12306验证码:识别难度如何确定

国际金融报 2015-12-21 13:22:00 显示图片

“你把日期、起始站、乘客等资料填好,把12306账号、密码给我;在我发你的淘宝店拍下加价的钱,刷到票后,把账号密码给你。”在QQ群中搜索“火车票”,会出现上百个结果,《国际金融报》记者随机选择添加了一位名为“春节火车票”的黄牛。

这位黄牛自诩,“自家刷票成功率是百分之百”,但是反复提醒,“不能指定车次。”

“往年都能指定车次,为何今年不行?”记者追问。

“12306改版有很多限制,票没有以往好刷。”黄牛坦言,“图形验证码难,对我们来说也难。”

图形验证码,不仅令黄牛犯难,也让部分购票者犯难,“样式繁多、图片模糊、单选变多选。”其实,图形验证码软件设计师也难,“太简单了,防抢票软件效果差;太难了,普通购票者用户体验差。”

关于春运火车票,多方正遭遇验证码难度之惑。

购票者之惑:

验证码咋这么难

因样式繁多、图片模糊、单选变多选等原因,12月7日到12月8日,12306验证码的搜索指数猛增7倍

一票难求,是春运常态。为抵制黄牛,铁路部门今年蛮拼:手机双向核验,还有图形验证码。

“自11月26日发售春运第一天车票起,截至12月9日(预售腊月二十八日火车票),铁路部门共发售车票1.3亿张,同比增长9%,近九成通过网络订票成功。”

12306购票系统的后台监控大厅显示屏上,即时显示着铁路总公司和中国铁道科学研究院两个生产中心的实时运行数据。这些数据包括网站、手机APP的实时登录人数,购票支付情况、车站取票情况等,“其中,12306网站共发售车票7813万张,同比增加1532万张,占售票总量比例由去年同期的54.6%上升至60.1%。除网购车票渠道比例上升外,手机APP发售车票14天共销售3536万张,占售票总量比例由去年同期的13.5%上升至27.2%。”

不过,部分购票网友表示,验证码清晰度不高,导致放票时间连续选错,从而错过了购票。

“样式繁多、图片模糊、单选变多选……”新版图形验证码因网友吐槽毫无预兆的火了。360搜索指数趋势图显示,从12月7日到12月8日,12306验证码的搜索指数猛增7倍。

春运火车票开售,12306购票系统的图形验证码成了“吐槽对象”,“12306的验证码已经击败了全国99%的购票者,我已经找不到回家的路了!”、“验证码都跟医生写病历似的,你是疯儿我是傻,缠缠绵绵看不清!”

国家信息中心专家委员会主任、研究员宁家骏认为,12306的图形验证码的初衷是好的,但对给用户造成的困难事先估计不足。

一位门户网站的程序员告诉《国际金融报》记者,验证码的目的就是为了证明,购票者是人,不是机器,不是一个程序。所以从这个角度来说,提高机器识别的难度是有必要的,但是降低用户在输入验证码时候的成功率,确实不利于用户体验的提升。

开发者之惑:

防黄牛与好用怎么平衡

互联网的验证码正变得越来越难以识别,如何做到既防了黄牛,又让购票者有较佳的用户体验,是验证码开发者的难题

验证码,是“全自动区分计算机和人类的图灵测试(CAPTCHA,Completely Automated Public Turing Test to Tell Computers and Humans Apart)”的简称。图灵测试是通过计算机回答人类提出的一系列问题来鉴别对方是人还是机器,而验证码则是一场机器向人提问的“反图灵测试”。

随着计算机技术的进步,验证码被设计得越来越难,主要的验证方式有文字、图片、语音,移动互联网App方面还有手势密码验证及信令交互认证方式等,诸如支付宝钱包和QQ都推出了手势密码。

西安电子科技大学副教授高海昌告诉记者,目前,验证码主要包括文本验证码、语音验证码、图形验证码,应用最为广泛是的文本验证码,而安全性最高的则是图形验证码。目前有些用户数量级不大的网站已不使用文本或图片验证码,而是用短信验证,这也是一种很好的替代方式。

验证码有用吗?

