首页
社区
课程
招聘
[原创]验证码的前世今生:从图文识别到无感验证
发表于: 2020-5-13 13:26 5304

[原创]验证码的前世今生:从图文识别到无感验证

2020-5-13 13:26
5304

2017年9月24日,全国硕士研究生招生考试预报名的第一天,成都大学的一名大四女生,在网上报名时,竟出现了“别考”字样的验证码,同时在验证码上边显示一行红字:您输入的用户名或密码有误。专门负责全国研究生报名的“中国研究生招生信息网”相关负责人回应说,验证码出现“别考”字样纯属巧合。
图片描述

 

据了解,研招网报名系统的验证码由汉字、字母+数字、数字计算三个类别组成,考生在输入验证码时这三个类别都可能会遇到。“别考”字样的验证码虽然只是随机出现,却让人联想到春运期间12306那些变态的验证码,似乎与“证明你妈是你妈”一样无厘头,验证码就是为了为难人类而存在的吗?

 

验证码已成为大部分网站和应用程序必备的安全机制之一。虽然过程繁琐,但却起着重要的作用。在输入验证码时,后台系统能通过输入时长来识别登录者是人,还是计算机程序,从而避免因恶意登录导致的密码泄露、刷票、作弊等现象。

 

验证码诞生于20多年前

 

验证码的全名是“全自动区分计算机和人类的图灵测试”,由卡内基梅隆大学的路易斯.冯.安于1997年提出,其初衷识别真人还是编写的恶意程序。验证码主要体现方式:计算机会自动生成一个问题由用户来解答,这个问题可以由计算机生成并评判,但必须只有人类才能解答,回答出问题的操作者就可以被认为是人类。
图片描述
验证码之父:路易斯.冯.安

 

验证码就是利用“人类可以用肉眼轻易识别图片里的文字信息,而机器不能”的原理来抵御恶意登录,通过识别、输入这些交互,区分出机器人和真正的人类,防止恶意攻击或者刷号情况的产生,是一种利用意识区分用户是计算机还是人的公共全自动程序,在注册、登录、网购、交易等各类场景中都发挥着巨大作用,并且在不断进化中成为网络中始终不可或缺的技术。另外,英国医学专家还发现验证码或可用于尽早发现痴呆症风险。

 

验证码的进化:从图文识别到无感验证

 

早期的验证码就是网站提出一些问题,随着安全防护与破解入侵两方面的抗衡日益升级,验证码的难度在增加,形式也在多样化。从简单的字母数字、算术题,到扭曲的字符、模糊的图片,这些被归类为知识性验证码。
图片描述
各式各样的验证码

 

虽然验证码对网站平台有很大的帮助作用,但并不是每个人都不喜欢验证码。路易斯.冯.安在2009年的报告中显示:每天每个美国人要花费1.9秒的时间用来解决验证码难题。以美国当年人口3.09亿计算,相当于每年要花去他们6795天的时间。

 

在国内验证码一直也是被吐槽的对象。不仅是全国硕士研究生招生考试预报名这样令人啼笑皆非的验证码,还有被广大网友吐槽的12306“变态”验证码。
图片描述
Google的 reCAPTCHA

 

为了节省网友时间,提升操作体验, Google、顶象等新一代的验证码已经开始向无知识型进化,例如Google的reCAPTCHA、顶象的无感验证等。具体在体现就是需要点击或拖动滑条,甚至不需要任何操作,就能够完成网络登录身份验证。这种全新的验证方式良好解决网站安全和用户体验两端的矛盾。

 

基于人工智能的顶象无感验证

 

作为新一代的验证码,顶象无感验证都是基于人工智能,基于用户的行为以及环境信息等等按数据信息,结合模型和风控分析来区分人类还是机器,有效防控新型威胁。
图片描述
顶象“无感验证”

 

无感验证基于机器学习模型平台创建优化相关模型,用于验证码机器模拟轨迹防护。这里面包含轨迹耗时检测、异常轨迹检测(包括直线、匀速、聚合曲线等常规信号发生器生成的轨迹和通过异常检测算法发现的离群行为)。

 

在用户访问方面,无感验证通过人机交互行为进行防护。如鼠标在页面内的滑动轨迹、键盘的敲击速率、滑动验证码的滑动轨迹、速率、按钮点击等行为轨迹模型检测来进行防护。

 

在异常检测方面,无感验证使用的其中一种异常检测算法为孤立森林(Isolation Forest),Isolation Forest 中提出Isolation概念,即将异常数据从既有数据分布中孤立,用以实现异常检测的目的,这种算法较基于正常数据点创建profile进行异常检测的算法,如Replicator Neural Network、one-class SVM有更高的异常识别能力和准确度。

 

除此外,二分类器还可以根据既有的验证码数据进行训练,对采集到的人机交互行为数据进行预测区分,进一步提升识别恶意行为的精确度。

 

此为了防止网络爬虫对验证码的防暴力破解,无感验证通过图片乱序切条、图片更新定时加工、图片变异等技术,结合关联性检测进行防护,通过内置规则和策略,判断相关关联性,如同一设备关联性、同一IP关联性、滑动失败关联性、验证次数关联性等,有效识别短时间内异常关联性。

 

此外,在数据传输环节已内置“乱序切图传输“功能,可将背景图片进行乱序切割后传播,大大提升破解难度。

 

无感验证传送门https://www.dingxiang-inc.com/business/captcha


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2020-5-13 13:43 被顶象编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//