汉中第一网

搜索
更多
猜你喜欢
查看: 828|回复: 2

[雷人] 买火车票先玩"连连看" 验证码为史上最难级别

[复制链接]
a
0 0
  @ME: 
发表于 2015-3-18 09:28:42 | 显示全部楼层 |阅读模式
       昨天,铁路购票网站12306官网升级验证码,推出了防止“抢票软件”的图片验证。相比传统的字母和数字验证,这种通过文字描述寻找对应图片的不定项选择题,立刻引发了外界关注。据了解,确有不少抢票软件由于无法升级登录12306网站,宣告失效。

  点选验证码如同逛超市

  从昨日中午开始,12306官网的验证码在没有公告的情况下,更新到了史上最难级别。

  相比以往,购买火车票的用户在填写用户名和密码后,需要根据文字提问,识别并选择相应的图片才有买票资格。本报记者实测,在验证码“点击开始验证”后就出现了验证问题,例如,“请点击下图中的所有擀面杖”,用户就需要在8个照片中找到所有的图片。

12306验证码

12306验证码

  据众多网友实测,找图片验证的内容包括“擀面杖”、“贝壳”、“篮球”、“韭菜”、“贺卡”、“玻璃瓶”、“馒头”、“爬山虎”、“牙签”等。有网友表示,这就跟逛超市一样。而更多网友则表示,如此有趣奇葩的验证码,就像在玩“连连看”、“找你妹”等游戏。

  多数抢票软件对昨日更新的图片验证码尚未做出应对,包括360、网易、订票助手等。

  记者登入常用的“高铁管家”手机APP发现,在用户登录12306界面,虽然也有8张图片显示,但由于字数太小,根本无法看清楚问题,也无法对图片进行选择。对此,“高铁管家”表示,12306系统验证码升级,导致高铁管家无法登录,技术人员正在尝试抢修,对用户深表歉意。

  目前唯一能登录不受影响的手机APP是12306官网旗下的“铁路12306”,目前并不需要图片验证,仍是通过4位数字验证。

  阿里回应未参与图片验证

  在今年1月,马云旗下的阿里云表示,向12306提供技术协助,负责承接春节期间12306网站75%的余票查询流量,以应对春节期间12306网站激增的服务请求。

  然而,对此次12306推出的“图片验证”,阿里云则表示并没参与其中的技术支持。马云昨日向德国总理默克尔演示了阿里旗下的蚂蚁金服的最新技术——“刷脸支付”,通过扫脸来代替密码支付。

  

12306验证码

12306验证码

      各种捧腹  点着点着就饿了

  “一不小心当成了‘连连看’,玩得根本停不下来!”“居然有奥特曼的选项,这让我妈咋办好?”昨日,针对“萌点十足”的验证方式,有才的网友们开始了“各种段子”。

  原来,验证环节要找的“指定项”一般有两张图,比如不同角度的荔枝。记者看到有“一道题”要找的是“生蚝”,出现的选项是——duang!两款“炭烧生蚝”美食图,看起来佐料还都不一样,让人捧腹。有“吃货”网友抱怨:“汉堡蛋挞薯条黄瓜,蓝莓草莓和炭烧生蚝,没买成票口水先流一地……”(谢英君、刘文彬)

  能奈我何  个别软件不受影响

  据了解,受此影响,目前绝大部分可以自动识别并填写验证码的抢票工具均没办法正常使用,旅客只能通过12306官方网站和APP购票。

12306验证码

12306验证码

  不过,昨日也有个别抢票软件针对12306网站更换新版验证码的举措发表声明称,其并未受到影响。某知名抢票软件公司就表示,由于此前,他们的抢票软件并没有自动填写验证码的功能,因此,这次12306提高验证码识别难度对其没有影响。
a
0 0
  @ME: 
 楼主| 发表于 2015-3-18 09:35:54 | 显示全部楼层
12306图片验证12小时内被破解,验证安全的出路到底在哪?

       3月16日上午,12306网站更新了自己的验证码形式,将原有的验证码从英文字符变换到8张小图片,用户必须根据问题提示来点击选中正确的图片,然后才能预定车票。紧接着,各路媒体开始发稿,《12306官网放大招:启用图片验证码所有抢票软件将失效》《12306官网推出全新图片验证码抢票软件将失效》等新闻层出不穷。作为一个程序员,看到这样的标题,十分困惑这些媒体是怎么用上帝视角这么直接断定抢票软件将全部失效的,可以想象一大波刷票公司正准备捋起袖子干活就直接听到12306宣布自己胜利了。当然,我们反对一切的黄牛党,本文只是谈谈验证码技术。

