优秀SaaS公司盘点之二:极验验证-用行为特征来革新验证码行业

96
Sting
2016.07.17 09:01* 字数 4003

极验验证(GeeTest)是一家验证安全技术服务提供商。简单说就是一家做验证码生意的公司。不过这家公司的产品跟你平时见到的由各种扭曲的文字、重叠的字母、变色的数字组合在一起的验证码不太一样——它的操作非常简单,用户只要拖动滑块将一块拼图放到图片中合适的位置,验证过程就算完成了。

今年3月,这家公司拿到了红杉资本领投、IDG跟投的2400万美元B轮融资。2014年10月,极验曾获得 IDG 资本的 A 轮投资,种子轮则在 2012年12月 由天使湾投资。

发现验证码的痛点

验证码太重要了。它是“互联网交互端口的第一扇门”,注册登录、发帖留言,几乎网络上发生的一切重要行为都离不开它。

验证码英文名CAPTCHA是“全自动区分计算机和人类的公开图灵测试”的缩写,可见,验证码其实是一种图灵测试,设立它的根本目的在于区分人与机器,尤其是怀有恶意的程序。

目前网络中的黑产团伙主要是通过批量注册和撞库登录来获取大量的账号和用户信息,以实现网络财产盗窃,诈骗,恶意营销等等。为了杜绝这些 “恶意程序”,用户在注册、登录等环节往往需要输入验证码。

互联网刚出现时是没有恶意程序的,但随着互联网用户的增长,这种程序开始有利可图,例如通过程序大批量自动发送邮件来投放广告,这也就是垃圾邮件的由来。

当时雅虎为了解决这个问题,找来年仅21岁的路易斯·冯·安,他设计了最初的验证码:符号图片——一种人可以轻易识别、机器却无法读懂的东西,这样程序就无法完全自动地执行任务。它提高了恶意程序的使用成本,也是今天绝大多数验证码采用的技术。

然而路易斯·冯·安低估了计算机发展的速度,随着学习能力的增强,机器识别图像的能力也在飞速发展着。原本简单的符号图片瞬间就能够被机器“读懂”,为了对抗机器,人们只能够创作出越来越复杂的符号图片。过于复杂的验证码虽然暂时阻挡了机器,但是也给普通人上网造成了困扰。

验证码的设计思路是,人类可以理解图像的含义而机器不能,这样就可以区分进行操作的主体是 “人” 还是 “机器”。但随着OCR 技术的不断完善,机器不仅可以识别图像,而且准确度越来越高。所以传统的验证码已经不再安全。

目前市面上的主流验证码做法有三种:

第一种是商业模式上的创新,在验证码里加入了广告,没有解决安全性问题。

第二种是形式上的创新,通过点击正确答案,不需要再手动输入验证码。这样从用户体验上确实有提高,但本质技术依旧没有改变。大部分公司的方式还是继续深化图片识别技术,在机器的图片识别能力还不强的时候,图片验证码就已经足够,但随着技术的进步,想要阻止机器看懂图片验证码越来越难。

而第三种是通过判断当下的风险数值,推送不同类型的验证码,这种形式会存在一些技术漏洞。比如Google在2014年年底推出了“No CAPTCHA reCAPTCHA”的服务,翻译过来就是“没有验证码的验证码”。

对于大部分人来说,确实不需要输入验证码,只要勾选“我不是机器人”的方框就能完成验证。这其实是Google依靠大数据对用户风险判断之后得出的结果,它分析用户cookies中的历史记录、IP地址等,来确定用户的身份是人还是机器。如果用户的风险等级没有达到可以通过勾选框完成验证的标准,将弹出图片验证码做二次验证。

然而这种方式无疑会引发用户对自己隐私的担忧,而且“历史记录也可以伪造”,吴渊认为极验验证采用的方式能够更好地适应中国市场的现状。

解决方案

开发一个傻瓜也能操作的验证码产品,是吴渊在2012年时就想做的事,当时他还是武汉大学测绘遥感信息工程国家重点实验室的研究员。在他看来,如果要列一个互联网上最讨厌事物的清单,验证码一定榜上有名。

吴渊决定用行为识别颠覆原有的验证码技术。

第一版产品背后的理论与后来的极验验证码一样,都是通过行为识别来区分人与机器。用户只要用鼠标拖动一个滑块去完成拼图,机器就能够据此判定这个行为的操作者是不是真人。

这就是极验验证的产品与传统验证码最大的不同,它采取了与传统验证码完全不同的思路,前者是行为识别,后者是图像识别。总有一天,机器在图像符号识别方面将会超过人类,在大学里一直从事这方面工作的吴渊对此再清楚不过,“以前通过图像来保障安全,如今这条路行不通了。”他如此解释。

既然机器会战胜人类,那么解决这个问题的方法就只有一个:用更聪明的机器去战胜机器。这也就是吴渊和张振宇想到的解决方式——行为识别。当用户使用极验验证码时,他移动滑块的一系列动作都会被记录下来,极验验证的行为判别模型会对拆解这个行为,加以分析,最后形成判断。

这个过程就像机器在对人做步态分析。吴渊认为在现实生活中,人的行为特征是很难被模拟的。同样,极验验证的行为式验证就是去分析人类在网络世界中的步态,拖动滑块的时间、速度、频率、鼠标的角度等信息以及一些随机的个人数据。极验关注的不是用户是否完成了拼图这个结果,而是用户在拖动滑块这个过程中的行为。“就像解答一道数学题目,我们关注整个解答的过程,而不是像传统验证码只关心结果。”吴渊说。

极验的逻辑就是在验证环节融入了 “生物特征学”,利用机器学习的方式,通过对用户鼠标移动轨迹等操作行为的分析,来区分开人和机器。客户只需调用极验的 JS 代码,生成 SDK,便可很快部署。用户具体操作起来,就像解锁手机一样,拖动按钮到适当位置完成拼图即可。同时,整个验证过程有点像玩游戏,平均只需 2 秒左右即可完成,也极大的保证了用户体验。

安全性和实用性如何?

