源于光谷的验证革命

作者:《支点》记者 蒋李 实习生 杨佑安点击次数:848   发布日期:2019-03-05

核心提示:技术发展的目标应当是让人更加方便地生活,而非增添烦恼。

 

极验创始人吴渊

 

近年来,不少网站与APP的登录验证越来越复杂。而且随着OCR(光学字符识别)技术发展,这些验证码也无法完全避免“网络黑产”(如数字金融欺诈、恶意广告推送、网络刷票等等)的恶意攻破。

这一背景下,总部位于武汉光谷的交互安全服务商极意网络科技有限公司(以下简称“极验”)创造了一次技术革新:无需输入任何字符,像解锁手机时一样,轻轻拖动按钮到适当位置完成拼图就完成了验证,整个过程平均仅需1.8秒。

经过6年多的探索,该公司已服务了华为、小米、NIKE、Airbnb等全球26万家企业网站与APP,并获得了红杉资本和IDG资本的两轮融资。

 

从字符验证到“行为式验证”

 

极验创始人吴渊是个地道的武汉人,他的团队和创意也在本地孵化。

2009年,吴渊从武汉大学遥感科学与技术专业毕业后,在武汉大学测绘遥感信息国家重点实验室从事科研工作,研究方向为计算机视觉和机器学习。

学习之余,吴渊在大量接触网络世界的过程中,认为“验证码是互联网上最令人讨厌的事物之一”。

为什么?这要从验证技术的发展聊起。

在极验成立前,不管国内还是国外,字符验证码已有十多年历史。

该模式原理是向请求发起方提出包括字符的相关问题,能正确回答的是人类,反之则为机器程序,因为“人能识别字符,而计算机不能”,从而防范垃圾邮件、欺诈软件、机器人程序批量操作等现象。

但随着OCR技术的发展,计算机能轻松绕过字符验证这个关卡。于是乎,各平台为增加安全性,开始在字符形式上大做文章,导致人类也不易于辨别,甚至经常输错。

吴渊找过机构做过测试,字符验证码平均耗时15秒之久,甚至一些用户看到有验证码,就放弃了原有使用该功能的意愿。

随着技术演变,人们创造出比字符验证码更安全却还要复杂的图形验证码。

以12306铁路售票平台为例,经历了简单数字—数字加字母—加减法算式—动态码—添加干扰线的变形字母—图形验证码的转变。

这类模式降低了“网络黑产”的恶意购票占座和账号问题,但对用户也干扰更大。尤其对有视觉障碍、认知障碍的人而言,输对一次比登天还难。

如何让验证变得既简单又安全?吴渊与师弟张振宇交流后,得出的结论是字符、图像已是条“末路”,必须另辟蹊径,探索一些颠覆性的方法。

基于在计算机视觉、机器学习等知识的积累,吴渊、张振宇思考的结果是“行为式验证”解决方案。

1月18日,记者打开了极验合作方哔哩哔哩弹幕视频网进行登录。输入账号、密码后,会弹出一张卡通图片,下面是一条虚拟拉杆,只需将小碎片拖到合适位置拼成一张完整图片即可通过验证。

此过程像游戏一样有趣,平均1.82秒即可完成验证,背后逻辑是通过采集用户拖动过程中的行为数据,判断操作者“是人还是机器”。

“机器无法完全模拟人类的拖动过程,从字符、图片的‘1.0时代’到行为式验证的‘2.0时代’,安全性至少高出40倍。”张振宇对支点财经记者说。

“解决自己实际遇到的问题才是最好的创业。” 2012年6月, 吴渊、张振宇创立极验,分别出任CEO和CTO(首席技术官)。他们的初期目标非常简单,就是在年底做出最初的产品形态。

 

极验联合创始人张振宇

 

“黑产”的敌人

 

公司启动资金是3.2万元,艰辛程度可想而知,熬夜甚至通宵工作是两位创始人工作常态。经过几个月努力,第一版本在2012年底上线。

产品虽然设计得有些简陋,但其背后技术原理与后来产品一样,都是通过行为识别来区分是人还是机器程序。

他们的首个用户,则是武汉大学珞珈山水BBS。设计滑动条时,极验采用了武大风景图作为验证图片,得到了不错的反馈。

不过,校园BBS毕竟是一个相对单纯的空间,要真正意义实现市场化,就得进入“网络黑产”更为肆虐的领域。

以游戏网站为例,黑产从业者往往用机器人程序进行暴力登录、批量重复操作,最广为人知的获利方式就是“薅羊毛”。而验证技术,就是“第一扇关卡”。

彼时,武汉265G是全国颇为知名的游戏门户网站,日均浏览量超过1000万次,注册用户超过5000万。但每次举办福利活动时,265G都会被“羊毛党”所困扰。

“极验成立不久后,265G举行了一次投票活动。为防止被恶意程序大量刷票,他们需要一种既对用户友好,又相对安全的解决方案。”张振宇说。

做游戏行业的公司一般思想较为开放,敢于实验市面上很少见的产品。265G与极验多次接触后,率先使用了“点一下、拖一下就能完成验证”的方式。

合作进展得十分顺利,此后一些同类企业也主动联系极验,希望应用这一技术。

“17173、电玩巴士等游戏门户网站也陆续使用这一产品,到后来斗鱼、战旗等游戏直播平台也都成为了我们的客户。”张振宇说。

技术型创业团队往往短于营销,但由于极验产品能被外界清晰可见,且有些企业拖动页面中会带上极验LOGO,这类无形的宣传弥补了这一短板。

2013年10月,在未进行任何推广的情况下,极验获得超过1300家网站用户,游戏类属大类;2014年,公司开始针对银行、证券等对安全有更高需求的客户提供定制方案。

如今,极验客户已涵盖包括华为、小米、NIKE、Airbnb在内的全球26万个企业网站与APP,每天为客户提供服务超过 10 亿次。相比图片验证码,累计为终端用户节省了280万天以上的时间。

在“薅羊毛”盛行的情况下,这些合作也降低了相关黑产的活跃程度。

而在业务拓展过程中,吴渊和张振宇依旧都不停地追问自己:用户体验还能不能再提高,再提高会是什么样子?

2017年3月,极验推出行为验证3.0解决方案,在保障安全前提下更能让验证如按钮般“一点即过”,整个验证过程只需0.4秒。

“下一阶段可能是验证形式都没有了,直接通过其他行为判断是不是人在操作,将行为验证的潜力更深入地发掘出来。”张振宇说。