目前普遍採用的諸如字符扭曲、混淆背景等方式的複雜文本驗證碼。(本報陝西傳真)
【文匯網訊】(香港文匯網記者 李陽波 西安報道)在當今這樣一個大數據時代,很多人的生活幾乎都和網絡息息相關,而在使用網絡時大家也會經常遇到「輸入驗證碼」這樣一個必須的環節。事實上,在最近十年,驗證碼已經成為大部分網站和應用程序必備的安全機制之一。然而,目前普遍採用的諸如字符扭曲、混淆背景等方式的複雜文本驗證碼機制,真的安全可靠嗎?日前,來自中國西北大學的房鼎益、陳曉江教授團隊與北京大學和英國蘭卡斯特大學研究團隊在多年研究的基礎上,給出了讓人驚訝的答案:這種文本驗證碼存在巨大的安全漏洞,並不安全和可靠。目前,該團隊已經基於這個問題開始深度研究,希望能利用人工智能技術合成更為安全的驗證碼來抵禦外來攻擊。
全球前50網站驗證碼被輕易破解
據介紹,當前普遍採用的驗證碼方式,雖然過程繁瑣,但是驗證碼卻起著相當重要的作用。它們的目的是使後台系統驗證登錄者身份,即登錄者是真正的「人」而不是「計算機程序」,從而避免由於惡意登錄而導致的密碼洩露、刷票、作弊等現象。因而,各大網站和社交平台都挖空心思,設計了很多獨特的驗證碼。然而,這些看似安全的驗證碼,在研究團隊的面前卻顯得異常脆弱,巨大的安全漏洞讓整個安全防範措施不堪一擊。
西北大學與北京大學、英國蘭卡斯特大學研究團隊,基於最新的人工智能技術建立了一套新型驗證碼求解器。該驗證碼求解器能夠以更高精度、更快時間、更低攻擊成本破解現有方法無法破解的複雜驗證碼。實驗表明,僅利用500個目標驗證碼優化求解器,便可使求解器在0.05秒之內攻破驗證碼,該方法可以攻破全球排名前 50 網站使用的所有文本驗證碼(截至 2018年 4 月)。這些網站包括大家熟悉的諸如谷歌、eBay、微軟、維基百科、淘寶、百度、騰訊、搜狐和京東等網站。而在驗證碼的識別率上,該項研究比2017年發表在Science上的研究成果平均高出20%。在某些類型的驗證碼上,該求解器甚至取得了比人工更高的識別率。研究表明,這是一個巨大的安全漏洞。
人工智能技術或將終結文本驗證碼時代
該研究成果具有重要的科學價值和較大的應用前景,引發全球學術界的關注,研究成果發表在剛剛舉辦的國際信息安全頂級會議ACM CCS (25th ACM Conference onComputer and Communications Security)上,同時亦獲得了最佳論文提名,這也是中國內地在今年CCS上唯一一篇入圍最佳論文提名的文章。
論文第一作者、西北大學信息科學與技術學院在讀博士葉貴鑫表示,該項技術不僅可以應用到文本驗證碼的攻擊上,還可應用到其它基於圖像的攻擊場景中。目前,團隊正致力於利用人工智能技術合成更為安全的驗證碼來抵禦此類攻擊。西北大學信息科學與技術學院副教授湯戰勇亦指出,通過該項研究,希望可以提高業界對文本驗證碼安全性的重視和關注。近年來在人工智能技術取得重大突破這一背景下,文本驗證碼的安全性已變得非常脆弱。因此,亟需考慮使用新型的驗證碼方案。
據悉,西北大學研究團隊正在利用人工智能技術,通過一系列技術改造,開發出既能適合大部分網友易於操作,又能抵禦驗證碼輕易被破解的攻擊。目前研究進展順利,或許在不久的將來,文本驗證碼的時代就會被徹底終結。
責任編輯:滅白