Article / 文章中心

在网上投票抢购,为什么总有一款验证码来折磨你?能防机器吗?

发布时间:2022-09-01 点击数:230

这个月,橙柿互动乐队在杭州的比赛进入了海选投票阶段,不少橙友吐槽:投个票为什么这么复杂?每一次为喜欢的乐队投上一票,都需要通过点选汉字的验证才能完成。

其实答案并不复杂,为了防止大家用机器刷票。也就是说,投票之前得先证明一下,你是个人,而不是机器,以此保证票数的公平性。

专家分析,

   新昕科技首席技术官, 曾在去哪儿、易宝支付等支付及航旅等大型平台负责相关的安全,  对此表示:  在新一代的机器学习框架下, 靠视觉来达到安全方面的目的已经不灵了,  

    前企查查负责爬虫的技术专家文先生则表示,  这些只能对付高中水平的黑客,对付机器人,那不可能 。

 

互联网时代,当日常生活的需求被一个个应用所满足,我们会很自然地做出以下动作:输入用户名、密码,紧接着按照指示进行着五花八门的验证方式:点选汉字、滑动拼图、旋转验证,或者计算面积、回答问题……

关键时刻总有一款验证码能折磨到你,既然被诟病那么多,验证码为什么还四处可见?有没有办法替代它呢?

还记得被12306验证码支配的恐惧吗?

验证码最早于2002年由卡内基梅隆大学的路易斯·冯·安等人提出,专业术语叫“全自动区分计算机和人类的公开图灵测试”(CAPTCHA),是一种区分用户是计算机还是人的公共全自动程序

最初的验证方式比较简单,采用的是晃动扭曲的文本形式,既可以避免计算机程序自动识别,又能让人类顺利读懂。

但随着机器越来越智能,当扭曲的字母被机器读懂后,验证方式不得不越来越复杂。

比如,让你做一些简单的动作,从左滑到右将物品顺时针、逆时针旋转到正确位置。或者是让你进行点选的动作,看着图片中七倒八歪的汉字,根据提示依次点击。

再难一点的,有一些验证码考验基本的数学和语文能力。像是按照成语的顺序来点选文字,点击选择面积最大的区域,或者一道加减乘除题。有的验证码还让你回答,唐僧有几个徒弟(算白龙马)?武大郎在家里排行第几?

大家对验证码最有感知的事情或许还是2015年春运抢票。当时,为了防止抢票插件和黄牛党恶意购票,铁路部门不断升级网站验证码,图形验证码的种类逐渐增加。据说当时购票验证码共有581种,这些图片几乎囊括了天文地理、历史政治等多方面内容,为了便于加载,还顺带降低了图片的清晰度,一时间难倒了不少着急抢票的旅客。

无论是哪种验证方式,在更畅快到达我们所需要页面之前,验证码成为了让人烦躁的拦路虎,不得不接受着它的“盘问”。

有的验证码“看不见”不代表没有

“上面罗列的这些常见验证方式,以知识和轨迹行为验证为主,都属于第二代验证码。”蚂蚁集团流量安全专家霖煦说,“为了对抗不断进化的机器对验证码的破解,业界不断提高验证码的交互难度,难住了机器的同时也难住了人类。”

2014年,Google发布了一个专门解读扭曲文本验证码的算法,人工智能技术已经能以 99.8%的准确率解决最困难的扭曲文本,而人类的成功率是33%,第一代验证码就这样被机器攻破了。

不过,从目前来看,这场“人机交战”并不是无休止地“道高一尺,魔高一丈”。最具代表性的依然是12306,你有多久没在买票的时候遇到验证码了?

据霖煦介绍,目前验证码已经发展到第三代,“就是智能无感验证,也是这几年主流的验证方式。”这背后是人工智能为了了解你做足了功课,它可能包括了解设备环境等多个风险判断要素,进行全方位人机风险防控。

以支付宝为例,只有在极少数的情况下会要求你进行有交互的人机验证,去年还新上线了一个叫“挥一挥”的验证方式,逐步替换登录时出现的拖动滑块验证,不只明眼人可用,视障用户也流畅使用,按照语音提示完成指令动作即可通过验证。

但这并不意味着对大家的钱袋子不上心。“安全肯定是首要考虑的因素,验证这个过程还是要有的,只不过是把复杂的验证过程留给后台的安全系统,把简单的用户体验留给大家而已。”霖煦说。

随着人工智能技术的发展和安全专家的努力,现在大部分的验证场景是这样的情况:在你进行登录时,如果安全系统判定是人类操作,则可完全无感知通过;如果判定为疑似机器操作,则会根据风险出现相应验证内容,要求进行二次验证。

验证码消失会是未来的一大趋势

既然验证码的体验这么差,不要它可以吗?答案是真不行。既然人工智能可以聪明到确认屏幕另一面是人,理论上也能模仿屏幕另一面的人骗过同行。霖煦说:“人机验证系统需要牢牢守在用户登录的第一线,就是为了保护大家的钱袋子免受‘撞库’攻击。

通俗点讲,撞库就是一些黑灰产攻击者用非法获取的一批账号和密码在各大平台不停地试,许多人喜欢“一组账密走天下”,就很容易因为在A平台泄露的账号和密码信息,导致在其他各个平台都失去安全保障。

也正因为如此,验证码已成为网络安全的重要一环,成为产业链上的一部分。在杭州,网易就孵化了一个一站式数字内容风控品牌——网易易盾,除了网易自有业务模块外,还给第三方提供各类数字内容的安全服务,这其中就包括各类验证码的问题。

“之所以大家会遇到那么复杂的验证码,原因在于这个网站或者是应用的安全攻防没有做到位,只能以牺牲用户体验为代价,通过越来越复杂的验证方式提升安全性。”易盾总经理朱浩齐说。

但他认为,从更长的时间维度来看,验证码消失是未来的一大趋势,大家对验证的感知肯定会越来越少,甚至到没有,但这并不意味着验证这个动作没有了,“背后大量的工作,正是安全攻防系统在与黑灰产们不停博弈,积累着一次次的经验。”

一个简单的例子,日常消费的时候,很多人喜欢先领个优惠券再买单,商家也希望通过发优惠券、红包等形式吸引和回馈顾客,但令人头疼的是这些奖励经常会被黑灰产薅走。在和这类型黑灰产博弈的过程中,易盾在梳理大量的黑灰产的历史数据库后,针对不同场景特点,输出不同的风控策略和反作弊算法模型,才守住了属于消费者的“羊毛”,而且大多数情况下是在大家毫无察觉时进行了无感拦截。

今年6月,苹果在全球开发者大会宣布将用私人访问令牌(Private Access Tokens)取代验证码。当苹果系统内验证该设备和 Apple ID账户是正常状态,就会向需要验证码的应用或网站提供“私人访问令牌”。

简单来说,用户在苹果系统内,可能就不再需要验证码。

未来,复杂的验证码大概率只会出现在少数特殊场景,比如说涉及到支付和资金。但这个时候,其实需要验证的就不仅仅是“你是人还是机器”的问题,而是“你是不是你本人”的更高级别验证,可能需要通过短信或者是刷脸等核身验证方式了。