讓程序員互相傷害的“驗(yàn)證碼”是什么？

俗話說(shuō)得好，“常在網(wǎng)上走，哪有不驗(yàn)證”。我們愛(ài)也好恨也罷，每天誰(shuí)不抓耳撓腮輸入幾個(gè)驗(yàn)證碼呢？

然而驗(yàn)證碼說(shuō)到底是一種 被動(dòng)防御的對(duì)策，今天我們快速梳理梳理驗(yàn)證碼從無(wú)到有的發(fā)展歷程，并且介紹一種思路非常前沿的黑科技， 改被動(dòng)為主動(dòng)、 如絲般順滑的：不驗(yàn)證的驗(yàn)證碼——無(wú)感驗(yàn)證。

一、 為什么要驗(yàn)證

驗(yàn)證碼是為了反垃圾。早在90年代，雅虎郵箱就頻頻遭到機(jī)器產(chǎn)生的大量垃圾郵件騷擾，那時(shí)鑒別人/機(jī)的需求就已出現(xiàn)。路易斯·馮·安(Luis von Ahn)帶領(lǐng)團(tuán)隊(duì)設(shè)計(jì)了一款被稱為CAPTCHA的小工具，其背后的思路就是，人類可以輕松識(shí)別，但是機(jī)器識(shí)別困難，從而可以區(qū)分人類和機(jī)器。

二、 如何驗(yàn)證

那么，人類和機(jī)器到底有什么區(qū)別呢？

所謂CAPTCHA，就是Completely Automated Public Turing Test To Tell Computers and Humans Apart，即“全自動(dòng)區(qū)分計(jì)算機(jī)和人類的公開(kāi)圖靈測(cè)試”（...說(shuō)人話?。?yàn)證碼。圖靈測(cè)試在這里成為識(shí)別的關(guān)鍵，而簡(jiǎn)單問(wèn)答則是最常用的手段。

圖零測(cè)試通常是基于對(duì)人類知識(shí)的驗(yàn)證（Knowledge-based authentication, KBA），這里的知識(shí)主要指對(duì)圖形的識(shí)別和一些簡(jiǎn)單的分析。

三、 攻防愛(ài)恨情仇

然而隨著機(jī)器識(shí)別能力和對(duì)人類知識(shí)學(xué)習(xí)的不斷深入，破解普通驗(yàn)證碼的成功率越來(lái)越高，對(duì)于跳出“知識(shí)”識(shí)別思維定式的需求越來(lái)越明顯。

如果一味追求“知識(shí)層面上的難度挑戰(zhàn)”，為了應(yīng)付越來(lái)越聰明的機(jī)器，驗(yàn)證碼的難度也不斷升高，對(duì)于人類用戶來(lái)說(shuō)打擾感也愈加強(qiáng)烈，甚至不乏這種讓人完全摸不著頭腦的“驗(yàn)證碼”：

所以已經(jīng)完全有必要開(kāi)拓新思路，從其他的角度來(lái)辨別人類獨(dú)有的而機(jī)器難以模仿的特征，那就是行為。

谷歌在幾年前推出了一款跳出“知識(shí)”窠臼的“我不是機(jī)器人”驗(yàn)證，整個(gè)驗(yàn)證過(guò)程只需要用戶在頁(yè)面上“我不是機(jī)器人”前的一個(gè)復(fù)選框打鉤即可，其背后的原理就是谷歌通過(guò)收集分析大量真實(shí)用戶的鼠標(biāo)行為，來(lái)判斷到底是人類操作還是機(jī)器操作。

同樣利用機(jī)器難以模仿的人類行為特征，滑塊驗(yàn)證碼近來(lái)引起了廣泛關(guān)注，因?yàn)檫@種驗(yàn)證過(guò)程同樣不需要用戶做過(guò)多思考（調(diào)用知識(shí)），而且適應(yīng)了移動(dòng)端沒(méi)有鼠標(biāo)軌跡的客觀條件，通過(guò)分析用戶手指滑動(dòng)速度、對(duì)齊位置等生物特征來(lái)判斷操作者是人還是模擬人類的機(jī)器。

四、 終極驗(yàn)證：無(wú)感驗(yàn)證

然而，驗(yàn)證來(lái)驗(yàn)證去，無(wú)論再怎么輕松簡(jiǎn)單，還是會(huì)對(duì)用戶整個(gè)使用流程造成一定的打擾。就沒(méi)有什么辦法能夠......不驗(yàn)證嗎？！

其實(shí)答案是肯定的，現(xiàn)在已經(jīng)有一些風(fēng)控平臺(tái)推出了無(wú)需驗(yàn)證即可判別使用者身份的驗(yàn)證體系，其原理其實(shí)也非常簡(jiǎn)單。風(fēng)控引擎在用戶嘗試登陸或者做其他傳統(tǒng)需要驗(yàn)證的操作行為前，就會(huì)對(duì)操作環(huán)境進(jìn)行掃描，并對(duì)一些關(guān)鍵參數(shù)做分析，包括常用IP、地理位置、使用習(xí)慣、惡意特征、設(shè)備指紋等?；诖罅磕Ｐ秃蛿?shù)據(jù)的分析，風(fēng)控引擎便可以對(duì)用戶身份做出一個(gè)預(yù)先的判斷。如果風(fēng)控引擎認(rèn)為使用者是“好人”，便直接放行；如果判定為“機(jī)器”，則不予放行；如果存疑，便祭出驗(yàn)證碼，您且滑一滑吧。

基于行為的驗(yàn)證過(guò)程配合風(fēng)控決策，有明顯的幾個(gè)優(yōu)勢(shì)：

1、 阻斷機(jī)器垃圾

這也是驗(yàn)證碼本身最本源的訴求了，識(shí)別出正常人類用戶后直接放行，而機(jī)器卻不能發(fā)布垃圾信息。

2、用戶體驗(yàn)好——無(wú)思考驗(yàn)證

確需驗(yàn)證的情況下（比如首次使用），與傳統(tǒng)圖片驗(yàn)證或語(yǔ)音認(rèn)證等方式不同，用戶在進(jìn)行滑塊驗(yàn)證之時(shí)無(wú)需進(jìn)行計(jì)算或思考，短時(shí)間內(nèi)即可順滑進(jìn)入下一步操作，用戶體驗(yàn)大幅提高。

3、智能風(fēng)險(xiǎn)阻斷

傳統(tǒng)驗(yàn)證過(guò)程無(wú)法完全對(duì)抗模仿能力日益強(qiáng)勁的機(jī)器，但是滑塊驗(yàn)證與風(fēng)控決策緊密關(guān)聯(lián)，機(jī)器反復(fù)嘗試也無(wú)法通過(guò)驗(yàn)證，可以阻斷機(jī)器操作從而攔截非正常用戶，不僅垃圾信息，其他的多種機(jī)器有害行為都會(huì)被攔截，包括爬取、盜用等。

頂象無(wú)感驗(yàn)證可以阻抗多種刷訂單、薅羊毛等惡意動(dòng)作，了解功能詳情、具體應(yīng)用場(chǎng)景請(qǐng)前往 頂象智能無(wú)感驗(yàn)證>>

擴(kuò)展閱讀：

接入頂象技術(shù)小程序驗(yàn)證碼全過(guò)程