Google驗證碼進化史:越來越方便,卻也交出越來越多的隱私

2019.07.11 by
愛范兒 ifanr
愛范兒 ifanr 查看更多文章

愛范兒連接全球創新者及消費者,跨界技術、文化、消費及創新,致力消費科技領域的產業評論、產品報導及社群連接,創造高品質的消費樂趣。

shutterstock
嫌驗證碼麻煩嗎?它可是保護你個人隱私的一道重要防線。

即使現在網路已經全面滲透到我們的生活,但它依然只是現實的物理世界在虛擬的網路空間中再編碼後的呈現。

這就意味著自動化程式同樣可以模仿人的行為,同時,因為機器速度更快且不知疲倦,它會大量被用於在論壇、網站、app中發佈行銷資訊。而且,在監督不足的情況下,利潤越高的行業往往底線越低,自動機器人發佈的垃圾資訊經常也和賭博、詐騙、色情等不當產業有關。

一些自動化程式還會嘗試以「撞庫(編按:拿網路上已外洩的使用者帳號和密碼,在其它網站或平台進行比對,只要比對一次成功,就可以再另外的平台上,竊取更多該使用者的資料。)」的方式竊取使用者帳號、密碼,給網站帶來巨大的安全隱患。

愛范兒

驗證碼正是為了解決這樣的問題而生的。它也是個自動化程式,不過存在目的是為區分使用者到底是機器人還是真實的人。

自動生成的扭曲的文字和圖案是最常見的驗證碼,雖然它可以有效地識別出很大一部分自動化程式,但它對真人用戶的體驗並不好。而且隨著機器學習的發展,它的破解也越來越容易。

驗證碼風格的藝術品
愛范兒

Google的驗證碼團隊做了很多創新,比如創新地把驗證碼用於紙質典籍數位化。而在扭曲文字、圖片的主流路線之後,Google的團隊還嘗試了新的思路,透過追蹤點擊行為等來識別用戶是否是真人,用戶只需要點擊「我不是機器人」的核取方塊進行驗證即可。

在最新版本的Google驗證碼reCAPTCHA v3中,你甚至什麼都不用做,系統就在悄悄核驗當前的用戶是不是機器人。技術正在讓「驗證碼」越來越隱形,人類不必再為了自證身份去做「反向圖靈測試」,但驗證碼的進步也帶來了一些新的問題。

初代驗證碼CAPTCHA:歪歪扭扭的文字是為了故意讓機器人看不懂

卡內基梅隆大學校舍不大,學校排名也和常春藤盟校也有一定差異,但它有全美排名第一的電腦科學專業。

這所學校出了13名圖靈獎得主,其中一位,赫伯特·西蒙(Herbert Simon)還因為把電腦科學和系統理論、運籌學結合用於管理決策問題,開創了「決策理論」而在3年後獲得了諾貝爾經濟學獎。

在嚴肅的學術研究之外,卡內基·梅隆大學還有一些對電腦和網路行業影響深遠的「小發明」,比如給了emoji產業靈感的第一個笑臉符號 :-),以及「煩人」的驗證碼。

2000年,從杜克大學數學系畢業,來到卡內基梅隆大學讀電腦科學博士的路易士·馮·安(Luis von Ahn)和導師一起提出了驗證碼的概念,全稱是全自動區分電腦和人類的公開圖靈測試(英語:Completely Automated Public Turing test to tell Computers and Humans Apart,簡稱CAPTCHA)。

路易士·馮·安
愛范兒

圖靈測試由電腦先驅人物,「人工智慧之父」阿蘭·圖靈(Alan Turing)提出,如果一台電腦能和人類對話而不被識別出是機器人即被認為通過圖靈測試。驗證碼也是一種圖靈測試,不過它的目的不是為了篩選出人工智慧,而是識別出真實的人類用戶。

