为什么验证码防不住所有黑产？

前言：2002年，路易斯·冯·安发明了通过字母和数字验证用户身份的验证码（CAPTCHA，Completely Automated Public Turing test to tell Computers and Humans Apart：全自动区分计算机和人类的图灵测试），用来解决黑产自动化注册邮箱进行网络诈骗的问题。

2012年，极验首创了使用AI技术分析用户行为的滑动验证码，用来应对大部分由计算机自动化产生的安全问题，并因而开创了智能验证码的新时代。

自此，验证码融入了人们数字化生活的方方面面。当你注册登录开始使用某个软件、购买一张回家的机票、用会员积分兑换某个商品、在某个游戏社区签到、换绑某个银行APP的联系方式......随着数字化生活的不断深入，验证码作为互联网防护的一种基础工具，始终保护着各行各业的业务场景安全，企业也更加依赖它。

作为国内最早的验证码服务商，尽管极验已经和黑产对抗了12年，给市场头部56.2%的企业都提供过技术支持，却发现单方面依赖验证码并不能防住所有黑产。

验证码的困境

为什么验证码防不住所有黑产？为什么验证码会被破解？那验证码还有用吗？

其实，这是由验证码的产品性质决定的。一般情况下，想要提高验证码的防御能力最简单直接的方式就是调整验证形式的难度。在极验行为验证后台，企业可以一键设置验证形式，比如一键通过、滑动验证、图标点选验证等8种验证形式。但验证形式难度的提高不仅作用于黑产还作用于企业的C端用户，这样一来，就会影响这些用户的使用体验。这是验证码的第一个局限性——衡量验证码的安全与体验。

在线体验：https://gt4.geetest.com/

其次，作为一种基础的安全防护工具，常规的验证码防御手段比较单一。在整个验证流程中验证码无法获取业务数据，仅获取环境检测数据和行为处理数据。由于这些数据与业务之间缺乏关联，这也就导致验证码的防护效果会有所降低。与此同时，为了满足数据合规性的要求，一部分验证技术也受到合规的限制，无法发挥出最大的效果，也就无法全面应对复杂化的黑产攻击。

面对有备而来的黑产，他们采用了多样化、复杂化的攻击工具和手段，那么仅靠单一的验证码工具可能就没办法100%防住黑产流量。

行为验证产品能力通讯流程图

D游戏公司是一家日活可达数百万，黑产盈利空间极大的企业，需要极验帮助其解决黑产自动化完成游戏抽卡与游戏任务的问题。在与黑产对抗的过程中，我们发现黑产投入了大量的工具资源，并且至少操纵着500万个账号。

极验通过图片答案校验的基础策略和POW、IP限制等深度策略，对遏制黑产的自动化操作有了立竿见影的效果。经过一段时间的观察发现，我们定期更新图片验证样式与形式，每次更新后黑产就会停止攻击，这时后台验证请求量就会趋于正常。但防御效果在一周左右会有所减弱，数据开始出现异常，更新的策略无法做到一劳永逸。我们掌握了对方训练模型周期的时间就是一周左右，这也说明黑产已经投入了代理 IP池、环境信息伪造、硬件资源、图形的深度学习模型等多样化、复杂化的攻击工具和手段。

黑产对抗本质上是一个双方博弈的过程，我们的目标是尽可能提高黑产的攻击成本，让他们的收益无法覆盖投入成本，从而促使黑产放弃攻击。然而，如果业务场景的收益足够高，黑产往往会形成团伙，投入更多成本，持续攻击。