“当然是有用。”上述程序员很肯定的告诉记者,“没有验证码,任何一个有大学本科计算机基础的学生都能盗号。在防止机器暴力行为方面,验证码功不可没。”

验证码的图案、文字或数字,大多扭曲变形。之所以这么设计,是为了避免被光学字元识别(OCR, Optical Character Recognition)之类的计算机程序自动辨识,“验证码要的就是复杂性与无序性,还要有高浓度的噪音背景,对比度、可识别度都不能太高,因为机器比你聪明多了,你能轻易看清的,机器早就识别出来了。”

斯坦福大学的一项研究发现,近两年来,互联网的验证码正变得越来越难以识别,并且每个网站平均有1/5的人,因为复杂的验证码而离开网站。

北京邮电大学网络技术研究院教授马严认为,虽然有些验证码难度较大,但对于防控抢票软件有一定效果。

最常见的验证码是字母和数字组成的四位验证码,这类验证码,抢票软件和浏览器采用非正常手段是可以自动识别。“字母和数字组成的四位验证码,在人眼识别需要2秒的情况下,机器仅用0.1秒就能识别。在高峰时段,相隔这样的时间,也会造成旅客买不到票。”朱建生表示,“为了防范抢票软件的自动识别,我们对图片做出微调、旋转、切割的处理,这样做主要是为了方便旅客购票和打击抢票软件中寻找平衡。”

猎豹浏览器移动工程师李铁军告诉记者,目前有一些刷票软件每秒钟数次提交刷新页面或购票等请求,会给12306网站带来沉重的流量压力,尤其是在购票高峰时段,而难以轻易识别的图形验证码,能有效防止高频的刷票。

一位铁路集团总公司工作人员告诉记者,升级验证码系统的必要性是毋庸置疑的,这是12306网站与黄牛以及抢票软件之间的一场持久的博弈战。如果没有防御性较强的验证码系统,黄牛可以凭借抢票软件随意地大量地占据车票资源。

黄牛之惑:

低成本和高技术能兼得吗

升级的验证码,极大地提高了黄牛的抢票成本,但是面对求票者出的高价中介费,一些“技术黄牛”还是会不遗余力地破解验证码数据库

抢票软件导致购票难是个老问题。

从最早的数字、字母验证码,到加减法、闪烁变形字母、干扰线变形字母验证码,再到今年推出的图片验证码,12306购票网站不断升级验证码的“段位”,五年六代版本。

前述铁路集团总公司工作人员告诉记者,从12306网站推出网络购票功能以来,12306与各种抢票软件之间的“博弈”就没有停歇过。抢票软件的兴起虽然满足了部分消费者购票的需求,但也成为了网络黄牛党的牟利工具。

“部分购票者习惯性将矛头指向12306网站,认为是其无能,导致黄牛党的有乘可机。其实,在井喷式客流造成的巨大访问量和信息处理量时,购票网站在保证正常运行的同时,堵塞各种流氓软件的侵袭,非易事。”前述门户网站程序员说,12306一直以来不断补漏洞,升级系统,依然抵挡不住众多“技术黄牛”在利益驱使下病毒性攻击。

据悉,铁路部门曾求助商业网站巨头的工程师,但无法解决,短时期内,12306只能在不断修补漏洞中维护公平的购票秩序。

从技术上讲,复杂的图形验证码,提升了自动识别的技术门槛,但其图片质量较差,再加上有一些生僻且容易混淆的图片以及不合适的图片处理,造成用户体验较差。一位360工作人员分析认为,客观来说,12306复杂验证码确实对打击黄牛起到了一定的作用,例如其对部分验证码进行模糊颗粒化处理,可以防止黄牛采用专用抢票软件来刷票。

对此,铁道部门及时回应。中国铁道科学研究院电子计算技术研究所副所长朱建生明确表态,“在春运返程订票高峰前,将对验证码中数万张图片进行优化,提高图片分辨率,确保用户体验。”

根据12306网站后台监测及统计数据显示,今年预售春运车票以来,放票时段图形验证码的一次识读正确率约为70%,非放票时段更高。

据记者了解,12306官网推出的图形验证码,确实拦截了一部分技术黄牛。但是,有消息称,“图形验证码推出没多久后,就有人窃取了图形验证码后台数据库,并建立“打码平台”以绕过图形验证码这一环节。据悉目前其打码平台的打码识别率已超过80%。黄牛每打码一次,需付1分-5分不等的费用,给打码平台。黄牛每购买一张票,通常需要打码十几二十次,有的甚至打码上百次。”

