变态的验证码,到底在验证啥?

在文章开头,老狐先给大家玩一个验证码的游戏,猜出图中验证码字母。
图片
请计算出图中验证码的结果。
图片
好了,我们还是回到标题上来,聊一聊验证码是怎么为难我们人类的。
图片
验证码的由来
2000 年,雅虎当时还是全球最大的网络邮箱服务商,雅虎邮箱的用户经常收到许多垃圾和诈骗短信。
图片
这种经历放在今天,就是你下班回到家,发现自己门口摆满了快递。
图片
但注意,其中只有一个快递是你自己购买的,其他的快递都是别人发的垃圾。
你为了找到自己的快递,只好拆了全部的快递。这时,你恐怕只会后悔自己有这一个快递。
当时受到影响的不止雅虎,还有许多互联网公司。
黑客们利用脚本机器人大量注册账户,进行评论注水、黄牛抢票、撞库扫号等影响互联网企业运营的行为。
图片
现如今,“ 天下苦验证码久矣 ”,而在二十年前,则是“ 天下苦脚本机器人久矣 ”。
后来雅虎找到在卡内基梅隆大学的路易斯·冯·安(验证码之父)等人,与他们合作。
图片
*路易斯·冯·安(验证码之父)
他们利用当时的人机验证机制,为雅虎设计了一套防御机器人的程序,并首次提出了“验证码”的概念。
验证码,更专业的名字是“全自动区分计算机和人类的图灵测试”,简称 CAPTCHA。
图片
验证码的作用是让计算机区分人类和计算机。大家熟知的图灵测试是让人区分人和计算机,与验证码作用刚好相反。
因此,有些人也将验证码叫做“反向图灵测试”。
图片
图片
文本类验证码
然而,一切没有那么容易。
早期的验证码非常简单,只是普通的字母组合,干扰的信息很少,而文字识别技术( OCR )的应用甚至要比验证码早 30 年。
没过多久,黑客利用 OCR 成功破解了验证码。
图片
于是,计算机科学家们继续寻找更好的防御机制。
他们在验证码的字符中加入更多的干扰因素,将字符连接、变形、空心,变成动态,加入更复杂的背景。
图片
总之,一切都是为了降低脚本机器人的识别成功率。
然而降低机器人识别正确率的效果是暂时的,降低用户的识别成功率却是永久的。
我经常遇到无法识别的验证码,要么需要刷新,要么输入错误。
图片
此时计算机对我的判定是:你 不 是 个 人!
这句话听起来是不是好像是在骂人。
图片
2008 年,两位英国纽卡斯尔大学的计算机研究人员发布了一篇论文。
在论文中,他们用新的字符分割法来识别微软、雅虎和谷歌的验证码。
微软和雅虎的验证码识别正确率超过 60%,谷歌的验证码识别率较低,为 8.7%。
图片
虽然谷歌这个数字看起来比雅虎和微软优秀,但脚本机器人可以发动大量攻击,100 万次尝试就将有 8.7 万个验证码被破解。
因此,这个结果仍然是无法令人满意的。
在这份论文中,研究人员还列出了用户会混淆的几个验证码:
图片
比如:
图片
开头是字母 “ d ” 还是 “ cl ” ?
图片
这是哪几个字符?
别问我答案,我也不知道。
虽然变形扭曲的字符能提升拦截脚本机器人的效率,但真人用户同样难以辨别验证码,也被阻挡在外。
甚至有研究表明,通过卷积神经网络模型( CNN ),机器识别扭曲字体的正确率还要高于人类。
验证码杀敌一千,自损一万。
简单文本内容的验证码已经无法满足需要,于是,又出现了答题类的验证码。
图片
验证码成了考题,用户输入正确的答案才能通过验证,这种形式的验证码虽然能暂时有效阻挡脚本机器人,但却对用户不友好,受到许多吐槽。
因此,答题验证码并不常见。
毕竟,当你遇到文章开头这种验证码,你可能不会愿意计算出答案,而是直接关闭页面。
图片
文本类验证码面对脚本机器人的攻击,渐渐招架不住,研究人员决定调转方向,开发采用图像选择类的验证码。
图片
图像选择类验证码
相比于文本类的验证码,图像选择类验证码对用户友好很多,只需点击图像,不再依赖键盘输入,而且图像验证码趣味性更强。
例如根据题目要求在几张照片中找出符合要求的照片即可,体验起来像是玩连连看。
图片
2007 年,研究人员提出了图像选择类验证码,之后迅速受到研究人员和用户的欢迎。
毕竟,谁会喜欢考试而不喜欢游戏呢?
2015 年 3 月,12306 为了防止黄牛抢票引入了图片验证码,引发热议。
抢过火车票的小伙伴对此肯定不陌生,为了不被 12306 的验证码难住,不得不调闹钟提早登录 12306。
图片
刚开始,图像选择类验证码还能起到不错的保护效果。
然而,随着图像识别技术的发展,特别是 AI 技术的进步,人们可以训练机器学习分类图片,破解图像。
图片
例如,国外的研究人员就利用 SVM 分类器和卷积神经网络模型等方式,来破解部分图像选择验证码。
来自卡内基梅隆大学的一个团队在 2017 年发布论文表示:
他们通过收集 260 万个验证码和短语,以及 2100 万张图片,经过卷积神经网络的训练,最终可以使机器在 2 秒内以 77% 的正确率通过 12306 的验证码。
图片
为了阻挡脚本机器人的攻击,维护人员不得不制作更多新的验证码图片,利用新的验证码图片还未被机器学习,以此来降低机器的识别正确率。
于是更多奇怪的验证码被制作出来。
然而,我们普通用户成了最大的受害者,各种奇葩的图片验证码让人难以区分,连登录自己的账户,都变成了一件难事。
图片
不过一些研究统计表明,在图片验证码的正确率上,机器在某些方面的图像感知能力也已经领先人类。
图片
既然图像选择验证码也干不过机器,研究人员再次使出绝招:调转方向!
