关于验证码:CAPTCHA之去与留

以下文章来源于《To CAPTCHA or not to CAPTCHA?》 ，作者是 Gartner高级剖析总监Akif Khan，他长期专一于数字欺诈检测和身份验证畛域，对captcha 十分有钻研。近日，他在Gartner网站上撰文发表了对 CAPTCHA之去与留的认识，前半段回顾了CAPTCHA的历史倒退，其中极验 GeeTest 就作为创建于中国并胜利在海内市场构建品牌影响力的CAPTCHA服务商成为第五阶段最典型代表。后半段从正反两方面的视角，十分精彩的分享了对这个问题的认识。

我常和客户探讨数字欺诈检测和身份验证畛域各种乏味的话题，其一便是机器流量检测和缓解。每当谈及于此，咱们总会围绕CAPTCHA （Completely Automated Public Turing test to tell Computers and Humans Apart）进行一番热切探讨。我留神到他们对CAPTCHA的态度区别相当显著，一派反对应用，另一派则坚定拥护。拥护的一方不仅打心眼里冲突应用CAPTCHA，还旗帜鲜明地坚定拥护它。

因为我自己对CAPTCHA十分感兴趣，先茬个话题简要介绍一点CAPTCHA的倒退历程（如果你对追根溯源没有太大趣味，也能够跳过这一节）。

一、CAPTCHA的倒退历程

第一阶段二十世纪九十年代，CAPTCHA首次投用。彼时的搜索引擎Alta Vista饱受垃圾邮件困扰，为缓解该问题而引入了字符验证码这个概念。

第二阶段reCAPTCHA的诞生，reCAPTCHA的验证界面设计为一对词组，起初用于辅助训练人工智能技术，具体来说就是训练古籍的扫描和复原零碎。扫描过程中，零碎可能辨认了第一个单词，却无奈识别第二个单词。一旦一部分用户在验证时正确输出了第二个单词，就相当于帮图书扫描零碎解决了无奈识别的问题。谷歌起初收买了reCAPTCHA。

第三阶段reCAPTCHA 2.0问世，该版本减少了勾选验证的模式。谷歌验证码从一开始只检测用户行为，到依据用户危险等级判断是否二次检测，再倒退到现在的饱受诟病的图片抉择的验证模式。这也是谷歌利用CAPTCHA训练机器视觉技术的又一案例，简略来说是基于对交通场景下物体的辨认训练机器视觉技术，广泛猜想将利用于无人驾驶汽车我的项目。同时，学术界对机器视觉的关注及其商业化的倒退为不法分子提供了可趁之机，通过利用学术研究成绩和商业利用案例，他们进行零碎开发反过来破解机器视觉技术。实际上谷歌云自身就在发售机器学习零碎，这样一来状况就变成了谷歌一部分业务在制作CAPTCHA，另一部分业务却正在瓦解它。

第四阶段谷歌推出reCAPTCHA 3.0，仍然是勾选验证模式，采取的用户行为剖析工具看来与其余支流机器流量检测供应商没有不同。

第五阶段谷歌不再是惟一玩家，随着许多供应商在自家产品上投入的激增，CAPTCHA一直演变进化。有的商家声称他们有十分高的人类验证通过率和极低的机器流量通过率；有的商家则专一于机器视觉验证技术，不仅人类能轻松通过，而且它不同于谷歌的机器视觉技术，暂无商业化利用，因而不法分子无奈利用学术界的钻研、商业化案例、以及开源钻研来制作破解这类CAPTCHA的工具。

二、反对和拥护案例

回到开始探讨的，为什么局部企业违心应用CAPTCHA？逻辑很简略，如果机器流量检测零碎认定某用户是机器流量，就能够阻挡这个有潜在威逼的用户。然而机器流量检测零碎并不完满，如果用户不是机器流量呢？它就阻挡了一个失常人类用户的拜访。所以说CAPTCHA代表着一个机会，或一种冀望，如果该用户的确是实在人类用户，他/她是能够通过CAPTCHA以自证并持续失常拜访。

为什么有些企业拥护应用CAPTCHA？因为实在人类用户的验证码解答率可能会非常低，从而导致这些用户无奈通过，对于那局部通过验证的用户，这个过程也可能是一次蹩脚的用户体验，然而不法分子的验证码破解率有时却奇高。当然这种差异十分轻微，因为有时是机器进行CAPTCHA破解，也有些状况是不法分子雇佣人类来破解验证码，这背地有一个蓬勃发展的人工打码产业——在经济不发达地区，黑产以微薄的工资雇佣一批人专门破解验证码，每人每天能够破解上千个。

三、到底是否应该应用CAPTCHA？

我的答案是必定的，只是防止用谷歌那种“请选出所有带交通信号灯的图片” 的CAPTCHA。目前市面上有泛滥更先进的CAPTCHA供应商可供选择，如Arkose Labs、GeeTest 、PerimeterX，各家领有独特的形式和一些细小差别，但都比可怕的交通九宫格好用。数字商务业务广泛对升高假阳性有很高要求，因而须要给用户机会自证身份，而不是一刀切地挡住，这是一个十分值得摸索的方向。现在不法分子大量雇佣打码工人以壮大机器流量，当打码工人通过验证速度过快时（代表他们日复一日地在破解这些验证），你还是须要足够智能的CAPTCHA监测这种异样。当监测到异样，CAPTCHA应主动为其减少难度，以遏制和进步打码行为的经济老本。应用CAPTCHA是在可控范畴内减少用户交互，以获取更多用户和其人类特色等级的监测数据。

防止应用CPATCHA作为所有会话的默认进攻，还是须要依附机器流量检测产品来发现和阻挡大部分机器流量，再在难以界定人类行为的灰色地带部署CAPTCHA。我置信这种灰色地带的占比不会多于5%。

进行AB测试，先将须要监测的流量分区，在其中一处应用CAPTCHA，再比照后果，依据实在数据和指标决定是否应用，不要因为对那些掉队的验证形式（比方交通九宫格）有偏见而放弃CAPTCHA。

我对各种CAPTCHA产品的应用体验都很感兴趣，欢送读者们分享你们的经验。

最初说一个乏味的题外话，Amazon于2017年尝试申请一项专利，一种新型CAPTCHA产品，它对于机器来说很容易破解，然而对人类展现十分难解答的视觉验证。不出所料，这个过程被叫停了，由此可见人类易出错的特质可能才是将来反抗机器的关键点。

翻译：洪云霜
校对：海内市场经营小分队
原文链接：https://blogs.gartner.com/aki...