极验验证CEO 吴渊强调,虽然表面上用户只是 “简单的一下拖动”,但是背后的技术逻辑却很复杂。后台能提取超过上百个行为特征,包括拖动位置、拖动速度等显性特征,和服务器的数据交换等隐性特征,以及一些随机性特征。再加上极验的多重行为特征判别模型,最后能够区分出 “人” 与 “恶意程序”。相比传统的验证方式,这种 “行为式验证” 更简单更安全。

举例说明,音悦台是极验的客户之一,此前音悦台使用的九宫格验证,字符扭曲,选项也杂乱,影响了用户的注册体验。而极验就可以应用在此场景,防止积分系统被盗刷。另外,音悦台也会经常举办一些有关艺人投票的活动,使用极验也可保证投票环节的公平性。

据吴渊透露,目前已经有超过 7 万家网站正在使用极验的验证服务,在游戏领域、直播领域,基本达到全面覆盖,包括新浪,斗鱼,聚美优品,宝宝树等网站都是极验的客户。去年10月,极验的每日验证就突破 1.5 亿次。

极验验证未来会怎样?

虽然极验验证的产品理论基础一直都是行为识别,但在转化成为实际产品的过程中,他们做了一些自己的创新。这其中最重要的转变就是将静态的识别模型转变为动态的——这意味着极验验证码能够不断进化,随着服务器识别验证码次数的增多,对人与机器的区分也更加准确。

而这正是吴渊想要机器做到的,极验验证服务器目前每天要处理来自7万多个网站的上亿次验证,这么多数据都在训练极验验证的人工智能模型。它就像是一个用于分辨人与机器行为的AlphaGo,按照吴渊的想法,或许未来连拖动拼图这个步骤都不再必要,用户只需要把鼠标在页面上一滑,验证就完成了。

极验验证是如何推广的?

正是因为极验验证所做的事情是通过技术将原来复杂的验证变得简单,所以这种简单的操作方式反而成为极验验证做市场推广时最重要的优势。张振宇承认,很多做这种企业服务的公司比较羡慕他们,原因之一就是极验验证的产品形态是可见的。

用户只要使用过极验验证的产品,很容易留下印象,极验验证在推广上也正是利用这一点,先从互联网不同行业的典型用户入手,说服它们采用极验验证,在行业内形成口碑效应,如此一来很快就可以实现细分行业内的全面覆盖。

游戏行业是极验验证最早覆盖的一个行业。在张振宇看来,这一方面是因为做游戏的公司一般态度比较开放,愿意接受滑动验证码这种市面上很少见的东西。另一方面,游戏公司对验证码产品有很大的需求。例如游戏公司为了吸引用户,经常会免费发放虚拟货币或道具,如果此时被恶意程序大量冒领会给公司造成损失,但是如果验证码设计得太过复杂,又会影响用户体验。

在游戏领域,他们最初找到一家湖北省省内的游戏网站265G。这家网站的公司在武汉,当时正好在举行一次投票活动,为了防止刷票,它需要一种既对用户友好又安全的解决方案,于是就成了极验验证在这一领域的第一家客户。

在此之后,斗鱼、战旗、火猫这些游戏直播平台开始找上门来。在游戏直播领域,极验验证几乎拿下了所有客户。“把一些标杆拿下来后,就会有其他游戏网站跟风。”张振宇说。

盈利模式

极验验证目前的盈利模式目前有两块,一块是专供企业级用户的付费版本,另外一块就是提供给小网站的含有广告的免费版本。在吴渊看来,验证码属于互联网上的基础服务,“所以我们不希望因为它是收费的,这会让很多客户没办法用起来。”

验证码广告并不是新鲜玩意儿,国外很早之前就有了这种商业模式上的创新。然而,传统验证码广告的推广遇到了很大的阻力。如果一个验证码被植入广告,它的安全性就会降低,因为机器能够更容易猜到验证码的谜底是什么。并且,让用户自己去输入广告语,反而可能激起用户的抵触情绪。

不过吴渊认为极验的验证码可以解决这两个问题,“极验验证码的安全性与图片内容没有关系,用户体验也比传统验证码好,不管是拖带有广告的,还是不带广告的,验证的时间是一样的,都只要两秒钟就可以完成,”吴渊解释道,“用户分析也证明了我的判断:用户对于极验验证码广告的接受度更高。”

在吴渊看来,技术仍然是公司的核心,而新一轮获得的资金也将大部分用于技术的研发与人才的引进。“我觉得作为一个CEO而言,时间规划的能力很重要”,“去年我们需要去解决融资的问题,那么融资就是我最主要的问题,现在可能要解决技术上的问题,技术就是我最核心的问题。”吴渊说。

你也可以加入到讨论群(扫描或加微信号1025792036备注“B2B”)

想了解更多的创业和产品设计?建议来2016产品经理千人峰会,我们请来了国内领先互联网企业的各领域产品专家分享优秀的产品设计理念和案例。

仅需一顿饭钱,参加顶级产品专家一天的分享,让自己能力快速提升,公司收入快速提升。

点击报名参加http://event.3188.la/315019104)或扫描图中的二维码进入报名页。目前是9折优惠期。

B2B创业和产品
Web note ad 1