图片
行为轨迹类验证码
无论文本还是图像都是以问答的形式来验证人和脚本机器人,脚本机器人通过学习,表现比人类还要稳定。
于是,研究人员发明了行为轨迹类的验证码,而它的原理就是利用人类在行为轨迹上不如机器稳定。
图片
以我们熟悉的滑动验证码为例:
当我们将左边的滑块向右拖动,后台服务器不仅验证用户能否正确地将滑块填进空缺位置,还要记录用户的鼠标位置,滑块的移动轨迹等信息。
通常来说,相对于脚本机器人,人类的滑动轨迹都是非匀速的,不准确的。
图片
尤其是像我这样肢体不灵活的人,越接近空缺位置,速度越慢,直到合上滑块。
这个过程有很多不稳定的因素,正是通过不稳定的轨迹,后台服务器才会识别该操作来自于人,而不是稳定的脚本程序。
图片
虽然滑动验证码相比之前的验证码是一个进步,但破解验证码的方式也在跟着进步。
2010 年,日本京都大学的研究人员向外界公布了滑动验证码,并于 2012 年投入商用。
2014 年,马德里康普斯顿大学的研究人员就宣布他们破解了滑动验证。
图片
如今,加入了学习模型的智能脚本机器人也能通过学习人的滑动轨迹,通过做出变速,折返、抖动等行为轨迹来模仿人类,骗过服务器。
图片
行为轨迹类的验证码还有更简单无感的方式,点击验证,直接点击按钮,服务器通过收集检测用户的环境信息来判断是真人还是脚本机器人。
这无疑是目前所有验证码中用户体验最好的,但它也并非绝对安全,而且还存在用户隐私泄露的风险。
图片
图片
短信验证和扫脸认证
现在,短信验证已经成为最常见的验证方式之一。
在老狐的手机短信中,两类短信最多。
一类是验证码短信,一类是需要发送“ TD ”才能退订,但退订后又还能收到新短信的垃圾营销短信,而最实用的快递签收短信只能排在第三。
图片
短信验证通过绑定手机号码来确认该用户是否是本人,跳出了网络这一维度,调用了外部设备,安全程度比以上几种验证码有所提升。
但验证码短信恰恰成了这种验证方式的薄弱环节。
不法分子可以通过建立伪基站,截取用户短信验证码,获得登录甚至交易权限。
图片
又或者,通过诈骗获取用户的验证码。
另一方面,短信验证码又是最不友好的验证方式之一,尤其是手机不在的时候,还要找手机,解锁、记住验证码,再输入验证码,这是我最讨厌验证码的时刻。
如今,一些对安全要求较高的验证通道已经卷向了扫脸验证,需要对着手机前后移动,调整角度,眨动眼睛才能登录。
图片
然而这种看似安全的方式也不是绝对安全,百度搜索可看到许多扫脸认证被破解的信息。
图片
图片
验证码的另类敌人
这时老狐不禁想:我们普通用户登录个账号怎么就这么麻烦。
本质上而言,验证码技术的战争是网站维护人员与黑客攻击者之间的竞争。
双方你追我赶,验证码的技术在 20 年里已经多次迭代。
图片
从最简单的输入字母到需要调动用户摄像头的刷脸验证,破解技术也从曾经的 OCR 发展到如今的 AI。
然而,最受伤的却是我们这些普通用户,验证方式逐渐复杂,意味着我们要在验证码上花更多时间和更多手段。
验证码要面对的敌人,并不仅仅是脚本机器人或技术顶级的黑客,还有毫无技术含量的人类。
一些不法分子建立了验证码破解平台,将验证码打包发送至平台,以非常低廉的价格雇佣一批人。
图片
人工输入正确验证码答案,并建立数据库,用来破解验证码,这个方法简单粗暴却有效。
AI 也学会了这一方式。
据媒体报道,一个测试 AI 的机构发现 OpenAI 的 GPT4 会假装成一个视障人员,让人类帮他输入验证码。
没错,AI 甚至学会了欺骗人类免费帮它劳动。
图片
面对越来越接近人类的 AI,区分人类和机器人将会变得越来越困难,验证码只会更加复杂繁琐。
而作为一个普通的网络用户,老狐只希望输入验证码的方式能简单一点。
参考资料:
《复旦大学肖仰华:12306 的验证码已不再安全,未来属于智能验证码》雷锋网
Ya H, Sun H, Helt J, et al.Learning to Associate Words and Images Using a Large-scale Graph[J]. 2017.
Yan, J., & El Ahmad, A. S.(2008, October). A Low-cost Attack on a Microsoft CAPTCHA. In Proceedings ofthe 15th ACM conference on Computer and communications security (pp. 543-554).ACM.
Hernandezcastro C J, Rmoreno MD, Barrero D F. Side-Channel Attack against the Capy HIP[C]// InternationalConference on Emerging Security Technologies. IEEE, 2014:99-104.
编辑:木易