行為式驗證碼的前景如何?

最近在武大論壇發現網站註冊的驗證碼與以往一般的輸入數字、圖形不同,是滑動操作,簡單快捷,也節約了很多時間。

好像還沒在其他知名網站上看到這樣的驗證行為,這樣的驗證行為是不是全球首創?發展前景如何?


今天無意中看到有朋友問這個問題,我就大致的做個說明,希望大家能踴躍討論,呵呵。

談到「驗證安全」大家就會想到「驗證碼技術」,因為在過去的14年間只有「驗證碼」這一個「驗證安全技術」。但是到了如今,「驗證碼「所激化的矛盾卻越來越大了,主要表現在兩點:1 安全性太低,其實現在任何的驗證碼都是可以通過ocr技術輕鬆破解或者僱傭人工打碼平台來做,這個問題很多站長都明白但是也沒有辦法,因為驗證安全也就這個技術。2 為了提高一點安全性,必然犧牲用戶體驗感,這是驗證碼技術的概念造成的。如今網路發展就是提倡交互,交互的地方為了安全又需要驗證安全,用了驗證安全又影響交互度。這個問題確實讓很多站長很頭疼。

行為式驗證技術是新一代的驗證安全技術,它再倡導驗證安全2.0時代的到來。

視頻封面極驗新一代行為式驗證使用演示視頻

由於驗證碼長時間給我們帶來的影響,我們一直認為驗證安全的防護手段就應該是靠」計算機圖形學「來進行的,但是我們必須承認,如今靠」計算機圖形學「來繼續發展」驗證安全「技術只會是個死胡同,因為14年前計算機程序確實無法理解圖片的意義,但是如今這個假設條件還成立嗎?手寫板怎麼識別草書漢字的ocr技術就可以怎麼破解各式驗證碼。所以,」行為式驗證技術「引入了通過行為來進行驗證的全新概念,而計算機圖形學只是起到初步的防護工作,更主要的工作是引導用戶完成一個特定的行為,然後利用首創的」多重行為判別演算法「來對這個行為進行綜合判別。這是行為式驗證的核心思想。可以這麼去做個比喻,傳統驗證碼就如同一把鎖(僅基於計算機圖形的防護),而新一代行為式驗證技術如同幾十把連環鎖(如今我們對人類統計出了幾十種不同的行為特徵來做分析),必須使用行為來同時開啟這幾十把鎖。

安全性提高了,用戶體驗感也提高了。在珞珈山水上面,用戶平均驗證時常僅為3.82秒,是傳統驗證碼驗證三分之一都不到的時間,而且用戶用過2-3次後基本上可以」秒「掉驗證(1秒左右通過)。而且我們發現用戶很喜歡這樣的驗證方式,超過40%以上的用戶在第一次通過驗證後會繼續玩上3-4次。通過新一代行為式驗證是完全潛意識的(只需要右腦即可通過驗證),大大減少用戶的思考負擔。

目前,我們研發的gtWEB產品還在做最後的內測,隨後即將投放市場,此外一些知名的大型網站也在和我們談合作,可能在過一段時間你們會再更多的網站上看到這種驗證方式。為推動驗證安全2.0的發展,倡導」更安全、更便捷、更具智慧的驗證「,後面我們會免費為大家提供驗證服務,希望大家選擇我們的服務。謝謝。


「驗證碼本質上是一種區分計算機和人類的圖靈測試,其原理在於由計算機生成只有真實人類才能解答或操作的問題,從而防止機器提交和程序識別,」網易雲安全(易盾)介紹,識別數字、圖形、顏色等對於人類意識來說,是可以瞬間完成的事,但對於僅擅長數據邏輯計算的計算機卻很困難 。 隨著光學字元識別技術(OCR)的不斷進步,以及模仿人類神經網路的深度學習技術的出現,傳統以字元(數字、字母等)識別為主的驗證碼安全性也在下降,很容易被黑客攻破,而行為式驗證碼更安全。


我看了樓上吳淵同學的回復,我就上武大論壇抓包試了試。

可以看到,橫塊拖到不同位置,發出去的包在passtime和userresponce兩個位置不同。

passtime不知道是什麼參數,個人猜想和橫塊位置有關。至於userresponce,我覺得是一串散列值,長度有長有短,肯定是捏合了幾個參數做hash,再合併。

斷網之後拖動滑塊,只有發包,沒有responce,但是發出去的包的值還是可以得到的,也就是破解了那個js運算關係之後,根據拖動滑塊位置長度可以批量運算髮包。

而且你們對出錯也沒限制,只有十厘米左右的滑塊10個包就行了。

出錯3次之後應該載入新一章圖片。這又涉及到庫的問題,驗證碼一旦有一個庫,就可以窮舉。而你如果隨機生成圖片,那麼正常人類也對不了幾次吧。

另外,一旦大網站使用這樣的驗證機制,恐怕效率也是問題,一張圖片26k,遠大於普通驗證碼。


個人覺得不怎麼靠譜,還是說我沒想到點上。

「行為時驗證碼」是需要用戶在網頁上實行交互,如果交互的邏輯是用JavaScript寫的,那源碼直接可讀,還怎麼防禦機器攻擊?

如果是用Flash實現的,那就存在跨平台問題了...

求指出錯誤!!


推薦閱讀:

給HTML初學者的30條最佳實踐
從零開始搭建Vue組件庫 VV-UI
想要對 HTML 和 CSS 有深入的理解,是不是需要學習傳統排版的知識?如果需要,應該學習到什麼程度?
可以用JQuery 調用Python對象的function嘛?

TAG:互聯網 | HTML | 產品經理 | 驗證碼 | 用戶體驗設計 |