行為式驗證碼的前景如何?
最近在武大論壇發現網站註冊的驗證碼與以往一般的輸入數字、圖形不同,是滑動操作,簡單快捷,也節約了很多時間。
好像還沒在其他知名網站上看到這樣的驗證行為,這樣的驗證行為是不是全球首創?發展前景如何?
今天無意中看到有朋友問這個問題,我就大致的做個說明,希望大家能踴躍討論,呵呵。
談到「驗證安全」大家就會想到「驗證碼技術」,因為在過去的14年間只有「驗證碼」這一個「驗證安全技術」。但是到了如今,「驗證碼「所激化的矛盾卻越來越大了,主要表現在兩點:1 安全性太低,其實現在任何的驗證碼都是可以通過ocr技術輕鬆破解或者僱傭人工打碼平台來做,這個問題很多站長都明白但是也沒有辦法,因為驗證安全也就這個技術。2 為了提高一點安全性,必然犧牲用戶體驗感,這是驗證碼技術的概念造成的。如今網路發展就是提倡交互,交互的地方為了安全又需要驗證安全,用了驗證安全又影響交互度。這個問題確實讓很多站長很頭疼。
行為式驗證技術是新一代的驗證安全技術,它再倡導驗證安全2.0時代的到來。
極驗新一代行為式驗證使用演示視頻
由於驗證碼長時間給我們帶來的影響,我們一直認為驗證安全的防護手段就應該是靠」計算機圖形學「來進行的,但是我們必須承認,如今靠」計算機圖形學「來繼續發展」驗證安全「技術只會是個死胡同,因為14年前計算機程序確實無法理解圖片的意義,但是如今這個假設條件還成立嗎?手寫板怎麼識別草書漢字的ocr技術就可以怎麼破解各式驗證碼。所以,」行為式驗證技術「引入了通過行為來進行驗證的全新概念,而計算機圖形學只是起到初步的防護工作,更主要的工作是引導用戶完成一個特定的行為,然後利用首創的」多重行為判別演算法「來對這個行為進行綜合判別。這是行為式驗證的核心思想。可以這麼去做個比喻,傳統驗證碼就如同一把鎖(僅基於計算機圖形的防護),而新一代行為式驗證技術如同幾十把連環鎖(如今我們對人類統計出了幾十種不同的行為特徵來做分析),必須使用行為來同時開啟這幾十把鎖。
安全性提高了,用戶體驗感也提高了。在珞珈山水上面,用戶平均驗證時常僅為3.82秒,是傳統驗證碼驗證三分之一都不到的時間,而且用戶用過2-3次後基本上可以」秒「掉驗證(1秒左右通過)。而且我們發現用戶很喜歡這樣的驗證方式,超過40%以上的用戶在第一次通過驗證後會繼續玩上3-4次。通過新一代行為式驗證是完全潛意識的(只需要右腦即可通過驗證),大大減少用戶的思考負擔。
「驗證碼本質上是一種區分計算機和人類的圖靈測試,其原理在於由計算機生成只有真實人類才能解答或操作的問題,從而防止機器提交和程序識別,」網易雲安全(易盾)介紹,識別數字、圖形、顏色等對於人類意識來說,是可以瞬間完成的事,但對於僅擅長數據邏輯計算的計算機卻很困難 。 隨著光學字元識別技術(OCR)的不斷進步,以及模仿人類神經網路的深度學習技術的出現,傳統以字元(數字、字母等)識別為主的驗證碼安全性也在下降,很容易被黑客攻破,而行為式驗證碼更安全。
我看了樓上吳淵同學的回復,我就上武大論壇抓包試了試。
可以看到,橫塊拖到不同位置,發出去的包在passtime和userresponce兩個位置不同。
斷網之後拖動滑塊,只有發包,沒有responce,但是發出去的包的值還是可以得到的,也就是破解了那個js運算關係之後,根據拖動滑塊位置長度可以批量運算髮包。
而且你們對出錯也沒限制,只有十厘米左右的滑塊10個包就行了。
出錯3次之後應該載入新一章圖片。這又涉及到庫的問題,驗證碼一旦有一個庫,就可以窮舉。而你如果隨機生成圖片,那麼正常人類也對不了幾次吧。
另外,一旦大網站使用這樣的驗證機制,恐怕效率也是問題,一張圖片26k,遠大於普通驗證碼。
個人覺得不怎麼靠譜,還是說我沒想到點上。
「行為時驗證碼」是需要用戶在網頁上實行交互,如果交互的邏輯是用JavaScript寫的,那源碼直接可讀,還怎麼防禦機器攻擊?
如果是用Flash實現的,那就存在跨平台問題了...求指出錯誤!!推薦閱讀:
※給HTML初學者的30條最佳實踐
※從零開始搭建Vue組件庫 VV-UI
※想要對 HTML 和 CSS 有深入的理解,是不是需要學習傳統排版的知識?如果需要,應該學習到什麼程度?
※可以用JQuery 調用Python對象的function嘛?