在 CAPTCHA 測試中，作為服務(wù)器的計算機(jī)會自動生成一個問題由用戶來解答。這個問題可以由計算機(jī)生成并評判，但是必須只有人類才能解答。由于計算機(jī)無法解答 CAPTCHA 的問題，所以回答出問題的用戶就可以被認(rèn)為是人類。 CAPTCHA 是由計算機(jī)來考人類，而不是標(biāo)準(zhǔn)圖靈測試中那樣由人類來考計算機(jī)，因此人們有時稱 CAPTCHA 是一種反向圖靈測試。

驗證碼是否真的保護(hù)了計算機(jī)系統(tǒng)

一隊來自斯坦福大學(xué)的研究人員 PALO ALTO 指出很多驗證碼完全沒有發(fā)揮應(yīng)有的作用。這些研究人員甚至設(shè)計了一個通用程序，這個程序能夠以極高的成功率識別出許多網(wǎng)站上的驗證碼，包括 Visa 旗下網(wǎng)站 Authorize.net ，暴雪官方網(wǎng)站， eBay ，以及維基百科。

這種識別技術(shù)用到了機(jī)器人視覺領(lǐng)域的一種概念模型，它有助于機(jī)器人不受圖像噪點的干擾正確識別物體的外形。斯坦福這個名為 Decaptcha 的工具使用上述指導(dǎo)思想編寫的算法能夠?qū)⑴で冃吻页錆M噪點的圖片分割成可以通過光學(xué)識別技術(shù)（ OCR ）辨別的字母和數(shù)字。

”大多數(shù)驗證碼投入使用之前都沒有經(jīng)過必需的驗證，也缺少可靠性測試。“ 來自斯坦福大學(xué)安全實驗室的研究人員 Elie Bursztein 博士后說：”我希望我們的研究能夠讓人們更為慎重的對待驗證碼的設(shè)計和使用。“

Decaptcha 能夠成功識別 66% Visa 支付網(wǎng)站 Authorize.net 上的驗證碼圖片，并可以順利攻陷暴雪娛樂網(wǎng)站上 70% 的驗證碼。而維基百科有四分之一的驗證碼可以辨識，在 CNET 以及 Digg.com 上這個數(shù)字降低到了五分之一。百度的驗證碼雖然僅有 5% 的辨識率，但是在測試過程中同樣的驗證碼出現(xiàn)的頻率竟高達(dá) 98% ，非常容易被攻擊者用窮舉法攻破。來自斯坦福的這個研究團(tuán)隊隨后指出，任何可辨識率超過 1% 的驗證碼系統(tǒng)都不應(yīng)該被繼續(xù)使用下去。

各大網(wǎng)站的驗證碼識別率：

 #p#

隨后暴雪發(fā)表聲明說，他們明確的知道驗證碼技術(shù)并不具有足夠高的安全性。”我們僅在初級安全層使用驗證碼技術(shù)抵擋一些特定的攻擊，比如注冊環(huán)節(jié)。我們使用一些更為安全可靠的技術(shù)來保護(hù)我們的客戶與骨干服務(wù)器。“來自暴雪的 Shon Damron 這么說。

如今的驗證碼

驗證碼技術(shù)在目前的網(wǎng)絡(luò)世界中仍然十分重要，它有助于阻止自動機(jī)器人批量注冊網(wǎng)絡(luò)郵箱并發(fā)送垃圾郵件，還能防止留言板被自動程序填塞廣告，甚至使投票系統(tǒng)更能反映真實情況。

各大網(wǎng)站所使用的驗證碼范例：

到目前為止，只有 Google 的驗證碼完全阻擋了 Decaptcha 的辨識， Google 在 2009 年從卡耐基梅隆大學(xué)收購的 ReCaptcha 項目也表現(xiàn)出了極其高的可靠性。目前 ReCaptcha 已經(jīng)被廣泛地使用在了近 10 萬網(wǎng)站上，這些網(wǎng)站包括 Twitter 、Facebook、Craigslist、TicketMaster （一個出售各類演唱會、體育比賽、歌劇以及藝術(shù)展覽門票的網(wǎng)站）以及微軟（ Microsoft ）。

