隨著互聯(lián)網技術的發(fā)展�����,黑產也越來越多�����,與黑灰產的對抗也越來越激烈��。在這場你追我趕的博弈中��,驗證碼扮演著守門員的重要角色�����,它在其中起到了提高攻擊門檻���、處置惡意流量、輔助風險判別的重要作用����。
驗證碼誕生與發(fā)展歷史
驗證碼(CAPTCHA)是“全自動區(qū)分計算機和人類的公開圖靈測試”的縮寫��,又名HIP(human interaction proof),即“人類交互行為證明”�。下圖為最早的驗證碼����,于1997年設計公布并申請了專利。此驗證碼屬于字符型驗證碼����,是基于閱讀行為的人類交互行為證明。
1����、起源
驗證碼的起源要和刷票行為聯(lián)系到一起,1999年slashdot網站發(fā)起在線投票����,票選全美計算機科學專業(yè)最好的學校。但是投票系統(tǒng)設計的很簡單�����,只能支持基于IP地址的限制條件���,所以學生編寫腳本進行了批量刷票���。
于是驗證碼的提出者Luis von Ahn博士與雅虎網站合作開發(fā)了EZ-Gimpy字符驗證碼����,部署于雅虎的郵箱注冊界面��,阻止機器腳本大量注冊免費郵箱����。
2��、博弈的開始
3�、
“光學字符識別技術”成為了字符驗證碼的第一個對手。這項技術的兩種主流實現(xiàn)方式包括:圖像識別算法�、機器學習模型。
2003年Greg Mori等利用改進的Shape Context算法在雅虎的EZ-Gimpy數(shù)據(jù)集上達到93%的識別率���。需要注意的是�,EZ-Gimpy相較于當今的字符驗證碼更為簡單��,驗證碼上僅包括字典中出現(xiàn)的561個短單詞字符���。所以��,這項工作能夠達到如此高的識別率也是由于利用了EZ-Gimpy驗證碼公開的生成邏輯�。
2005年Kumar Chellapilla等利用CNN模型進行基于單字符識別的驗證碼識別,通過7組對比實驗論證得出�����,該CNN模型在識別扭曲單個字符任務中的表現(xiàn)遠超人類�。
4、驗證碼的進步
驗證碼誕生至今�,各種加強版字符驗證碼和其他形式驗證碼層出不窮,其發(fā)展趨勢可以總結為兩點:豐富題目類型�、采集行為數(shù)據(jù)。
如下為谷歌reCAPTCHA項目的三次迭代版本���。第一版選取兩張扭曲的字符圖片拼接后作為題目展示��,本質仍屬于字符型驗證碼����。該版本于2018年3月31日終止服務�。
當前第二代reCAPTCHA項目更為常見,包括九宮格的圖片驗證以及判斷用戶行為的checkbox����。當用戶點擊checkbox時�����,會有部分瀏覽器數(shù)據(jù)及用戶瀏覽行為數(shù)據(jù)被發(fā)送至reCAPTCHA后端���。如果根據(jù)以上數(shù)據(jù)難以判斷或判斷為有風險用戶,會彈出九宮格圖片進一步驗證��。
第三代reCAPTCHA項目直接拋棄了有界面和交互的驗證碼形式����,而變身為角落中的一個圖標,代表隱私協(xié)議�����。網站主部署此系統(tǒng)后��,其JS代碼會持續(xù)收集用戶行為數(shù)據(jù)�����,進行用戶風險評分(返回一個0~1的float分值����,分數(shù)越低代表風險越低)。
從reCAPTCHA項目三個版本迭代發(fā)展過程中���,驗證碼從字符驗證到基于用戶行為加圖片驗證模式��,再到完全依賴用戶行為數(shù)據(jù)�,可以看出其20年來的發(fā)展趨勢����,即探索更加豐富直觀的驗證形式和基于多維度數(shù)據(jù)進行風險判別。
5��、新型驗證碼的探索
在字符驗證碼的安全性受到挑戰(zhàn)以及被廣泛反應用戶體驗較差后����,工業(yè)界和學術界都在積極探索對用戶更加友好且安全的驗證形式。
如下左圖所示為骰子驗證碼�,由Dice Captcha于2010年獨立制作開發(fā)。相較于字符驗證碼����,該方法更加友好、直觀�、易用����,并且提升了趣味性�。但該方法安全性有限,可暴力破解���,未得到廣泛應用����。而右圖所示的驗證碼僅存在于論文中�,安全性很高,但用戶體驗較差�。
下圖中名為DotCHA的驗證碼于2019年提出,也僅存于論文和demo中�。它利用散落在三維空間中可交互的動態(tài)點,組成字符���,供給用戶識別���。
此外還有基于傳感器�、小游戲等形式的驗證碼,而在設計一款新的驗證碼時�����,需要同時兼顧易用性與安全性兩個方面。
6��、行為式驗證
除探索更加豐富的驗證形式外�����,各款驗證碼都在嘗試利用更多維的數(shù)據(jù)來提升判斷準確性���,其中一個主流的代表是行為式驗證���。
如下左圖所示,是傳統(tǒng)的基于圖片或拼圖的驗證碼與行為信息判斷的結合��。而右圖則是用戶體驗更好的“無感驗證”形式���,即利用用戶之前的行為數(shù)據(jù)進行初步風險判定�����,后面由Google推出的第三代recaptcha就與這種形式不謀而合���。
此外���,目前大多數(shù)驗證碼還會收集設備環(huán)境信息、網絡信息等數(shù)據(jù)進行輔助判斷��。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
