🔥 热搜 🔥
1bxss.mesearch/etc/shells@纽约时间@诉说趣闻search/./\bxss.mehttp:bxss.me/\\bxss.me
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
1bxss.mesearch/etc/shells@纽约时间@诉说趣闻search/./\bxss.mehttp:bxss.me/\\bxss.me
分类
社会娱乐国际人权科技经济其它
查看原文
其他

如果你登录的网站、APP,仍使用这种图片验证码,那你可得当心了!

共创网安 2018-06-21


共创网安

江苏省信息网络安全协会官方账号

 


众所周知,验证码是一种区分用户是计算机还是人的公共全自动程序。它可以防止:恶意破解密码、刷票、论坛灌水,有效防止某个黑客对某个特定注册用户用特定程序暴力破解方式进行不断的登录尝试。所以说,验证码是网络安全的第一道“门”。


网络安全的第一道“门”已被撬开



如今,随着人工智能等高新技术的飞速发展,互联网交互安全的第一道“门”正面临着严峻的挑战,有的验证码正逐渐退出历史舞台。

近日,互联网巨头Google公司对外宣布的重磅消息称:用于做人机判断的图片验证码reCaptcha V1于2018年3月31号完全停止服务。

Google官网截图 ↑ 


为什么图片验证码不再安全?


随着深度学习技术在图像处理上的表现越来越被看好,图片验证码已毫无安全性可言。Google正因为发现图片验证码已形同虚设,才停止了对这类验证码的服务。

reCaptcha V1 网络图片 ↑ 


为了更好地保护我们的企业资产、隐私信息、账户安全等数据,作为网络安全的第一道“门”的验证码早已被应用到互联网的各个领域,人们使用图片验证码也已长达十余年。


全球企业虽然知道验证码的重要性,但仍有部分互联网企业的网站、APP依然使用这种图片验证码作为验证方式。那么,图片验证码reCaptcha V1完全停止服务便意味着使用这种验证码的全球企业网站、APP的虚拟资产以及账号隐私等重要信息面临“裸奔”的风险!


图片验证码的克星



简单型图片验证码 ↑ 

复杂型图片验证码 ↑ 

图片验证码通过增加背景干扰、扩大字符范围、字体类型多样化等方法提高其被黑客破解的难度。因为它的设计理念仍停留在图像学上,所以利用现在的卷积神经网络(CNN)技术是完全可以破解该类验证码的,即使用CNN对多位字符验证端到端的识别,这对于图片验证码来说简直就是致命克星。


图片验证码的识别方法



对于不同的多字符验证码,按照其难易程度分类,可以有不同的处理方式,如“蛮力型”的通用识别方法和“特事特办”的特别识别方法。


“蛮力型”的通用识别方法


流程化作业,基本不太需要在编程上思考太多。

识别步骤如下:

  • 下载一定数量的目标验证码图片,数量根据验证图片的复杂程度而定。

  • 准备好一套标准的CNN图像分类的项目模板,并做好相关的功课。

  • 对项目模板进行简单的参数调整,以适配当前问题的图片尺寸。

  • 将图像输入CNN,对输出的结果和先验标记的类型做误差对比。

  • 不断迭代生成模型。

当然,关于如何获取带标记的数据,目前也有比较便宜的获取渠道,直接在网上搜索“打码平台”后,可发现许多提供 “人工智能”领域的“人工”打码服务的服务商,并且大部分都有明码标价。


“特事特办” 的特别识别方法

此类识别方法仍然是基于深度学习这种通用方法来做的,只是我们可以将一些复杂问题进行适当的简化,这个思想有点类似于“降维”处理的意思。

理论上,利用深度学习能对绝大多数的线性或者非线性问题实现非常好的拟合。

虽然问题越复杂、数据需求量越大的现状是无法避免的,但是我们可以做一些人为的自动化工作来达到目标。


上图中的验证码,无论它们的色彩、字体及干扰项如何变化,字符之间容易分割的事实是无法被改变的。也就是说,此类验证码可以很容易将一个本来要判定N位字符串的问题简化为“判定1位字符,然后将N个这样的图片再组合起来”。这样网络的复杂度可以大大的简化,训练所需要的样本数量及训练时长都会大量减少。


如果验证码图片可以从N维“降维”到1维,并且字符的字体单一(以下图为例),那么问题就更简单了:只需为每个字符分类准备一张图片即可。例如你的验证码范围是[0,9],则只需要从下载的图片集中对0~9这几个数字每个标记一张即可,然后就是使用一些普通的数据增强技术:贴图,绽放,上下自由截取,随机噪点等等,可以生成无限多的数据集了。当然,这些全部是由程序自动化完成。


全球企业网站&APP该何去何从?



面对互联网交互过程中隐藏的安全风险,目前市面上出现了许多新型的验证码,占主导地位的是短信验证码和行为式验证码,适用于各类业务场景。

短信验证码


短信验证码是通过发送验证码到手机的一种有效的验证码系统。

由某些验证码接入商提供手机短信验证码服务,各网站通过接口发送请求到接入商的服务器,服务器发送随机数字或字母到手机中,再由接入商的服务器统一做验证码的验证。


行为式验证码

行为式验证码是一种带点游戏性质的交互验证方式,它在保障安全的同时,为用户带来了更有趣的验证过程,并在一定程度上提升了用户的交互体验,所以受到了许多大企业网站、APP的青睐,算是当前比较流行的一种验证码。

在人机交互的过程中,由鼠标移动产生的行为轨迹是机器难以模仿的。因此结合人工智能技术,并利用交互过程中产生的生物行为特征来进行人机区分的行为式验证技术能在保障用户体验最优的基础上,有效对恶意程序进行封禁。


“无感验证”—验证码的未来趋势



由此我们可以发现:随着人工智能技术的发展和普及,未来互联网交互安全领域的发展方向将是安全与体验的动态平衡。验证码作为互联网交互安全领域的重要环节,在安全性最优的基础上,零打扰、无感化将是未来验证码的发展趋势。


看了这么多,你还会嫌弃以下这些奇葩的验证码嘛?这可都是为了我们的账户安全着想呢~

用鼠标画个画 ↑ 

12306验证码——选出所有的口哨、水母 ↑ 

通过像iPhone/iPad开启时滑动的样式来验证 ↑ 


素材来源:网络、安全牛

由共创网安收集整理

扫一扫二维码   关注共创网安

网络安全环境   你我共同守护


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存