分享好友 站长动态首页 网站导航

越来越复杂的验证码的背后是什么

网友发布 2022-10-14 05:21 · 头闻号站长动态

近日,听到身边朋友吐槽,“验证码太烦了”。这位朋友要登录某个网站时,要输入验证码,验证码是各种形状相近图形,要求点击相应图形,就能通过。

这个要求看似简单,但这位朋友点了三次才通过验证,最后一次点击完成后,页面跳出了一行字——“恭喜验证通过!你不是机器人。

”无独有偶,近期网上也有不少关于“验证码越来越变态”的吐槽:现在上网输入验证码堪比做考题;网购验证了10次才通过,原本愉快的心情荡然无存;感觉被短信验证“玩弄”了,只因从短信界面回到验证界面后却被提示“你的验证码已失效”......这些吐槽还勾起了不少网友被12306网站验证码支配的恐惧。2015年,如果想顺利买到火车票,抢票页面的“余票充足”并不能代表能买到,只有在付款前的验证码环节顺利通关,才算成功一半。但是,12306网站的验证码,要么是在一群明星的照片中找出影帝影后,要么是在一堆山寨商品中找出真货,更过分的是在一打方言中选出“海南话”……彼时,被卡在验证码环节抢不到票的倒霉蛋不计其数。

据360浏览器的大数据,用户一次性填对验证码的概率只有8%,两次输入正确的比例也不过27%。

其中,中国铁路12306平台为了防止黄牛刷票,不断增加验证码难度,仅2015年,就推出了581种验证码方式。可能如网友所言:12306并不是很想卖你车票......请回答:你是机器人还是人类I AM A SUBTITLE01当初,发明验证码的初衷并不是想为难人类,而是想为难机器人。但如今,被验证码气疯成了人们的日常。

2000年初,刚刚接触互联网的初代网民,也许还记得那时最头疼的事——总是删不完的垃圾邮件,随意弹出的攻击页面和永远快人一步,以及利用插件抢票的黄牛。刚刚兴起的互联网,无异于一条自行车都能上的高速公路,有人办正事,就有人制造代码程序故意捣乱。

当封号的速度赶不上恶意注册的速度,人工审核追不上重复运行的代码时,给上网冲浪设置门槛便迫在眉睫。

2003年,为解决这个问题,来自卡内基梅隆大学的一群博士创造了CAPTCHA,是一个全自动区分计算机和人类的公开图灵测试。所谓图灵测试,就是人类提问计算机解答,用来判定计算机能否在智力行为上表现得和人无法区分。想要分辨电脑前是否为真人,只需要把这个测试反过来——由机器提问人类解答,“验证码”应运而生。

早期的验证码,由被变形、扭曲、翻转的数字或字符组成,机器人看不懂,但人类可以很清晰地分辨。由于这道简单的门槛,垃圾邮件、黄牛插件、恶意爬虫软件就很轻松的被阻挡在网页之外了。但是好景不长,这样的验证码很快就被程序破解了。因为再复杂的程序也离不开26个英文字母、10个阿拉伯数字的组合,只要利用程序算法将字符与背景分离,久而久之,资料库便学会了识别。

此后,一套由庞大中文字符库组成的中文验证码也就出现了。而且,图文理解、阅读理解等验证码纷纷上阵,验证码变得越来越复杂了。目前,互联网采用的验证码主要分为由数字与字母组成的,由图、文组成的,也有由手机短信、微信扫码、刷脸等方式来验证的。此前,有记者在多个网站、APP上体验了验证码验证过程。

总的来说,输入两三次才通过验证的较多,简单的能一次性通过,而更繁琐时则需四五次才行。验证码的背后是对“身份”的认证I AM A SUBTITLE02验证码是一种区分用户是计算机还是人的公共全自动程序。其提供的问题必须只有人类才能解答,而回答出问题的用户就可以被认为是人类。因此,验证码的背后是对人的“身份”的认证,即“让你证明你是人类”的“身份认证”。

身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。例如,人在网络上进行一些活动时通常需要登录到某个业务平台时,就需要进行身份认证。而身份认证主要通过下面3种基本途径之一或其组合来实现:所知,个人所知道的或掌握的知识,如口令;所有,个人所拥有的东西,如身份证、护照、信用卡、钥匙或证书等;个人特征,个人所具有的生物特性,如指纹、掌纹、声纹、脸形、DNA、视网膜等,以及上述基本认证途径组合而成的双因素、多因素认证。

双因素、多因素认证的原理是都可以使用多个“身份验证因素”,这些因素可能是用户知道的、拥有的或者是属于他们自身的一部分,常见的双因素认证如:用户名和密码,再加上通过短信发送到用户智能手机里的消息、链接或代码;多因素认证如:用户要输入PIN码,插入银行卡,最后再经指纹比对,通过这三种认证方式,才能获得相关授权。网上曾流传过这样一句话:在互联网上,没有人知道你是一个人还是一条狗。通过网络传递的身份是人是鬼,很难辨别。

因此,身份认证的目的是鉴别通信中另一端的真实身份,防止伪造和假冒等情况发生。网络环境下的认证不是对某个事物的资质审查,而是对事物真实性的确认。结合起来考虑,身份认证就是要确认通信过程中另一端的个体是谁。进行身份认证的技术方法主要是密码学方法,包括使用对称加密算法、公开密钥密码算法、数字签名算法等。

随着验证码越来越复杂、越来越变态的同时,其背后恰恰也是越来越“复杂”的身份认证。在各种数字技术发展的大背景下,网络安全领域的攻防大战不断演进,生物特征被盗用、被仿冒等安全威胁依然存在。而通过大数据分析、人工智能、生物识别等多种验证技术,来确认一个用户身份的可信度、属性、信誉、安全等,成为一件很有必要的事。

新兴技术就是一把双刃剑,在给大众工作生活带来便利的同时,也带来了日益暴涨的网络安全威胁。君不见,数据泄露、用户隐私泄露等安全事件比比皆是。以人脸识别为例,一种名为CycleGAN的深度学习模型就能轻松实现将一类图片转换成另一类图片;利用AI技术,已经能够伪造极度仿真的公众人物声音、神态及动作,生成难以识别的虚假视频。而这若是被犯罪分子利用,后果可想而知。

日常工作生活中,我们最常见的就是根据用户知道的信息来证明其身份,即用得最广的是“用户名+密码”,也就是静态密码的登录方式。有调查显示,平均每个网民的网络账户多达27个。如果每个账户都采用不同的复杂密码,无疑极大增加了记忆难度,定期更新密码更是一种负担。

因此,有将近60%的人会复用密码,其全部工作账户和个人账户的密码都是同一个;还有约20%的人使用极易被破解的弱密码;更有甚者,哪怕在个人账户被黑客攻击之后,也有45%的人不去修改密码。而且,静态密码的安全性很低,很容易遭受各种形式的攻击,比如暴力破解、撞库、钓鱼邮件、木马病毒,等等。一旦被盗,就可能造成最大程度的损失,在损失发生前,通常还不知道静态密码。

免责声明:本平台仅供信息发布交流之途,请谨慎判断信息真伪。如遇虚假诈骗信息,请立即举报

举报
反对 0
打赏 0
更多相关文章

评论

0

收藏

点赞