臨近春運(yùn)火車票售票高峰，最近，中國(guó)鐵路客戶服務(wù)中心12306網(wǎng)站的購(gòu)票驗(yàn)證碼又難倒不少旅客，“12306驗(yàn)證碼擊敗了99%購(gòu)票者”“分分鐘被驗(yàn)證碼虐哭了”……本就需要分秒必爭(zhēng)的搶票者對(duì)12306吐槽不斷。更有人質(zhì)疑，這樣設(shè)計(jì)的驗(yàn)證碼，真有必要嗎？如此設(shè)計(jì)的初衷究竟是什么？

　　設(shè)置高難度驗(yàn)證碼有必要嗎？

　　企鵝、牙刷、帳篷、飛機(jī)、風(fēng)扇……記者昨?qū)嶋H體驗(yàn)12306網(wǎng)站，發(fā)現(xiàn)目前購(gòu)票驗(yàn)證碼識(shí)別難度的確已經(jīng)升級(jí)，從8張或16張圖片中選擇兩種指定物品，比原來4選1、6選1的難度高出許多。還有人曾做過統(tǒng)計(jì)，目前12306驗(yàn)證碼可分為12類581種，總體排列能多達(dá)336980個(gè)，網(wǎng)友直接輸入的成功率僅8%。

　　為何要設(shè)計(jì)成這樣？“圖片驗(yàn)證碼可以比較有效防止刷票軟件登錄，減少刷票囤票可能。”鐵路部門相關(guān)人士介紹，網(wǎng)購(gòu)火車票本意為營(yíng)造更公平的購(gòu)票秩序，但近兩年出現(xiàn)的第三方軟件，打破秩序的同時(shí)加大了旅客信息泄露的風(fēng)險(xiǎn)，增加圖片驗(yàn)證碼難度就是為了防止第三方軟件與“黃牛”惡意刷票。

　　“驗(yàn)證碼，說到底是防御者與攻擊者之間的較量，12306售票平臺(tái)的‘對(duì)手’就是黃牛、刷票軟件?？梢哉f，驗(yàn)證是必要的，但到底采取什么方式，關(guān)鍵是攻擊強(qiáng)度和破解難度。12306去年推出的驗(yàn)證碼不到12小時(shí)就被軟件破解，這可能是今年極端加強(qiáng)難度的初衷。”漏洞盒子聯(lián)合創(chuàng)始人、安全專家謝忱在接受本報(bào)記者采訪時(shí)表示，作為互聯(lián)網(wǎng)上的常用手段，驗(yàn)證碼也經(jīng)歷過幾次革新，最初的數(shù)字、字母或混合，最大問題在于容易被自動(dòng)化識(shí)別，即使加上底紋，對(duì)機(jī)器來說也不難。“12306目前采取的圖片識(shí)別，最大的好處在于必須完全依賴人的理解力和經(jīng)驗(yàn)進(jìn)行選擇，破解難度是比較高的，安全更有保障。”

　　傷害用戶體驗(yàn)的不算最佳方案

　　驗(yàn)證碼的升級(jí)，真能防住刷票軟件嗎？“今年360、智行都用了，但一到出票就失敗，今天干脆啥也沒用，到官網(wǎng)自己買，還搶到了上海到岳陽唯一一班高鐵票。”網(wǎng)友“daisy”告訴記者。12306客服則表示，“雖然驗(yàn)證碼種類多了，但大多數(shù)人一兩次都可以通過，如果文字或圖片不好理解，可以點(diǎn)擊刷新重選，從反饋的情況看，并不會(huì)成為網(wǎng)友網(wǎng)購(gòu)火車票的太大障礙。”

　　“網(wǎng)友的不滿，可能是由于12306最終選擇的防御手段比較簡(jiǎn)單粗暴。”謝忱表示，驗(yàn)證碼技術(shù)發(fā)展至今，已出現(xiàn)了許多新的方式，比如短信驗(yàn)證、語音驗(yàn)證等，企業(yè)中谷歌、淘寶在“雙11”時(shí)，以驗(yàn)證+電腦輔助，抓取用戶操作行為等方式，效果也較好，12306選擇的方式，會(huì)增大攻擊者的破解難度，但也傷害了用戶體驗(yàn)，借助互聯(lián)網(wǎng)思維評(píng)價(jià)，還不算最佳解決方案。

　　“吐槽容易、看熱鬧容易，從專業(yè)上說，其實(shí)12306要平衡好防御與用戶體驗(yàn)，并不是件容易的事。”謝忱說，繼續(xù)革新驗(yàn)證碼方式，加入新方式都可以，但重要的是需要更多投入、進(jìn)行更多測(cè)試與準(zhǔn)備工作。“比如淘寶為了準(zhǔn)備‘雙11’，提前半年就開始進(jìn)行技術(shù)儲(chǔ)備、壓力測(cè)試。因?yàn)槠髽I(yè)明白，做好網(wǎng)絡(luò)通暢與安全間的平衡，提升用戶體驗(yàn)，在網(wǎng)絡(luò)時(shí)代至關(guān)重要。這些互聯(lián)網(wǎng)思維，才是12306等公共服務(wù)平臺(tái)向網(wǎng)絡(luò)時(shí)代轉(zhuǎn)型時(shí)最需借鑒的。”