Bursztein 希望開發(fā)者能夠更加系統(tǒng)的設(shè)計和使用驗證碼技術(shù)，他舉了一個例子： 20 世紀(jì) 80 年代人們通常埋頭設(shè)計的自己的計算機(jī)程序算法，但隨著時間的推移，大家發(fā)現(xiàn)對等測試和專業(yè)安全性評估也是非常重要的。

展望驗證碼的未來

較早前有報道指出， Google 正在測試一種新的驗證碼技術(shù)，這種驗證碼技術(shù)不像傳統(tǒng)驗證碼系統(tǒng)要求輸入文字，而是要求用戶將圖形旋轉(zhuǎn)到正確的方向：

 #p#

類似的驗證碼還有要求用戶輸入當(dāng)前時間，所訪問的網(wǎng)站域名，自己所在的時區(qū)，甚至美國總統(tǒng)姓名，人類第一顆登陸的地外星球等。這類驗證碼主要考慮到通常自動計算機(jī)程序沒有足夠的邏輯思考能力，不能辨識并解答邏輯問題。拼圖驗證碼，找不同驗證碼（比如從幾張貓的圖片中找出一張狗的圖片）的驗證碼從本質(zhì)上來說也非常類似，但目前沒有大規(guī)模部署這類驗證碼的主要原因是沒有足夠的資源，難以抵擋窮舉攻擊（攻擊者多次刷新驗證碼后可能出現(xiàn)相同的問題）。

要求用戶繪制圖形的驗證碼：

驗證碼也帶來了更多的可能性，比如通過廣告盈利的機(jī)遇，下面這則驗證碼示范了利用驗證碼展示廣告：

但遺憾的是由于其同樣不具有規(guī)模性，仍受到窮舉攻擊的威脅。

這些未來的驗證碼技術(shù)同時還應(yīng)該考慮到輔助功能。假如用戶有視力障礙，他應(yīng)該可以選擇通過聆聽驗證碼音頻的方式完成驗證，這也是基于字符的驗證碼技術(shù)遲遲未能被取代的主要原因之一。

總結(jié)

驗證碼技術(shù)是一種計算機(jī)技術(shù)發(fā)展下的矛盾產(chǎn)物，人類渴望計算機(jī)能夠通過自動化的過程完成更多的任務(wù)，卻同樣要防止計算機(jī)被利用在破壞與惡意的用途當(dāng)中。隨著人工智能領(lǐng)域的研究成果越來越先進(jìn)，計算機(jī)將變得越來越通情達(dá)理（想想 Siri ，想想 IBM 最新的超級智能計算機(jī) Watson）。

圖靈當(dāng)年設(shè)計圖靈測試時，旨在推動人工智能的發(fā)展，并從哲學(xué)與計算機(jī)科學(xué)的角度上論證制造類人類機(jī)器人的可行性，但他恐怕永遠(yuǎn)也想象不到有一天，人類將如此迫切的需要一種技術(shù)來將自己與計算機(jī)系統(tǒng)嚴(yán)格地區(qū)分開來。

如果有一天，計算機(jī)能夠通過驗證碼驗證，我們又該如何區(qū)分人類和計算機(jī)呢？

【編輯推薦】

1. 10種稀奇古怪的驗證碼風(fēng)格設(shè)計
2. Cookie欺騙 騰訊拍拍秒殺活動的驗證碼漏洞
3. 分享Ruby on rails實現(xiàn)驗證碼技巧
4. 如何運(yùn)用PHP GD庫生成驗證碼
5. ASP.NET1.1驗證碼產(chǎn)生的原理及應(yīng)用