主要内容
2025 年,当我浏览网页时,已很少再遇到验证码。没有倾斜的文字需要辨认,也没有红绿灯的图像网格需要识别。偶尔被要求完成一些防机器人任务时,这种体验几乎总是让人感觉超现实。一位同事分享了最近的测试,他们看到戴着帽子的狗和鸭子的图像,从圆顶礼帽到法式贝雷帽都有。然而,安全问题却粗鲁地忽略了动物的帽子,让他们选择显示有四条腿动物的照片。其他谜题则对其受众过于特定。例如,同性恋约会网站 Sniffies 的验证码让用户在智能手机屏幕上滑动三角裤以找到匹配的内衣。那么,所有的验证码都去哪儿了?为什么现存的少数挑战如此怪异?我与网络安全专家进行了交谈,以更好地了解这些正在消失的挑战的现状以及未来可能看起来更加奇特的原因。
“验证码最初发明时,其理念是这实际上是计算机无法完成的任务,”领导 Cloudflare 应用安全检测团队的 Reid Tatoris 说。“验证码”(Completely Automatic Public Turing test to tell Computers and Humans Apart)一词于 2000 年由研究人员创造,旨在保护网站免受恶意、非人类用户的攻击。最初大多数用户在网上看到的测试包含奇特的字符,通常是扭曲的字母和数字组合,你必须将其输入文本字段来复制。计算机无法看到字符是什么;人类可以,即使我们大多数人都需要眯着眼睛才能看清。PayPal 等金融公司和 Yahoo 等电子邮件提供商使用这种迭代方式来抵御自动化机器人。在受到盲人和低视力倡导团体的压力后,更多网站最终添加了正确答案的音频读出,这些团体的成员确实是在浏览网页的人类,但无法完成基于视觉的挑战。
如果挑战不仅是阻止机器人,还能生成有用数据呢?这是 2007 年 reCaptcha 发布背后的核心理念。通过 reCaptcha,用户识别当时机器学习算法无法读取的单词。这加快了将印刷媒体转换为在线形式的过程。该技术很快被谷歌收购,reCaptcha 在公司数字化书籍的努力中发挥了重要作用。随着机器学习能力的提高——它们学会了读取奇特的文本——在线安全检查点适应得更加困难,以防止恶意机器人绕过。下一个 reCaptcha 挑战迭代包括图像网格,用户被要求选择特定选项,如包含摩托车手的照片。谷歌利用这里收集的数据来改进其在线地图。
随着在线安全挑战难度的增加,用户的挫败感也在增加,因为他们被要求回答越来越复杂和深奥的问题以证明自己的人性。在线用户被要求在图像标签问题中选择所有“微笑的狗”,这是 Google 服务的隐私优先替代品 hCaptcha 的问题。多么令人困惑!谷歌在 2018 年推出 reCaptcha v3 是一个重大转变,旨在减少人们在网上看到挑战的频率。“我们的技术不是打断用户,而是在交互过程中分析信号和行为,为网站所有者的行动生成风险评分,”谷歌云产品管理总监 Tim Knudsen 在给《连线》的一封电子邮件中说。这种切换准确地嗅出哪些用户是人类,哪些是硅基,使得这一代阻止机器人的技术对大多数网络冲浪者来说“完全不可见”。
几年后,在 2022 年,Cloudflare 放弃了另一个 reCaptcha 替代品 Turnstile。这是远离人类完成的测试并转向基于模式的使用分析的又一重大举措。类似于 reCaptcha 的标准版本。