一種最常見的驗證碼是由演算法生成的扭曲的文字,這麼做是為了防止被光學字元辨識程式(OCR)自動識別出來。

愛范兒

還有一些更現代的方法包括在字母上加一條曲線、將不同的字母疊在一起或者添加複雜的背景。

愛范兒

圖片驗證碼也大行其道,包括要求使用者識別圖片的物體,以及把缺失的部分拖到正確的位置和拼圖等。

愛范兒

不管形式如何,這些驗證碼有一個共同的原則:人類很容易識別,但對電腦來說非常困難。一位人工智慧研究者在自己的播客中有一個更詳細的解釋,為避免CAPTCHA過難而使網站損失用戶,通常要求人類用戶通過測試的時間小於30秒,用戶通過率大於90%(引用自CSDN用戶luolan9611)。

還有一個不被普通人知道的點,驗證碼被稱為一種「圖靈測試」,所以它在設計之初就有促進人工智慧發展的初衷。

根據定義,驗證碼的演算法必須公開,這樣做的目的是為了讓破解驗證碼的過程成為解決人工智慧問題,例如圖像識別、準確度更高的OCR等,破解者不必花費心思透過逆向工程推演演算法。

再次引用上文提到的研究者的部落格文章:

CAPTCHA機制的研究是一個雙贏的局面。CAPTCHA的設計和破解研究呈現出「設計 – 識別 – 再設計 – 再識別」的互相攀升現象,促使CAPTCHA研究不斷向前發展,同時CAPTCHA機制的穩健性和可用性也可以不斷提升。

reCAPTCHA:驗證碼還能用於紙質典籍數位化

驗證碼發明人路易士·馮·安(Luis von Ahn)除了是個電腦科學家,還是一位企業家,但是是那種相信人性美好,希望借助技術,在創造商業價值的同時能附帶創造社會價值的人。

馮·安的博士論文完成於2005年,他創造了一個新概念「人本計算」(Human-based Computation),即把人的腦力和電腦的能力結合起來,完成兩者都無法單獨完成的工作。具體的實現方式上,「眾包」是最典型的一種,馮·安也被視作眾包的先驅。

不僅是理論提出者,馮·安也是實踐的先驅。驗證碼已經被廣泛用於各大網站、app中,有資料顯示,這項技術在推出後的短短五年內,每天就有2億個驗證碼在被使用。

很快,他提出一個新的項目reCAPTCHA,主要用於把網路出現前的紙質典籍數位化。思路是這樣的:驗證碼系統會向使用者出示兩個單詞,第一個是正常的自動生成扭曲文字,另外一個則來自紙質典籍的掃描版,它們通常因為年代久遠、紙上有污點等原因難以被OCR程式識別。

愛范兒

用戶輸入驗證碼時,只要第一個單詞輸入正確就可以被判別為人類,輸入第二個單詞就成了「義務勞動」。系統會預設這個單詞輸入正確,並與其他用戶的輸入結果進行對比,如果多名用戶的答案一致,這個詞的數位化就完成了。

不要小看這樣一個詞一個詞的積累,推出之初,reCAPTCHA每天就能錄入3000萬個字元。2011年,它已經完成了全部的《紐約時報》數位化的工作,這份從1851年開始出版的老報紙有大量純紙質版的內容。

2009年,Google看上了這個項目的價值,並出手收購了reCAPTCHA,它也被Facebook、Twitter、CNBC等使用。在説明這些流量最大的網站抵禦自動化程式騷擾的同時,Google圖書中難以被自動識別的掃描版的古老典籍同樣借助reCAPTCHA得以數位化。

愛范兒

此後,reCAPTCHA還被用於説明機器學習系統提高圖像識別率,運作原理和前述方法一樣,機器難以辨別的門牌號、貓狗照片都被拿來當做驗證碼考人類。

識別驗證碼的同時,使用者實際在幫機器學習系統標注訓練集,所以,AlphaGo背後的人工智慧技術,可能早就有你的功勞。

愛范兒

順便提一下,在reCAPTCHA被Google收購後,馮·安還有很多基於「人本計算」的項目,比如「帶著目的玩遊戲」(Games With A Purpose,簡稱 GWAPs),遊戲由兩個人同玩,如果兩名玩家對一張圖片的描述一致即可得分,實際上,遊戲的同時也在給人工智慧標注資料。

