12306网站购票:验证码分12类581种 成功率仅8%
临近春运火车票售票高峰,最近,中国铁路客户服务中心12306网站的购票验证码又难倒不少旅客,“12306验证码击败了99%购票者”“分分钟被验证码虐哭了”……本就需要分秒必争的抢票者对12306吐槽不断。更有人质疑,这样设计的验证码,真有必要吗?如此设计的初衷究竟是什么?
设置高难度验证码有必要吗?
企鹅、牙刷、帐篷、飞机、风扇……记者昨实际体验12306网站,发现目前购票验证码识别难度的确已经升级,从8张或16张图片中选择两种指定物品,比原来4选1、6选1的难度高出许多。还有人曾做过统计,目前12306验证码可分为12类581种,总体排列能多达336980个,网友直接输入的成功率仅8%。
为何要设计成这样?“图片验证码可以比较有效防止刷票软件登录,减少刷票囤票可能。”铁路部门相关人士介绍,网购火车票本意为营造更公平的购票秩序,但近两年出现的第三方软件,打破秩序的同时加大了旅客信息泄露的风险,增加图片验证码难度就是为了防止第三方软件与“黄牛”恶意刷票。
“验证码,说到底是防御者与攻击者之间的较量,12306售票平台的‘对手’就是黄牛、刷票软件。可以说,验证是必要的,但到底采取什么方式,关键是攻击强度和破解难度。12306去年推出的验证码不到12小时就被软件破解,这可能是今年极端加强难度的初衷。”漏洞盒子联合创始人、安全专家谢忱在接受本报记者采访时表示,作为互联网上的常用手段,验证码也经历过几次革新,最初的数字、字母或混合,最大问题在于容易被自动化识别,即使加上底纹,对机器来说也不难。“12306目前采取的图片识别,最大的好处在于必须完全依赖人的理解力和经验进行选择,破解难度是比较高的,安全更有保障。”
伤害用户体验的不算最佳方案
验证码的升级,真能防住刷票软件吗?“今年360、智行都用了,但一到出票就失败,今天干脆啥也没用,到官网自己买,还抢到了上海到岳阳唯一一班高铁票。”网友“daisy”告诉记者。12306客服则表示,“虽然验证码种类多了,但大多数人一两次都可以通过,如果文字或图片不好理解,可以点击刷新重选,从反馈的情况看,并不会成为网友网购火车票的太大障碍。”
“网友的不满,可能是由于12306最终选择的防御手段比较简单粗暴。”谢忱表示,验证码技术发展至今,已出现了许多新的方式,比如短信验证、语音验证等,企业中谷歌、淘宝在“双11”时,以验证+电脑辅助,抓取用户操作行为等方式,效果也较好,12306选择的方式,会增大攻击者的破解难度,但也伤害了用户体验,借助互联网思维评价,还不算最佳解决方案。
“吐槽容易、看热闹容易,从专业上说,其实12306要平衡好防御与用户体验,并不是件容易的事。”谢忱说,继续革新验证码方式,加入新方式都可以,但重要的是需要更多投入、进行更多测试与准备工作。“比如淘宝为了准备‘双11’,提前半年就开始进行技术储备、压力测试。因为企业明白,做好网络通畅与安全间的平衡,提升用户体验,在网络时代至关重要。这些互联网思维,才是12306等公共服务平台向网络时代转型时最需借鉴的。”