驗證碼的未來:扒一扒reCAPTCHA的那些事
責編:cnetsec |2015-03-12 14:50:14reCAPTCHA的誕生及意義
CMU(卡耐基梅隆大學)設計了一個名叫reCAPTCHA的強大系統,讓電腦去向人類求助。具體做法是:將OCR(光學自動識別)軟件無法識別的文字掃描圖傳給世界各大網站,用以替換原來的驗證碼圖片;那些網站的用戶在正確識別出這些文字之后,其答案便會被傳回CMU。
reCAPTCHA是利用CAPTCHA的原理(CAPTCHA的中文全稱是全自動區分計算機和人類的圖靈測試),借助于人類大腦對難以識別的字符的辨別能力,進行對古舊書籍中難以被OCR識別的字符進行辨別的技術。也就是說,reCAPTCHA不僅可以反spam(垃圾郵件),而且同時還可以幫助進行古籍的數字化工作(可以稱為人工OCR)。
每次reCAPTCHA會顯示兩個單詞讓人來識別,其中一個是需要用戶識別的難認詞,另外一個是答案已知的真正的CAPTCHA 詞。軟件將能夠正確識別CAPTCHA詞的用戶看作是人類,當CAPTCHA 詞被正確識別出來后,程序會紀錄用戶對無法閱讀的詞的回答并將其添加到它的數據庫中。這樣就完成了一次人工的OCR識別。過程如圖1.
為了改善軟件的精確性, reCAPTCHA 會將最困難的詞發送給多個用戶并挑選其中有相同答案的作為正確的答案。據說準確率能夠達到99%。用戶每使用一次這個程序,實際上就是在幫助數字重現1908年《紐約時報》上的某一頁,或者其它古書中的一頁,這對考古學具有重大的意義。
下面是一個在使用reCAPTCHA進行注冊驗證的網站實例(圖2):
reCAPTCHA被Google收購
reCAPTCHA在 2009 年被 Google 收購。之后國外陸續有一些網站的 reCAPTCHA 的驗證碼內容發生了變化,所顯示的不再僅僅是古籍文字,而是還有照片——照片的一側顯示的是大家熟悉的扭曲的文字,另一側則是模糊的數字,這些數字無疑就是街道地址,Google 的一位發言人介紹說,該系統并不局限于街道地址,街道名稱甚至交通標志也會被包含進去。圖例如圖3.
Google 讓reCAPTCHA 里顯示 Google 街景的圖片。這樣經常會從街景里提取如街道名稱和交通標志等數據,向 Google 地圖里添加商鋪地址和位置等有用信息。
新版reCAPTCHA–noCAPTCHA
Google在2014.12.03發表了一篇文章《Are you a robot?Introducing “No CAPTCHA reCAPTCHA”》
文章開始講述傳統驗證碼的方式令“真正人類”頭疼,且研究表明現在的人工智能技術已經能夠解決99.8%的驗證碼,因此扭曲的文本驗證方式可能不是一個可靠的方法。
新的reCAPTCHA被Google稱作沒有驗證碼的驗證碼(”No CAPTCHA reCAPTCHA”),他讓用戶只需要簡單的勾選就可以確認你是真實用戶而非惡意機器人,操作非常簡單。
noCAPTCHA只提供了一個復選框,里面寫著“我不是機器人”。當你打鉤之后,谷歌就能利用“風險分析引擎”進行一系列無縫檢查,以此來判斷你是否是真人。
如果noCAPTCHA認為你是真人,那就不用再做什么了,這確實很容易。如果noCAPTCHA認為你不是真人,它就會要求你填一個傳統的CAPTCHA字符串或更先進的字符串,比如從一組圖片中挑選出正確的圖片。
noCAPTCHA的產品經理薛特(Vinay Shet)探討了改良版服務背后的技術,他說復選框聽起來雖然很簡單,但是背后確實很復雜。新的風險分析引擎在用戶點擊復選框之前、之中和之后都會關注用戶參與度來決定你是否是真人。
薛特說,風險分析引擎使用了機器學習技術,這種技術使用了很多的策略,知道普通用戶看起來是什么樣的,這樣下次就知道該檢查些什么了。
現在還不是所有人都能使用新版noCAPTCHA,只有一小部分用戶能夠使用它,想使用新版noCAPTCHA的大部分體驗的開發者要想把它使用到他們的產品中必須使用新的API。目前,Snapchat、WordPress和Humble Bundle和cloud9等也正在測試新系統noCAPTCHA。
下面是cloud9注冊時使用noCAPTCHA的截圖:
總結
reCAPTCHA不僅是一種驗證碼服務,同時也是一項具有重要意義的文化工程。被Google收購之后,reCAPTCHA內容也更加豐富。現在的noCAPTCHA似乎要將人類從“萬惡的驗證碼”時代解放,更加注重用戶體驗,讓真正的人類使用更加方便,讓機器注冊更加困難。
文章來源:FreeBuf黑客與極客(FreeBuf.COM)