2018年2月25日,农历狗年第一次沪牌拍卖结束。根据国拍行(上海国际商品拍卖有限公司)公布拍牌信息:本月个人额度为11,098 辆,参加拍卖人数22万831人,中标率为5%。最低成交价87,600元,平均成交价为87,660元,均价比上月减少276元。虽然沪牌成交价出现罕见回落,但是上海市民却高兴不起来......
不少市民反映,因为验证码难认误输,原本掐好的时间,没想到最后却卡在验证码上,导致出不了价。
沪牌竞拍引发央视关注
通过了标书资格审核,做足竞拍攻略,熟练竞拍模拟器,最后一分钟怎么出价、验证码怎么输都了然于心,最后发现还是抢不到沪牌。不少市民感叹,拍牌基本随缘,脸黑真没办法。
上海某网吧,几乎全是拍牌的市民
但是,事实真的如此吗?
通过观察我们发现,不少媒体有关沪牌竞拍的报道都频繁提到“验证码”,而通过百度搜索“沪牌 验证码”,很快就找到国拍行五花八门的图片验证码。其中不乏有关图片验证码的报道,以及市民在网上的吐槽:
“沪牌 验证码”百度图片
验证码问题由来已久
市民李先生接受采访时吐槽验证码
如此奇葩的验证码,背后到底隐藏着怎样的真相呢?
根据上海市财政局公布数据,由于限行政策出台、豪车品牌降价等原因,沪牌参拍人数近年来不断被刷新。每年超过20万市民参加竞拍,仅手续费收入就过两亿,沪牌拍卖收入更是突破百亿大关。而作为稀缺资源,沪牌竞拍环节中每年高达数十亿的灰色收入,自然引起黑产的关注。
2015年4月,一篇“上海牌照难拍背后的巨大秘密”的帖子出现在网络。图片中显示,一大型机房内,百余台电脑被电线交织,三名男子留影配字:“三剑客,本月拍中985张,高科技是王道”。
某宝输入“沪牌 外挂”仍有商家兜售外挂程序
通过程序黑产能够在最后30秒更快出价
通过破解程序,利用上百台机器,同一时间抢拍沪牌,如此操作可谓是根本不给市民留活路。而网络上疯传的破解程序,更是声称能够完成自动弹出验证码,自动判定出价,并在出价中可以主动防卡,通过提高出价速度与效率,达到提高命中率的效果。如此高调的行为,受到上海市民强烈声讨,并通过社交网络迅速扩散。最终,上海交通委联合市公安局、市通信管理局展开调查,并通知国拍行进行沪牌拍牌系统升级。
从2016年开始,国拍行针对市面上所谓的“秒杀软件”、“拍牌外挂”,一直通过不定期地优化升级系统,力争从技术手段上对抗黑产。作为网络安全第一扇门,国拍行希望通过对“验证码”的规则设置,抵御机器自动化攻击,对机器流量进行有效拦截,从而为市民提供一个相对公平的竞拍环境。
然而,今年国拍行“创新性”图片验证码在围剿机器流量的同时,难辨的验证码让20万上海精英叫苦不迭。面对市民的疯狂吐槽,上海国拍行也是有苦难言......
为了应对破解软件,国拍行的图片验证码变化轨迹大致可以分为三个阶段:
第一阶段,字体清晰度干扰,也就是我们常说的增加噪点,扭曲字符。这种图片验证码也是当前各大政务网站最常见的验证码形式之一,用户勉强能够完成辨识。
但是,机器通过对验证码图片进行灰度化、二值化、去噪点、围点填充、图像匹配、存入字库等系列操作,就能实现字符图片辨识。并且,机器辨识速度是正常人的成百上千倍!
图片验证码破解软件
第二阶段,验证方式判断干扰,一行变两行,香蕉水果行,红灯绿灯行等等,而这种也是被市民吐槽最多的形式。
网上热议的“苹果香蕉行”验证码
然而,随着学习能力的增强,机器识别图像的能力已经超出我们的想象。通过训练,机器能够轻松识别不同场景和物体。辨别苹果香蕉红绿灯,更是毫无挑战!但是,对于上海市民而言,哪怕几秒钟的犹豫,都有可能导致前功尽弃。
通过学习机器已经能够“读懂”图像
第三阶段,逻辑判断干扰,反向输入,跳位输入,颜色识别等等,需要通过大脑思考判断后输入数字。媒体纷纷表示,如此奇葩的验证码,简直要“逼死”上海市民。但是,不论如何变化,仍然是图片验证码。只要是图片字符,黑产都可以通过机器训练学习,予以破解。
为了不让机器钻空子,国拍行可谓是“脑洞大开”,不断增加验证码辨识难度,结果却将市民挡在了竞拍大门之外。原本是保护市民权益的利器,现在却成为竞拍道路上的绊脚石。
我们现在已经知道,随着人工智能技术的不断发展,机器已经能够识别并理解图像的含义。而在今年年初,谷歌宣布的一条消息,也再次证实传统的图片验证码不再安全!
谷歌官网宣布停止图片验证码服务
随着机器识别图片技术的发展,我们可以预见,沿用长达16年之久的图片验证码将走向终结。但由于大众对互联网交互安全防范意识还是较为滞后,图片验证码仍然应用于互联网各个业务场景。
虽然是出于安全的考虑,但是越来越多的网民开始诟病“图片验证码”这一反人类的设计发明。同样随着人工智能技术的发展,这几年针对各类场景改进的验证码开始出现。其中,行为式验证码应该算是目前比较流行的一种解决方案。用户无需再去读懂扭曲复杂的图片文字,而是通过用户的操作行为轨迹来完成验证,进一步提升安全性的同时,兼顾了良好的用户体验。
我们坚信安全和体验的动态平衡是互联网交互安全的目标,在保证较高安全性的基础上,零打扰、无感化将是验证码未来的发展趋势。 未来极验将会继续围绕交互安全,逐渐完成业务服务的上下游延伸渗透,致力成为互联网交互安全领域的综合解决方案技术商。
欢迎持续关注我们微信公众号(geetest_jy),还可以添加技术助理微信“geetest1024”微信,一起交流进步!