“打码”指的是人工识别验证码。即有专业的识别验证码的人工团队,配合软件进行刷票工作——软件负责常规的操作步骤,人工团队负责识别验证码,人工团队为外挂机器人服务。这种方式最早源于游戏产业,为了拦截游戏外挂登陆,设了验证码,这时就有一拨人建立了平台,每天的工作就是识别各种验证码后,将结果反馈给平台。这种平台就被称为打码平台。

梆梆安全创始人阚志刚坦言,实际测试表明,如果采集样本数据足够大,确实有破解图形验证码的可能性,一旦图形验证码被黄牛破解,他们就可以继续刷票,“虽然图形验证码在识别上增加了难度,但破解难度上并没有革命性的改变。”

无独有偶,360浏览器近日宣布,已全面攻破12306验证码,实现了全自动识别技术,并首次公布了581种12306图形验证码大数据。对此,为12306系统提供图形验证码服务的杭州微触科技有限公司负责人宋超在接受媒体采访时坦言,图片的数量不是一个固定的数字,是不断动态增替的过程,会不断通过用户的使用数据来更新。

市场之惑:

供需结构之困如何解

需求决定市场,不管 12306怎么升级验证码,总改变不了火车票供应不足的局面,单凭技术问题解决不了火车票供需结构之困

不可否认,各式验证码,增加了黄牛党的刷票难度。从实际效果来看,近两年的春运车票购买难题,也从“有票买不到”逐步转向了网络容量不足、不熟悉网络购票操作等技术问题。事实上,12306网站开发者从用户这里得到的反馈,一直是“差评多于好评”。

山东大学教授王忠武认为,铁路部门如能转换思路,充分发挥市场在资源配置中的决定性作用,或可以缓解12306网站“逢节必瘫”、口水满天的尴尬。

归根结底,抢票软件导致购票难是个老问题,但是不是最大的问题。最突出的矛盾是,火车票供需结构问题。

一位互联网行业创业人士认为,当前技术更新换代太快,单纯地“拼技术”并不是出路。必须承认的是,需求决定市场,不管12306怎么升级验证码,总改变不了火车票供应不足的局面,在利益驱动下,抢票软件自然会不停地升级。可以说,单凭技术问题解决不了这一难题。

多位专家都认为,铁道部门在“防火防盗防抢票”之余,应将重点放在科学调配运量、不断提升铁路运力方面,“单靠技术手段始终还是治标不治本,不断地换代验证码形式或不停地寻找和升级购票软件,也许一时有效,但终究会被技术团队破解,毕竟火车票供不应求的现实软肋才是问题的根本。”

铁路部门相关负责人也表示,提高铁路运力是最终化解供需矛盾的重要方向。今年春运,铁路部门每天开行旅客列车3488对,比2015年春运增长14.5%。其中,图定旅客列车3048对,春运增开旅客列车440对。

前述铁道部门工作人员认为,如今铁道部门应该把精力集中在提高火车的运力以及提升旅客满意度与服务质量上,12306网站用户体验的提升也用作为工作重点,比如保证旅客的个人信息安全、提高网站承载能力、优化购票流程、确保支付安全等。

值得一提的是,为确保2016年铁路春运安全、维护广大旅客合法权益,除了技术层面阻止黄牛刷票,铁路公安机关集中开展为期百日的“猎鹰-2016”战役,严厉打击倒卖车票违法犯罪活动。截至目前,各地破获倒票案件71起,抓获倒票人员85名,缴获车票及订票凭证6214张、假票及空白票版12078张。据记者了解,此次行动于今年11月26日启动,至明年3月4日结束。行动期间,各地铁路警方加强售票厅、退改签窗口等区域的巡查;公布有奖举报电话,激发社会各方参与打票积极性;联合客运部门严格落实实名制验证进站、进出站通道口子管理和身份证原件改签、退票等制度,严查“冒用身份证、票进站”等行为。