顶象技术 · 2022年04月26日

“ 验证码(CAPTCHA)“的演变史

验证码作为人机交互界面经常出现的关键要素,是身份核验、风险防范的重要部件,也是用户交互体验的第一关口,广泛应用在视频、教育、金融、电商、航旅、互联网、公共服务等行业的网站和App上。

验证码的全名是“全自动区分计算机和人类的图灵测试”,利用“人类可以用肉眼轻易识别图片里的文字信息”,以区分出操作者的真伪,在注册、登录、交易等各类场景中发挥着巨大作用。能够防止操作者利用机器软件程序化的垃圾注册、仿冒登录、盗取信息、虚假领取福利、虚假兑换奖品、破解账户密码等,从而保障企业资金安全、营销安全和信息安全。

验证码已诞生20年

验证码诞生于20年前。2002年,路易斯·冯·安(Luis von Ahn)斯和他的小伙伴在卡内基梅隆第一次提出了“验证码(CAPTCHA)”这样一个程序概念。该程序基于重要假设:提出的问题要容易被人类解答,并且让机器无法解答。

01.jpeg

早期的验证码就是网站提出一些问题,随着安全防护与破解入侵两方面的抗衡日益升级,验证码的难度在增加,形式也在多样化。从简单的字母数字、算术题,到扭曲的字符、模糊的图片,这些被归类为知识性验证码。从第三代的验证码开始,已开始向无知识型进化,操作者只需要点击或拖动滑条就完成验证。而第四代验证码,甚至不需要任何操作,就能够自动完成验证,良好解决安全和体验的矛盾。

第一代验证码:图文展示类

第一代验证码的核心是图文识别的判断。操作者只需要识别扭曲、模糊、混淆的图文,并输入正确的内容即通过验证。

02.jpeg

第一代验证码设计简单、展现清晰,但是随着技术发展,很容易被攻击者破解。网上搜索“验证码破解”,有几十万条相关的内容。

2018年12月,西北大学公布一项研究结果,“文本验证码”存在巨大安全漏洞,人工智能技术最快0.05秒内可破解。团队基于最新的人工智能技术,建立了一套新型验证码求解器,可轻松破解热门网站的文本验证码,包括谷歌、eBay、微软、维基百科、淘宝、百度、腾讯、京东等网站,破解率超过50%。

验证码的设立很大程度上是为了对抗高频的暴力破解,阻挡坏人的自动机进攻的步伐,所以验证码自身的安全性非常必要的。

第二代验证码:知识问答类

第二代验证码的核心是对相关问题的计算或判断。操作者计算或判断展示的各类问题、异类选项,并选择后输入正确答案即通过验证。

03.jpeg

第二代验证码的展示的内容比较复杂,能够有效防止常规的常规的暴力破解。但是也是由于验证码设计复杂,导致操作使用不便。不仅影响正常操作与体验,更消耗操作者时间,由此被用户疯狂吐槽。

第二代验证码过于强调验证码的安全性,导致验证越来越复杂,从而严重影响了正常用户的应用体验。

第三代验证码:行为轨迹类

第三代验证码的核心是行为轨迹的识别与操作。操作者按照需求,通过拖动、点击、拼接等方式,将图文完整合成或移动到指定位置即通过验证。

04.jpeg

第三代验证码弥补了此前两代验证码的不足,展示的内容简单,验证又很复杂。由于强调操作者的动手能力,避免静态展示内容屡遭解的问题。不过,由于操作灵敏度和精细化的要求,对老年人的视觉和操作要求比较高,很容易操作失误,导致流程中断或退出。

既安全又易用,孰前孰后?这不仅是技术人员创新的需求,也是运营人员需要平衡的现实问题。企业需求一种能够能够满足安全验证需求,提升操作体验,节省操作者时间,更满足老年人操作习惯的验证码。

第四代验证码:智能验证类

第四代验证码的核心是不再依赖单一维度进行验证,而是根据操作者环境进行智能分析与综合判断。操作者进入服务后,验证码首先对设备、行为、频率、网络环境等综合分析,然后给出综合结果判定,如果判定是合法用户则免验证,直接放行;如果判定为异常用户,则根据风险出现相应验证内容,要求操作者进行二次验证。

05.jpeg

第四代验证码重点解决前面三代验证码不足。通过不断提高免验群体,免去正常用户辨别验证码、操作验证码的苦恼,大大提升用户体验;通过数据分析和人工智能判断,降低验证码遭破解的可能,继续保障业务的安全保护能力。

第四代验证码虽然不能完全做到全部免验证,但最大限度降低了用户被打扰的可能性,实现了易用性与安全性的平衡,让鱼与熊掌兼得。

推荐阅读
关注数
2
文章数
21
业务安全引领者,让数字世界无风险
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息