12306高難驗(yàn)證碼“虐哭”旅客 媒體:有必要嗎
發(fā)表日期:2015.12.10 訪問人數(shù):577
臨近春運(yùn)火車票售票高峰,最近,中國(guó)鐵路客戶服務(wù)中心12306網(wǎng)站的購(gòu)票驗(yàn)證碼又難倒不少旅客,“12306驗(yàn)證碼擊敗了99%購(gòu)票者”“分分鐘被驗(yàn)證碼虐哭了”……本就需要分秒必爭(zhēng)的搶票者對(duì)12306吐槽不斷。更有人質(zhì)疑,這樣設(shè)計(jì)的驗(yàn)證碼,真有必要嗎?如此設(shè)計(jì)的初衷究竟是什么?
設(shè)置高難度驗(yàn)證碼有必要嗎?
企鵝、牙刷、帳篷、飛機(jī)、風(fēng)扇……記者昨?qū)嶋H體驗(yàn)12306網(wǎng)站,發(fā)現(xiàn)目前購(gòu)票驗(yàn)證碼識(shí)別難度的確已經(jīng)升級(jí),從8張或16張圖片中選擇兩種指定物品,比原來4選1、6選1的難度高出許多。還有人曾做過統(tǒng)計(jì),目前12306驗(yàn)證碼可分為12類581種,總體排列能多達(dá)336980個(gè),網(wǎng)友直接輸入的成功率僅8%。
為何要設(shè)計(jì)成這樣?“圖片驗(yàn)證碼可以比較有效防止刷票軟件登錄,減少刷票囤票可能。”鐵路部門相關(guān)人士介紹,網(wǎng)購(gòu)火車票本意為營(yíng)造更公平的購(gòu)票秩序,但近兩年出現(xiàn)的第三方軟件,打破秩序的同時(shí)加大了旅客信息泄露的風(fēng)險(xiǎn),增加圖片驗(yàn)證碼難度就是為了防止第三方軟件與“黃牛”惡意刷票。
“驗(yàn)證碼,說到底是防御者與攻擊者之間的較量,12306售票平臺(tái)的‘對(duì)手’就是黃牛、刷票軟件??梢哉f,驗(yàn)證是必要的,但到底采取什么方式,關(guān)鍵是攻擊強(qiáng)度和破解難度。12306去年推出的驗(yàn)證碼不到12小時(shí)就被軟件破解,這可能是今年極端加強(qiáng)難度的初衷。”漏洞盒子聯(lián)合創(chuàng)始人、安全專家謝忱在接受本報(bào)記者采訪時(shí)表示,作為互聯(lián)網(wǎng)上的常用手段,驗(yàn)證碼也經(jīng)歷過幾次革新,最初的數(shù)字、字母或混合,最大問題在于容易被自動(dòng)化識(shí)別,即使加上底紋,對(duì)機(jī)器來說也不難。“12306目前采取的圖片識(shí)別,最大的好處在于必須完全依賴人的理解力和經(jīng)驗(yàn)進(jìn)行選擇,破解難度是比較高的,安全更有保障。”
傷害用戶體驗(yàn)的不算最佳方案
驗(yàn)證碼的升級(jí),真能防住刷票軟件嗎?“今年360、智行都用了,但一到出票就失敗,今天干脆啥也沒用,到官網(wǎng)自己買,還搶到了上海到岳陽唯一一班高鐵票。”網(wǎng)友“daisy”告訴記者。12306客服則表示,“雖然驗(yàn)證碼種類多了,但大多數(shù)人一兩次都可以通過,如果文字或圖片不好理解,可以點(diǎn)擊刷新重選,從反饋的情況看,并不會(huì)成為網(wǎng)友網(wǎng)購(gòu)火車票的太大障礙。”
“網(wǎng)友的不滿,可能是由于12306最終選擇的防御手段比較簡(jiǎn)單粗暴。”謝忱表示,驗(yàn)證碼技術(shù)發(fā)展至今,已出現(xiàn)了許多新的方式,比如短信驗(yàn)證、語音驗(yàn)證等,企業(yè)中谷歌、淘寶在“雙11”時(shí),以驗(yàn)證+電腦輔助,抓取用戶操作行為等方式,效果也較好,12306選擇的方式,會(huì)增大攻擊者的破解難度,但也傷害了用戶體驗(yàn),借助互聯(lián)網(wǎng)思維評(píng)價(jià),還不算最佳解決方案。
“吐槽容易、看熱鬧容易,從專業(yè)上說,其實(shí)12306要平衡好防御與用戶體驗(yàn),并不是件容易的事。”謝忱說,繼續(xù)革新驗(yàn)證碼方式,加入新方式都可以,但重要的是需要更多投入、進(jìn)行更多測(cè)試與準(zhǔn)備工作。“比如淘寶為了準(zhǔn)備‘雙11’,提前半年就開始進(jìn)行技術(shù)儲(chǔ)備、壓力測(cè)試。因?yàn)槠髽I(yè)明白,做好網(wǎng)絡(luò)通暢與安全間的平衡,提升用戶體驗(yàn),在網(wǎng)絡(luò)時(shí)代至關(guān)重要。這些互聯(lián)網(wǎng)思維,才是12306等公共服務(wù)平臺(tái)向網(wǎng)絡(luò)時(shí)代轉(zhuǎn)型時(shí)最需借鑒的。”