我们去验证呢？我们验证的这些东西到底是在干什么呢？难道是在透露我们的信息吗？不然的话，干嘛一定要这样做？

本来我们上午就是为了消磨时间，为了能够让我们的日子过得快一点，但是这样验证过来，验证过去真的会很消耗大家的感觉。再加上现在那些验证码的形式真的是花里胡哨的，你明明就是想要登陆一个网站而已，但是他偏偏就要你这样做，麻烦的要死。可是你要是不听他的，你根本就进不去，也什么都不能够干。有的时候我们要转账或者是做一些跟资金有关系的事情，你要我们验证一下，我们倒也无所谓，因为这样毕竟是在验证安全，怕万一出现问题。

但有的时候我们就是正常的登录一个网站而已，或者是下载一个图片，甚至是看一篇文章也要我们验证，这是不是太麻烦了一点呢？其实一开始设置验证码就是为了区分真人和机器的一个区别，因为当时有很多的人会故意去恶意注册，这样的话就比较麻烦。如果说有验证码的话，就能够区分到底是真人还是机器，就不会出现那种恶意注册的情况，但是现在好像就变味了，好像就是为了阻挡真人一样。这样的时间长了之后，大家真的没有办法能够接受，而且也不愿意再去上网了。

网络上到处都是验证码，这些验证码有什么实际的作用吗？

验证码的实际用处就是用来验证用户的身份，以免出现盗用。可以提高账号的安全性，主要是保护用户账号的安全。验证码一般是防止有人利用机器人自动批量注册、对特定的注册用户用特定程序暴力破解方式进行不断的登陆、灌水。因为验证码是一个混合了数字或符号的图片，人眼看起来都费劲，机器识别起来就更困难。像百度贴吧未登录发贴要输入验证码大概是防止大规模匿名回帖的发生。

因为你的WEB站有时会碰到客户机恶意攻击,其中一种很常见的攻击手段就是 身份欺骗_它通过 ，在客户端脚本写入一些代码,然后利用其,客户机在网站,论坛反复登陆,或者攻击者创建一个HTML窗体,其窗体如果包含了你注册窗体或发帖窗体等相同的字段,然后利用"http-post"传输数据到服务器,服务器会 ，执行相应的创建帐户,提交垃圾数据等操作,如果服务器本身不能有效验证并拒绝此非法操作,它会很严重耗费 ，其系统资源,降低网站性能甚至使程序崩溃。
而现在流行的判断访问WEB程序是合法用户还是恶意操作的方式,就是采用 一种叫 "字符校验"的技术。 WEB网站像现在的动网论坛,他采用达到方法是为客户提供一个包含随即字符串的图片，用户必须读取 ，这些字符串,然后随 登陆窗体或者发帖窗体等用户创建的窗体一起提交。
因为人的话,可以很容易读出图片中的数字,但如果是一段客户端攻击代码,通过一般手段是很难识别验证码的 ，这样可以确保当前访问是来自一个人而非机器。 验证码：就是将一串随机产生的数字或符号，生成一幅图片， 图片里加上一些干扰象素（防止OCR），由用户肉眼识别其中的验证码信息，输入表单提交网站验证，验证成功后才能使用某项功能。