還在為「驗證碼」煩人嗎？同學真的懂它嗎？

說起驗證碼，許多網友憋了一肚子火，有時輸入半天都不對，極大的影響了登錄體驗。

不過這也不能怪設置驗證碼的軟體，畢竟也是為了你的安全著想。未來，安全策略更加周全、新型技術解決登錄身份驗證等問題，可以預想，終有一天驗證碼會退出互聯網的歷史舞台。

日前，騰訊TEG安全平台部就驗證碼問題，結合騰訊的發展歷史進行了來龍去脈的梳理，一起來了解下：

騰訊出現驗證碼，得從13年前那股瘋狂的「掛太陽」熱潮說起。

如果是QQ老用戶，你一定記得那些年我們掛過的星星、月亮和太陽。伴隨著這股熱潮，網路上開始出現一種特殊服務——代掛QQ，也就是代掛團伙為有需要的用戶長時間登錄QQ以提升等級，這就需要用戶把帳號密碼給到他們。

當年的掛機軟體

這個時候，壞人出現了。他們手裡掌握的密碼資源嘩啦啦多了起來，並開始盜賣變現，還變本加厲，不斷用機器高頻的暴力破解，一個一個去試可能的密碼。

於是，正如大家所見，QQ登錄場景中的驗證碼應運而生，並有效打斷了壞人自動機暴破的瘋狂節奏。

從那時起，騰訊驗證碼正式登上歷史舞台。在2008年之前，凡是在網頁上登錄QQ都得輸入驗證碼。當時的策略是「一視同仁」，給所有用戶下發驗證碼。

經過一段時間的摸索，團隊開始意識到一個問題：驗證碼的初衷，是為了攔住「壞人」，而不是攔住「所有人」。因此，騰訊開始嘗試對那些明顯是正常用戶的行為免去下發驗證碼。

也就是通過安全大數據的能力，自動區分機器與正常用戶，向機器下發驗證碼攔截，對好人則免驗證碼直接登錄，以此提升用戶體驗。

在騰訊，這項平衡安全和體驗的策略工作稱之為「免驗」。在下發「免驗」策略初期，只能免掉10%的驗證碼。

對可疑行為下發驗證碼

隨著數據積累和能力的提升，免驗比例也在不斷提高，力求免去正常用戶辨別驗證碼的苦惱。直到現在，免驗策略還在持續優化。

電商、團購、互聯網金融崛起，黑產從業者的可圖之利增多，驗證碼的戰場正式進入了一段破解與抗破解的持久博弈。

早期的密碼暴力破解軟體

業界普遍把驗證碼設計得越來越複雜。長久下來，就形成了機器人和用戶都看不懂的尷尬局面。

顯然，這條路是走不通的。

在長期的試錯和鬥爭中，騰訊的研究人員發現壞人在破解驗證碼時存在一大死穴——時間。

從一套新的驗證碼出現，到壞人成功破解，再集成到自動化軟體流入黑市，整個過程需要一個周期。那麼，如果我們更新驗證碼的速度快於坏人的工作周期，問題不就迎刃而解了？

基於這種對抗理念，在2011年7月，「魔術師」驗證碼誕生了。如同魔術師快得讓人看不清的手法，魔術師驗證碼採用了高頻的切換策略，不停的更換字體，使對抗形成了「敵方未破我先變」的局面。

原有驗證碼 vs 魔術師驗證碼

果然，敵人自動機大軍的步伐被成功遏制，鎩羽而歸。

字型檔都用枯竭了，還有啥辦法？

但為了巨大的潛在利潤，敵人永遠不會消停。由於魔術師的字體庫已經跑了一年，再加上圖像識別技術的發展，壞人幾乎遍歷研究。

以前，只要驗證碼的字體一切換，破解率立馬就會刷刷地往下掉。而後來，破解率僅小掉一下馬上又反彈了。

換字體策略失效！該怎麼辦？研究人員發現，任何一種自動機，對驗證碼的識別率都不可能達到100%，有驗證成功的圖片，肯定也有驗證失敗的圖片。

做個假設，某種自動機的破解率是10%，也就是指在100張圖片里，有90張無法識別。那麼我們把這90張圖片收集起來，每次都給它下發這些圖片，10%的破解率會瞬間掉到0%。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！