提到验证码，你的脑海会出现什么？歪歪扭扭的文字、字母、一堆相似的图像……这些挑战你眼力的验证码到底是要做什么？

验证码，简称CAPTCHA，目前主流的验证码分为三类：文本验证码、图像验证码、音视频验证码，是一种能自动区分计算机和人类用户的公开图灵测试。简单来说，验证码的存在就是为了证明“你“是你，而不是机器。它的生成和评测都不需要人的干预，底层数据库和算法公开，人类很容易通过但计算机程序几乎不能通过。

然而，近日媒体报道，由我国西北大学房鼎益、陈晓江教授团队联合北京大学、英国兰卡斯特大学研究发现，网站上看似复杂的文本验证码存在“巨大安全漏洞”，大多数可被人工智能破解。

这一成果发布于近期由国际计算机协会在加拿大举办的2018年计算机与通讯安全会议上，该会议是国际公认的计算机安全领域的顶级会议之一。

西北大学团队负责人房鼎益教授介绍，团队基于最新的人工智能技术，建立了一套新型验证码求解器。他们综合分析了全球最热门50个网站的文本验证码，包括公众熟知的谷歌、eBay、微软、维基百科、淘宝、百度、腾讯、京东等网站。实验证明，大部分文本验证码可在0.05秒内被人工智能攻破。

近10年来，验证码已成为大部分网站和应用程序必备的安全机制之一。虽然过程繁琐，但却起着重要的作用。在输入验证码时，后台系统能通过输入时长来识别登录者是人，还是计算机程序，从而避免因恶意登录导致的密码泄露、刷票、作弊等现象。

“验证码一旦被人工智能攻破，写个程序就能成为水军，用机器点赞或投票；也能刷抢火车票，这是人工操作做不到的。”房鼎益说。

然而实验表明，大部分网站文本验证码的破解率能够达到50%以上。团队主要成员、西北大学信息科学与技术学院副教授汤战勇说，通过这项研究，希望能提高业界对文本验证码安全性的重视和关注。近年来在人工智能技术取得重大突破这一背景下，文本验证码的安全性非常脆弱，我们急需考虑使用新型的验证码方案。

房鼎益教授也表示，目前研究人员正致力于利用人工智能技术合成更安全的验证码来抵御此类攻击。“我们试图在不影响交互性的基础上，让用户体验更便捷，让机器更难识别，确保网络安全和用户隐私不被泄露，是我们未来的研究方向。”

验证码的设计需要在验证码的安全性和易用性之间取得平衡，然而这并不是一件容易的事情。

有研究学者在《Science》上撰文提出每个CAPTCHA (验证码)机制的本质都是基于一个AI 问题，一种CAPTCHA 机制的破解意味着相对应的AI 问题得到了解决，CAPTCHA 机制的研究是一个双赢的局面。

CAPTCHA 的设计和破解研究呈现出“设计-识别-再设计-再识别”的互相攀升现象，促使CAPTCHA研究不断向前发展，从而带来CAPTCHA 机制的鲁棒性和可用性的不断提升。

鲁棒性（Robustness）：是指一个计算机系统在执行过程中处理错误，以及算法在遭遇输入、运算等异常时继续正常运行的能力。诸如模糊测试之类的形式化方法中，必须通过制造错误的或不可预期的输入来验证程序的健壮性。很多商业产品都可用来测试软件系统的健壮性。健壮性也是失效评定分析中的一个方面。

此次研究发现的存在“巨大安全漏洞”的文本验证码，也意味着验证码机制将迎来更大的飞跃。

参考来源：

• 新华网

• csdn

     往期热门资讯：        

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com