【互联网小知识】验证码

大家好，欢迎来到IT知识分享网。

1.定义

验证码（CAPTCHA）是“Completely Automated Public Turing test to tell Computers and Humans Apart”（全自动区分计算机和人类的图灵测试）的缩写，是一种区分用户是计算机还是人的公共全自动程序。可以防止：恶意激活成功教程密码、刷票、论坛灌水，有效防止某个黑客对某一个特定特定用户用特定程序暴力激活成功教程方式进行不断的登陆尝试，实际上用验证码是现在很多网站通行的方式，我们利用比较简易的方式实现了这个功能。这个问题可以由计算机生成并评判，但是必须只有人类才能解答。由于计算机无法解答CAPTCHA的问题，所以回答出问题的用户就可以被认为是人类。

2.起源

验证码这个词最早是在2002年由卡内基梅隆大学的路易斯·冯·安、Manuel Blum、Nicholas J.Hopper以及IBM的John Langford所提出。卡内基梅隆大学曾试图申请此词使其成为注册商标， 但该申请于2008年4月21日被拒绝。一种常用的CAPTCHA测试是让用户输入一个扭曲变形的图片上所显示的文字或数字，扭曲变形是为了避免被光学字符识别（OCR, Optical Character Recognition）之类的电脑程序自动辨识出图片上的文数字而失去效果。由于这个测试是由计算机来考人类，而不是标准图灵测试中那样由人类来考计算机，人们有时称CAPTCHA是一种反向图灵测试。

3.作用

常规作用

防止恶意激活成功教程密码、刷票、论坛灌水、刷页。

有效防止某个黑客对某一个特定注册用户用特定程序暴力激活成功教程方式进行不断的登录尝试，实际上使用验证码是现在很多网站通行的方式（比如招商银行的网上个人银行，百度社区），我们利用比较简易的方式实现了这个功能。虽然登录麻烦一点，但是对网友的密码安全来说这个功能还是很有必要，也很重要。验证码通常使用一些线条和一些不规则的字符组成，主要作用是为了防止一些黑客把密码数据化盗取。

限制网络爬虫

由于验证码技术具有随机性较强、简单的特点，能够在一定程度上阻碍网络上恶意行为的访问，在互联网领域得到了广泛的应用。其次，图片验证码是通过爬虫获取到所需要的样本图片，将图片里面的文字和字母分开，通过神经网络算法去识别验证码。关于滑动验证码，一般情况下，人类在操作滑动这个步骤时，会有一个延时的动作，然后才进行滑块拖动，滑块移动时快慢不一致，最后再进行微微调整。拖动的路径基本上符合BETA分布这样的偏态分布，同时，人的行为也比较符合随机性和规律性特点，大体上符合BETA分布的规律，但是固定时间和间隔移动的长度是随机设置的。

4.分类

行为式验证码

所谓“行为式验证”，即是将生物行为与人工智能结合，通过引导用户完成一个特定行为，然后分析鼠标点击、停顿、速度等行为轨迹，结合人工智能的数据采集和机器深度学习，来形成和强化计算机对网络生物行为的识别判断能力，最终实现对人机的区分识别。

与传统人工参与识别的图像验证逻辑完全不同，“行为式验证”是以鼠标行为轨迹为依据，将人与机器行为轨迹的不同分析出来交给机器学习，通过机器建模，结合访问频率、地理位置、历史记录等多个维度信息数据综合判断，来做出人机区分的判定结果。 

用鼠标轻轻一拖动，将拼图拼好，就完成了网络登录身份验证。不再需要输入动态验证码，这种全新的验证方式会让人上瘾，初次尝试的人，大多会多玩几次拼图游戏。这是吴渊创立的“行为式验证”，经过严格测试，这种验证比现行验证码方法安全40多倍，但登录时间只需3.82秒，不到传统验证码的三分之一。 

Gif动画验证码

一种Gif动画验证码效果

主流验证码通过提供静态的图片，比较容易被ocr软件识别，有的网站提供GIF动态的验证码图片， 使得识别器不容易辨识哪一个图层是真正的验证码图片，可以提供清晰的图片的同时，可以更有效得防止识别器的识别，据统计，动画gif验证码的防垃圾注入可以达到100%，是一个非常有效的验证码创新模式。同时gif动画效果可以有多达百种，也可以增加网站页面的美观效果。

手机短信验证码

手机验证码是通过发送验证码到手机，大型网站尤其是购物网站，都提供有手机短信验证码功能，可以比较准确和安全地保证购物的安全性，验证用户的正确性，是最有效的验证码系统。某些验证码接入商提供手机短信验证码服务，各网站通过接口发送请求到接入商的服务器，服务器发送随机数字或字母到手机中，由接入商的服务器统一做验证码的验证。

注：短信验证码是一种临时密码，具有一定时效性，如10分钟或30分钟有效，之后须从新获取临时的密码（验证码）登录验证

手机语音验证码

解决验证码的问题体验不佳流失掉老客户和潜在新客户问题，语音验证码只要用户的手机或座机能正常接听电话，就一定能收到语音验证码，验证码实现自动语音播报，同时短信也能同时发送到用户手机，实现双保险确保万无一失。语音验证码如果有拨通失败的，系统还能自动重播，确保不漏掉。 

视频验证码

视频验证码是验证码中的新秀，视频验证码中随机数字、字母和中文组合而成的验证码动态嵌入到MP4，flv等格式的视频中，增大了激活成功教程难度。验证码视频动态变换，随机响应，可以有效防范字典攻击、穷举攻击等攻击行为。视频中的验证码字母、数字组合，字体的形状、大小，速度的快慢，显示效果和轨迹的动态变换，增加了恶意抓屏激活成功教程的难度。其安全度远高于普通的验证码，而且这种验证码形式使用户不会感到枯燥，由于其提高了机器识别的难度从而可以降低用户识别的难度，使得用户更容易辨认。但由于需要较高的技术支持，此种验证码并未普及开。

5.市场技术

 京东云验证码技术

京东云验证码，可自动识别用户风险等级并给出不同验证难度的验证码类型，兼顾业务安全与用户极致体验。验证码提供双重验证，用静默验证进行用户风险初判，根据风险高低决定是否需要二次验证及二次验证方式，极大提升用户体验和安全性。京东云验证码是一套完整的人机验证机制，除一次静默验证外，二次验证不仅关注用户提供的答案，更加关注提供答案的“人”。通过对“人”提供答案的过程进行全方位立体刻画，如访问频率、地理位置、设备指纹、历史记录等多维度，依赖设备模型、异常关联、反模拟器、虚拟机、黑名单等多种侦测，精准识别机器行为。

参考资料：

如何证明你是“人”还是“机器”？ 揭秘验证码技术 – 知乎 (zhihu.com)

验证码（公共全自动程序）_百度百科 (baidu.com)