“ 验证码（CAPTCHA）“的演变史

验证码作为人机交互界面经常出现的关键要素，是身份核验、风险防范的重要部件，也是用户交互体验的第一关口，广泛应用在视频、教育、金融、电商、航旅、互联网、公共服务等行业的网站和App上。

验证码的全名是“全自动区分计算机和人类的图灵测试”，利用“人类可以用肉眼轻易识别图片里的文字信息”，以区分出操作者的真伪，在注册、登录、交易等各类场景中发挥着巨大作用。能够防止操作者利用机器软件程序化的垃圾注册、仿冒登录、盗取信息、虚假领取福利、虚假兑换奖品、破解账户密码等，从而保障企业资金安全、营销安全和信息安全。

验证码已诞生20年

验证码诞生于20年前。2002年，路易斯·冯·安(Luis von Ahn)斯和他的小伙伴在卡内基梅隆第一次提出了“验证码（CAPTCHA）”这样一个程序概念。该程序基于重要假设：提出的问题要容易被人类解答，并且让机器无法解答。

早期的验证码就是网站提出一些问题，随着安全防护与破解入侵两方面的抗衡日益升级，验证码的难度在增加，形式也在多样化。从简单的字母数字、算术题，到扭曲的字符、模糊的图片，这些被归类为知识性验证码。从第三代的验证码开始，已开始向无知识型进化，操作者只需要点击或拖动滑条就完成验证。而第四代验证码，甚至不需要任何操作，就能够自动完成验证，良好解决安全和体验的矛盾。

第一代验证码：图文展示类

第一代验证码的核心是图文识别的判断。操作者只需要识别扭曲、模糊、混淆的图文，并输入正确的内容即通过验证。

第一代验证码设计简单、展现清晰，但是随着技术发展，很容易被攻击者破解。网上搜索“验证码破解”，有几十万条相关的内容。

2018年12月，西北大学公布一项研究结果，“文本验证码”存在巨大安全漏洞，人工智能技术最快0.05秒内可破解。团队基于最新的人工智能技术，建立了一套新型验证码求解器，可轻松破解热门网站的文本验证码，包括谷歌、eBay、微软、维基百科、淘宝、百度、腾讯、京东等网站，破解率超过50%。

验证码的设立很大程度上是为了对抗高频的暴力破解，阻挡坏人的自动机进攻的步伐，所以验证码自身的安全性非常必要的。

第二代验证码：知识问答类

第二代验证码的核心是对相关问题的计算或判断。操作者计算或判断展示的各类问题、异类选项，并选择后输入正确答案即通过验证。

第二代验证码的展示的内容比较复杂，能够有效防止常规的常规的暴力破解。但是也是由于验证码设计复杂，导致操作使用不便。不仅影响正常操作与体验，更消耗操作者时间，由此被用户疯狂吐槽。

第二代验证码过于强调验证码的安全性，导致验证越来越复杂，从而严重影响了正常用户的应用体验。

第三代验证码：行为轨迹类

第三代验证码的核心是行为轨迹的识别与操作。操作者按照需求，通过拖动、点击、拼接等方式，将图文完整合成或移动到指定位置即通过验证。

第三代验证码弥补了此前两代验证码的不足，展示的内容简单，验证又很复杂。由于强调操作者的动手能力，避免静态展示内容屡遭解的问题。不过，由于操作灵敏度和精细化的要求，对老年人的视觉和操作要求比较高，很容易操作失误，导致流程中断或退出。

既安全又易用，孰前孰后？这不仅是技术人员创新的需求，也是运营人员需要平衡的现实问题。企业需求一种能够能够满足安全验证需求，提升操作体验，节省操作者时间，更满足老年人操作习惯的验证码。

第四代验证码：智能验证类

第四代验证码的核心是不再依赖单一维度进行验证，而是根据操作者环境进行智能分析与综合判断。操作者进入服务后，验证码首先对设备、行为、频率、网络环境等综合分析，然后给出综合结果判定，如果判定是合法用户则免验证，直接放行；如果判定为异常用户，则根据风险出现相应验证内容，要求操作者进行二次验证。

第四代验证码重点解决前面三代验证码不足。通过不断提高免验群体，免去正常用户辨别验证码、操作验证码的苦恼，大大提升用户体验；通过数据分析和人工智能判断，降低验证码遭破解的可能，继续保障业务的安全保护能力。

第四代验证码虽然不能完全做到全部免验证，但最大限度降低了用户被打扰的可能性，实现了易用性与安全性的平衡，让鱼与熊掌兼得。