上過網沖過浪的“老司機”都知道網站驗證碼，現在幾乎每個網站和論壇都會有驗證碼的出現。

有人說，驗證碼保護了網站服務器和用戶的隱私安全;還有人說，驗證碼嚴重影響了用戶體驗，是在浪費時間。那驗證碼到底是好是壞?驗證的原理是什么?什么樣的驗證碼才最安全?

驗證碼的誕生:區分計算機和真正的人

急沖沖地購買火車票，輸入賬號密碼后跳出一幅九宮格要求點擊指定圖片驗證，好不容易玩完“大家來找茬”，一看火車票已被搶光，這樣的情形你是否經常遇到?對，阻礙你的就是耳熟能詳的驗證碼。驗證碼的存在似乎讓用戶體驗不佳，那它存在的意義是什么?

“現在很多網站的注冊和登錄都需要用到驗證碼，為了區分計算機和真正的人。” 南京大學信息科學博士、南京視網么信息科技有限公司創始人張帥告訴記者，驗證碼英文“ CAPTCHA”直譯就是“全自動區分計算機和人類的圖靈測試 ”，而圖靈測試是人工智能圈一個著名的實驗，實驗者詢問一臺機器和一個人類一些問題，如果實驗者無法分辨他倆的差別，那么這臺機器便通過圖靈測試。驗證碼就是這個圖靈測試的反向和變種，用來區分計算機和人類。

早在驗證碼出現之前，垃圾郵件滿天飛，有人通過注冊大量新郵件賬號發送垃圾推廣郵件。郵件公司封號刪除的速度甚至趕不上他們注冊的速度，很多人深受其害。直到有程序員發現計算機程序難以識別手寫的文本，而人類可以輕易看懂，于是程序員在注冊賬號時設置一道門檻——必須輸入“歪曲”的文本才能完成注冊，用來區別計算機和真人，從此驗證碼登上歷史的舞臺。

“有了圖形驗證碼，可以拒絕重放攻擊(破壞身份認證的正確性)，有效避免了暴力請求破解的威脅。在圖形(數字)驗證碼的基礎之上，慢慢演化出了滑塊驗證碼、圖像驗證碼、智能驗證碼等新的驗證形式。” 張帥說，除此以外還有短信驗證碼，可用于對安全性要求較高的應用，比如支付寶、登錄銀行客戶端等，可以一定程度上避免賬號密碼泄露、身份偽造等行為。

那電腦程序是如何判斷驗證碼輸入的背后是人類還是軟件?張帥介紹，隨著技術的發展，通過圖像識別文字和人工智能技術，機器也具備了識別和理解驗證碼的能力。常見的方式是通過在圖像驗證碼中加入噪點，來影響機器識別驗證碼圖片的真實信息;還通過頁面上的腳本運行來進一步輔助判斷，來識別該操作是人類行為還是機器行為。

新式驗證碼有貢獻:每年數字化230多萬本舊書 有網友做過計算，全世界的網民一天共要輸入上億次驗證碼，粗略估計，人類每天輸入驗證碼的時間已經超過了50萬小時，驗證碼的存在是不是浪費時間和資源?

對此，從事視覺圖像領域工作多年的系統架構師王之琳表示，“存在即合理，驗證碼并不是一無是處。”他舉例，很多公益組織將舊書籍掃描成電子版時經常出現無法識別的現象。書籍的內容大部分是文本，驗證碼也是文本，把掃描版的書籍文本對接到驗證碼上，讓用戶來識別。

簡單來說，就是打造一款新式驗證碼系統，系統會提供兩個單詞給用戶來識別，這兩個單詞都是書籍掃描版的一部分。計算機其實已經知道第一個單詞的正確答案，之所以要展示出來，是為測試用戶是否是真人。而第二個單詞計算機暫時無法識別。對于這第二個單詞，一旦有10個人輸入了同樣的答案，那么這答案就會被當作是正確答案。靠這種方法，新式驗證碼系統每年能成功數字化230多萬本舊書，為人類文化事業做出了巨大的貢獻。

“用戶輸入驗證碼時，程序會不可避免地收集到用戶的行為數據，通過分析和訓練這些數據，得到各種用戶的行為模型和習慣。” 王之琳說，輸入驗證碼是一把雙刃劍，驗證用戶是否是真人的同時，帶來數據隱私泄露的風險。

“沒有絕對的好人，也沒有絕對的壞人。” 王之琳表示，一般情況下在許可協議和隱私協議中會有提到，系統會采集用戶的哪些數據，用于哪些用途。但截至目前，很多時候，用戶并沒有權力去選擇是否要分享這部分數據。

直到2018年，歐盟頒布了通用數據保護條例GDPR，才有了對個人數據的嚴格保護。但王之琳坦言，個人數據是很狹窄的范圍，如位置、DNA、聯系方式等。用戶鼠標在屏幕上從左往右滑動了一次都會被電腦程序記錄下來，但是這是否屬于隱私行為數據在協議中很難界定，也得不到保護。而且這種隱私的泄露不僅僅存在于智能驗證碼的學習過程中，還存在于整個互聯網。

AI越來越聰明:驗證碼未來何去何從 在人工智能不斷發展的現在，機器能通過越來越多類型的圖靈測試，并且經過了大量驗證碼類型的機器訓練，未來的驗證碼還能起到效用嗎?如果AI學會識別驗證碼并被別有用心的人利用，有哪些反制措施?

張帥認為，不管AI多聰明，驗證碼都不會被淘汰。他說，沒有絕對安全的系統。在利益的驅動下，反驗證碼的技術也會不斷提升。網站通過判斷是否有真人操作的行為來區別人機，攻擊者可以反復訓練機器去模擬真人的操作來混淆校驗的判斷。驗證碼和反驗證碼的技術會在此消彼長中交替著前行。破壞安全的方式也會越來越刁鉆，系統安全性措施會越來越嚴謹完善，所以不必太擔心。

還有網友表示，有的驗證碼過于復雜，有時多次驗證失敗難以注冊，非常影響用戶體驗。對此，王之琳表示，驗證碼已進入智能時代，操作體驗已經變得簡單，用戶只需在頁面上點擊“I'm not a robot”(我不是機器人)的勾選按鈕即可。但其實從用戶打開頁面，加載出驗證碼的那一刻起，校驗的過程就已經開始了。通過用戶在頁面上的停留時間、鼠標的移動速度、位置偏移，通過瀏覽器信息請求頭信息等共同作為參考因素，將這些復雜的數據傳到校驗服務器的后臺進行AI分析，來判斷是不是真人用戶的操作。

展望未來，張帥說，目前國內驗證碼技術大多停留在圖形圖像相關方向，忽略了對于語音和無障礙訪問的支持。雖然有部分網站提供了語音驗證碼的功能，但還是少數，他期望多關注和支撐殘障人士的使用體驗，提供更多形式的驗證方式。