9月24日,2018年全國碩士研究生招生考試預報名的第一天,成都大學的一名大四女生,在網上報名時,竟出現了“別考”字樣的驗證碼,同時在驗證碼上邊顯示一行紅字:您輸入的用戶名或密碼有誤。專門負責全國研究生報名的“中國研究生招生信息網”相關負責人回應說,驗證碼出現“別考”字樣純屬巧合。
據了解,研招網報名系統的驗證碼由漢字、字母+數字、數字計算三個類別組成,考生在輸入驗證碼時這三個類別都可能會遇到。“別考”字樣的驗證碼雖然只是隨機出現,卻讓人聯想到春運期間12306那些變態的驗證碼,似乎與“證明你媽是你媽”一樣無厘頭,驗證碼就是為了為難人類而存在的嗎?
12306網站驗證碼界面
驗證碼誕生于20年前
驗證碼的全名是“全自動區分計算機和人類的圖靈測試”,由卡內基梅隆大學的路易斯.馮.安于1997年提出,其初衷識別真人還是編寫的惡意程序。驗證碼主要體現方式:計算機會自動生成一個問題由用戶來解答,這個問題可以由計算機生成并評判,但必須只有人類才能解答,回答出問題的操作者就可以被認為是人類。
驗證碼之父:路易斯.馮.安
因此,驗證碼就是利用“人類可以用肉眼輕易識別圖片里的文字信息,而機器不能”的原理來抵御惡意登錄,通過識別、輸入這些交互,區分出機器人和真正的人類,防止惡意攻擊或者刷號情況的產生,是一種利用意識區分用戶是計算機還是人的公共全自動程序,在注冊、登錄、網購、交易等各類場景中都發揮著巨大作用,并且在不斷進化中成為網絡中始終不可或缺的技術。另外,英國醫學專家還發現驗證碼或可用于盡早發現癡呆癥風險。
驗證碼的進化:從簡單圖文到無感驗證
早期的驗證碼就是網站提出一些問題,隨著安全防護與破解入侵兩方面的抗衡日益升級,驗證碼的難度在增加,形式也在多樣化。從簡單的字母數字、算術題,到扭曲的字符、模糊的圖片,這些被歸類為知識性驗證碼。
各式各樣的驗證碼
雖然驗證碼對網站平臺有很大的幫助作用,但并不是每個人都不喜歡驗證碼。路易斯.馮.安在2009年的報告中顯示:每天每個美國人要花費1.9秒的時間用來解決驗證碼難題。以美國當年人口3.09億計算,相當于每年要花去他們6795天的時間。
在國內驗證碼一直也是被吐槽的對象。不僅是全國碩士研究生招生考試預報名這樣令人啼笑皆非的驗證碼,還有被廣大網友吐槽的12306“變態”驗證碼。
的
為了節省網友時間,提升操作體驗, 、頂象技術等新一代的驗證碼已經開始向無知識型進化,例如的、頂象技術的無感驗證等。具體在體現就是需要點擊或拖動滑條,甚至不需要任何操作,就能夠完成網絡登錄身份驗證。這種全新的驗證方式良好解決網站安全和用戶體驗兩端的矛盾。
基于人工智能的頂象無感驗證有這四大特點
作為新一代的驗證碼 、頂象無感驗證都是基于人工智能,從傳統的識別驗證方式升級到了基于人的行為來進行判斷,通過收集用戶的行為以及環境信息,結合模型和風控分析來區分人類還是機器。
頂象技術的“無感驗證”
以頂象技術的“無感驗證”為例,主要有以下四大特點:
體驗好:滑動驗證相對于傳統的驗證碼在體驗上已有了很大的改善,但是如果每次操作還是需要滑動依舊繁瑣。頂象無感驗證在驗證碼彈出前會先收集下當前用戶的環境信息,結合后臺的風控和大數據,判斷當前操作環境和行為是否正常,如果正常行為就可以直接放行,也就無需滑動。
破解難:數據采集安全是驗證流程的一個安全前提,直白的說,就是傳到后臺的滑動行為數據必須是用戶滑動產生的。一般的做法是對采集的數據進行加密,對采集數據的進行混淆。這種做法可以說是的通用方案,有一定的安全性,但對“有心人”還不夠。頂象無感驗證的做法是短周期自動變更加密算法+ H5安全防護。其基于AST,采用隨機拆分,動態加解密混淆算法對JS代碼進行混淆壓縮,并且定時自動化更新混淆算法。相對于開源的混淆工具,會使嘗試逆向混淆后的成本極高。再加上短周期自動變更數據加密算法,即使當前的js腳本被破解,但是由于快速的自動迭代,這個腳本很快就會失效,攻擊者不得不再面對下一版完全不同的加密腳本,從而大大增加破解成本。
識別準:行為驗證的核心是通過用戶滑動行為數據識別本次請求是來自于人還是機器。依托于頂象在現實業務攻防中積累下來的數據,經過特征工程和深度學習算法js實現出現驗證碼圖片,可以得到大量的特征。頂象無感驗證利用多種無監督學習模型發現可疑和異常行為并標記為黑樣本,其余為白樣本。接下來,選取行為特征和黑白樣本訓練有監督學習模型,用于線上的實時流量數據的識別。基于每日的增量數據,對無監督學習和有監督學習模型快速迭代訓練,可有效與快速變異的惡意行為進行強對抗。
有大腦:隨著人工智能的發展,攻擊者利用人工智能技術和打碼平臺可以很容易的通過傳統驗證碼。一旦攻破,傳統驗證碼就對攻擊無能為力了。頂象無感驗證結合風控引擎的風險識別能力js實現出現驗證碼圖片,構建了多層安全防護,對識別出的攻擊者可以直接攔截,給客戶最后一層強有力的安全保障。
隨著人工智能的發展,未來的驗證碼的人機對抗,一定是一個多維度、多層次、快速迭代的戰場。