2014年,馮·安創辦了一家更知名的公司——多鄰國(Duolingo),這個學外語的應用同樣採用「眾包」的模式,使用者在免費學習一種外語時,也在反過來協助建構多鄰國的語言課程,讓其他人也能多學習一種語言。

NoCAPTCHA:不用輸入字元的新驗證碼,以及它帶來的隱私風險

一家公司的「基因」通常和個人一樣,與生俱來難以改變。

收購reCAPTCHA後,Google對它進行了改進,以Google的方式。

2014年,Google推出了新的驗證碼系統——NoCAPTCHA reCAPTCHA,名字有點拗口,核心是不需要輸入驗證碼的驗證系統,使用者只需要點擊一個「我不是機器人」的核取方塊,Google就能判別你是不是真正的人類。

reCAPTCHA的口號也從「別發垃圾信息了,讀點書吧」(Stop Spam. Read Books),變成了驗證碼最初的目的「對人類簡單,對機器人困難」(Easy on Humans, Hard on Bots)。

NoCAPTCHA的工作機制是跟蹤用戶點擊驗證框之前、當時和之後的行為,比如在網頁上花費的時間,從而來判斷是否是人為操作。

如果你被誤判為機器人,還有一個「申訴」的機會,還是從一堆圖片中選出正確的目標。

愛范兒

2018年,Google再次升級了reCAPTCHA,在這個被稱為v3的版本中,用戶已經連「我不是機器人」的核取方塊也看不到了,系統會在背後悄悄分析使用者流覽網站的方式,並根據其行為的惡意程度給出一個風險評分。如果用戶評分過低,網站可能會要求使用者輸入更多的資訊來證明自己的身份。

目前,已經有65萬個網站使用了最新的reCAPTCHA v3,而使用reCAPTCHA的網站超過了450萬,包括top 1000網站中的25%。

在Google看來,這是最好的體驗,使用者不需要任何輸入,而且它很難被破解程式學習。唯一的問題是,Google掌握了越來越多的用戶隱私。

據FastCompany報導,兩位元研究者對reCAPTCHA v3進行了測試後發現,用戶是否使用Google Cookies是決定評分的一個重要因素。也就是說,如果使用者選擇讓Google記住登入資訊的話,會得到更高的分數,沒有登入Google帳號,或者使用Virtual Private Network(VPN)或者Tor Browser(洋蔥流覽器)通常會被提示高風險。

愛范兒

另外,使用reCAPTCHA v3的網站被鼓勵在網站的每個頁面放置reCAPTCHA v3程式碼,而不只是在登錄頁面,因為reCAPTCHA系統會跟蹤使用者的所有流覽行為進行分析。

兩個因素結合,Google幾乎可以獲得所有用戶的行為。在FastCompany的報導發出後,Google確認,使用者使用的硬體資訊即裝置上的軟體會被發送回 Google伺服器,但它表示,獲得的結果「只用於分析用戶行為,不用於個性化廣告推薦」。

2018年,Facebook遭遇了史上最大的危機,除了商業上的廣告收入增速放緩,在監督和公眾層面,作為最大的社交網路和線上廣告公司之一,Facebook並未盡到保護用戶隱私安全的責任,使民眾產生疑慮。Google也牽連其中。但一個不可逆轉的趨勢是,我們的一舉一動都在被網路巨頭「記錄在案」,從這個層面來看,在隱私保護上,監督部門應該對大公司有更高的要求。

責任編輯:張裕君、蕭閔云

本文授權轉載自:愛范兒

延伸閱讀

每日精選科技圈重要消息