模糊纠缠，难辨难认，许多人都有与此类验证码斗争却败下阵来的经历。小小不便的背后，若这些验证码被电脑程序攻破，电脑轻松通过任何一个网站的注册程序，我们的邮箱将可能被垃圾邮件充斥，木马和爬虫程序盗取用户信息也将更加容易，同时，网站、论坛留言板或许将被垃圾留言及数以千万记的广告轰炸。我们可能再难赶在贩票的“黄牛”前买到一张回家的火车票。

“安全无小事，验证码就是要站好网络安全的第一班岗。在信息安全领域，人为盗取的信息只占很少部分，绝大多数是因为木马、爬虫等计算机程序自动盗取信息。”面对日新月异的验证码破解手段，江南平台,江南(中国)软件学院高海昌副教授一直默默地从事着提升验证码安全性和可用性的工作。

近日，高海昌提出一种简单通用的新的文本验证码自动识别方法，一举破解当前所有使用基于字母和数字识别作为验证码的网站。至此，包括全球流量排名前20的所有网站（Google、Facebook、Youtube、Twitter、Yahoo、Baidu、QQ、Amazon、Taobao、Sina、eBay等）所使用的验证码被首次全面破解。团队共同撰写的论文《A Simple Generic Attack on Text Captchas》被信息系统安全顶级国际会议NDSS’2016正式全文接收。

高海昌：白帽黑客

“我们平时所说的验证码，是‘全自动区分计算机和人类的图灵测试’的俗称。”高海昌解释说，“验证码可区分操作行为的是人还是计算机，目的是保护互联网资源不被滥用。常见的验证码主要包括文本验证码、语音验证码、图形验证码。”

为了加强对网络信息的保护，有效遏止计算机程序恶意窃取信息，大多数网站都使用了网页验证码强制进行人机交互来验证当前用户是否为合法用户。验证码可有效防止电脑程序自动注册、登录及在留言板界面发布广告等垃圾信息，还可以防止黑客通过暴力破解方式不断地进行尝试登陆，以对某特定用户密码信息进行破解及盗取相关信息。

“验证码测试问题由计算机自动生成，经人类解答并输入答案，最终由计算机进行评判。这些测试绝大多数可以被人类完成而机器不能或很难通过。因使用简便，基于字母和数字的文本验证码是当前使用最广泛的验证码，其安全性依赖于字母和数字的扭曲变形、相互粘连重叠以及背景加噪点和干扰线等干扰效果。”高海昌介绍说。

文本验证码最为常见，因而若存在漏洞，后果也最严重。“我们用一种简单方法，全世界首次实现所有现存主要文字验证码的破解。可以说，从此以后，文本验证码的研究可以画个句号了。”高海昌说。

“总得来说，我们的破解思路就是‘拆散’再‘组合’。”随意选择一组文字验证码，使用方向滤波器，经0、45、90、135度四个方向滤波后，原验证码被分解成为只有这四个方向线条的四张图片。经过这一步，原先粘连在一起的字符便被拆散。随后，再把这些线条重新组合在一起。最后，运用动态规划算法将可能的所有结果都组合出来，运用K近邻算法，与样本库中的字符对比，找到最佳组合，也就是要输入的结果。”