3月15日，2015年春運終于落下帷幕。在今年的人口大遷徙里，12306依然成為被關注的焦點。這次被詬病的不是令人崩潰的網站，而是網站上的驗證碼。

“日防夜防，黃牛難防”，為了防止黃牛倒票，12306不斷更新驗證碼形式，最新的一版驗證碼顯示方式被網友戲稱為“史上最奇葩”：用戶需要根據提示，從8張圖片中找到提示中提到的相關物品，比如賀卡、雕像、貝殼、玻璃瓶、搟面杖、熱氣球等，看不清或者沒把握的可以刷新更換。如此確認無誤后，才能登陸或者提交訂單。然而該驗證碼面世不到一天，市面上多個常見的搶票軟件就已經破解該驗證碼。

縱觀其他網站的驗證碼，形式各不相同，有字母或數字的組合，背景有的是純色，有的則是雜亂無章地密布底紋;有的驗證碼是公式，需要算對結果才能正確驗證;還有的則是文字和圖片結合，輸入其中的某些特定文字，方可通過。

或許有些老網民們還記得，剛開始上網的時候是不存在驗證碼的。那么，半途殺出的驗證碼是干什么用的呢，黃牛黨們為何要頻頻破解它?

區分計算機還是人類

在那個沒有驗證碼的時代，并非人人上網的目的都那么單純，伴隨網絡而來的“黑客”，利用一些小程序掠奪網絡資源。這一點從網民們郵箱中日益增多的垃圾郵件中可窺一斑。如果不加以制止，那么垃圾評論和垃圾郵件就可以輕松通過任何一個網站的注冊程序，通過各種方式轟炸人民群眾的眼球。

于是，互聯網時代的“先驅”之一——雅虎，開始尋求解決辦法。一方面要解決用戶們每天遇到的數以百計的垃圾郵件轟炸，另一方面，他們自己的免費郵箱，恰恰又是垃圾郵件的最愛——耗費無數資源所阻止的垃圾郵件，都來自于自己的服務器。怎么辦?2000年，卡內基梅隆的LuisvonAhn使用Gimpy機制來防范雅虎的垃圾廣告信息，并首次提出了CAPTCHA驗證碼的概念。

“驗證碼”其實并不是網友在不同網站上看到的難以辨認的字母組合的代名詞，而是“全自動區分計算機和人類的圖靈測試”的俗稱，顧名思義，它的作用是區分計算機和人類。

“驗證碼對于人來說很簡單識別，但是對于計算機程序來說卻很難自動識別，這樣就阻止了那些意圖通過計算機程序來自動申請更多郵箱發送垃圾短信或者刷票的人。”西安電子科技大學軟件學院副教授高海昌告訴《中國科學報》記者。

魔高一尺，道高一丈

然而，互聯網的安全護衛者與黑客是伴生在互聯網平臺上的兩股勢力，它們在互聯網上互相拉扯。道高一尺，魔高一丈。此時，有人做出驗證碼，彼時，便有高手破解驗證碼。于是，驗證碼由最初的一些簡單的字母，慢慢加入了數字、圖案，字母也分出大小寫，在國內，驗證碼中還會出現漢字。背景也不再是單純的顏色，而是加入了形狀各異的底紋。高海昌解釋說，破解驗證碼的軟件會通過圖像處理、模式分類等方法自動識別出驗證碼的內容，如果驗證碼過于簡單則很容易被猜出。

“其實12306剛剛推出的圖案驗證碼，是比較容易破解的。根本都用不到前面提到的計算機技術。最簡單的方法，從所給的8張圖片中隨機選出兩個圖案作為答案進行嘗試，直到成功為止。從數學角度看，這種隨機的方法就大概有4%的成功幾率。在電腦上，用這種猜測的方法，成功猜對一次所需要的時間連1秒鐘都不到。”高海昌說，“為了增加計算機識別的難度，現在大部分主流網站的驗證碼都進行了扭曲、黏連、加干擾線等設計。那些數字加字母的組合，特別是字母中還要區分大小寫的，字符集就會大很多，也會加大程序計算的難度。在這方面，中文字符有先天優勢，常用的漢字就有3000多個。所以，國內的網站使用中文驗證碼相對還是更安全一些。”

安全性與便捷性無法兼得?

不過，這場無聲的較量暫時不會畫上句點，驗證碼大戰依然如火如荼。或許有人會想，既然驗證碼總是被破解，那么為何不設計一個復雜難認的驗證碼一了百了呢?

驗證碼的推出是保護互聯網資源不被濫用，但是驗證碼本身也占據著網絡資源。而驗證碼的安全性與便捷性，更專業的說法是可用性和魯棒性，是天生的矛與盾。

“目前，驗證碼主要包括文本驗證碼、語音驗證碼、圖形驗證碼。其中，由于生成的便利性，文本驗證碼應用最廣泛，也是12306等各大網站正在使用的驗證碼。語音驗證碼和圖形驗證碼對資料庫和網絡帶寬要求比較高，所以應用不是很廣泛。另一方面，語音和圖形驗證碼的驗證時間較長，可用性比較差，也是不被廣泛采用的另一個原因。”高海昌解釋道，“全球相關的研究團隊都在尋找替代驗證碼的方法，目前有些網站已經不使用驗證碼進行人類和計算機程序的區分，而是使用SMS短信驗證的方式，這可以說是一種很好的替代方式。但是這種也不是無懈可擊，黃牛同樣可以通過注冊一堆的手機號來實現破解。所以驗證碼還會在較長一段時間內存在，而圍繞驗證碼的設計和破解的較量也會繼續下去。