      重技术的验证码是一场拉锯战

      当我们谈论验证码时,不免地提到两个人。第一个是计算机科学之父、人工智能之父艾伦.图灵,图灵对整个计算机科学的贡献和意义在此就不用展开,之前所以提到他,是因为他提出的“图灵测试”,这一理论第一次提到将电脑和人区分开。第二个必须提到的是卡内基梅隆大学的路易斯·冯·安,他在2002年第一次将扭曲的文字用于区别人和计算机,就是我们现在普遍见到的英文字符验证码,后来他将验证码公司Re-CAPTCHA卖给了google。

      现在12306同样也用了扭曲的英文字符,但是却抵挡不住黄牛党和刷屏软件机器识别,是因为在这近十年计算机科学技术的发展,OCR(Optical Character Recognition,光学字符识别)等技术发展的已经十分成熟,识别扭曲英文字符并非难事,根据现有实验报告统计及真实调查,普通的验证码的破解率基本在75%以上。说到这里我们看看百度和腾讯是怎么解决的。

      腾讯将验证码图片背景直接贴上真实图片做干扰,而且颜色采取的近似值。

      被称为百度神兽的九宫格汉字验证码,利用中文的博大精深,在防刷上有较大的提升,但是对人的用户体验上就略差了。

      12306的验证码出发点是安全?用户体验?

      那么,我们来谈谈12306的图片验证码到底是个什么鬼。12306所采用的图片式验证码的验证形式,并不是什么首创,早在一些游戏网站上也采用过这样的验证形式,请看下图。

验证码

验证码

     这把人都能吓懵的验证码还真出现过,而且很不幸的是,上了一阵子之后就被破解了。

     现在12306推出的图片验证码,首先从用户体验上来讲,并没有比之前的文字验证码好用多少。虽然用户不再依靠键盘输入,但是面对小且密集的8张图片,选出“所有”正确的图片,那必须把所有图片仔细看一遍,这一过程带来的不确认型其实是同用户分辨G和9和心里过程是一样的。不信你瞅瞅下面哪些是邮票?重要的是这一过程中带来很大的不确认性,心理负担略重。
  
     用户体验这个标准,不好衡量,我们再来谈谈安全性。从一开始变成图片验证形式,事情就不会像今天新闻标题说的那样,“刷票软件将全部失效“(我本着好奇的态度,搜了一下相关新闻,基本上从2012年起,每次12306更换比较明显的验证码,媒体都是这样报道的),为什么呢?前面我们讲到成熟的OCR技术导致英文字符验证码很难起作用,事实上,图像识别的发展也是趋于成熟。所以,12306的图片验证码被迅速破解也不是什么难事,反而将门槛降低。

     下面的具体破解举例引用知乎用户王猫猫在问题“如何评价 12306 的最新版验证码?”下的回答。                           

      直接将图片处理后丢入google、百度的识图接口,返回的数值让人惊讶(第二张图居然能精准识别到是沙县小吃?)。后来根据王同学提供的代码,我进行了下一步的处理工作,再次利用第三方软件识别中文字符,然后将字符与图片字符进行匹配,之后选择图片。整个测试图片大概200张(只是模拟了登录,没有去刷掉一整车票),通过率在85%左右。所以,仅仅是技术爱好者动用一些公用接口就轻松能识别图片类容,而且一旦识别后,还可以将这张出现过的图片存库,再次出现就更加快速准确的定位了。暂且不谈图像识别和机器学习这样高大上的破解方法了。

     图片验证码之所以不安全,是因为目前的图片识别技术也是相当的成熟。12306这些图片如果是人工标记,无疑是将自己摆到一个愚公移山的悲壮位置;如果是机器识别,也一样是可以被识别内容,即用图片内容的识别作为验证核心将毫无意义。

      从12306这次更新来看,12306的验证思路,还是在玩已经过时的技术,对验证的视野和理解并不是很透彻,才会落到上线不到一天就被破解的尴尬局面。当然,12306有面对黄牛的进行创新的勇气是可嘉的,但是方向走错了,进行购票流程上的全面优化才能让问题得到最终的解决,将赌注放在验证码身上,目前看来不太现实。

     走在前面的依然是Google

     那么,验证安全的终极奥义是什么呢?我们可以回顾一下去年的关于google的No-CAPTCHA(No-Capthcha是Re-Capthcha的子项目)的文章,google提出了一个概念叫human behavior analysis,大意是将用户的行为做为判断人与计算机的准则。这个理念提出的意义在于,不再依靠图灵测试即单一的答案来判断人机,而是通过用户一系列的上网行为来确定访问者是人,还是机器。但是从google目前的前端代码层和具体流程来看,目前只是试探性的的发展,如果这个理念能够实际操作并完善,那么验证码的安全性将提高的一个史无前例的高水平,至少破解门槛不会低到仅仅调用一下公共接口就瞬间破解。

a
0 0
  @ME: 
发表于 2015-3-18 15:36:16 | 显示全部楼层
遇到这样的验证码,我也是醉了
使用 高级模式(可批量传图、插入视频等)
您需要登录后才可以回帖 登录 | 注册

快速回复 返回顶部 返回列表