在这个互联网时代,大家对验证码都不陌生。验证码的初衷,是为了让用户隐私得以保护,网上交流、支付等行为更加安全,那么,验证码真的如大家期待的那样安全吗?
近期,西北大学房鼎益教授团队的研究成果显示,文本验证码可以被破解,这就意味着,验证码并不能完全保障上网安全。
房鼎益教授18日在接受华商报记者采访时表示,这一研究,目的是为了对抗验证码容易被破解的问题,未来研究出更加方便、安全性高的验证码,保障上网安全。
新闻背景
最新科研成果:验证码被破解了
日前,西北大学发布消息说:来自西北大学的房鼎益、陈晓江教授团队联合北京大学、英国兰卡斯特大学发布了一项研究成果,引起了计算机安全领域的震动。
该团队基于最新的人工智能技术,建立了一套新型验证码求解器。该验证码求解器能够以更高精度、更快时间、更低攻击成本破解现有方法无法破解的复杂验证码。
该研究仅利用500个目标验证码优化求解器,便可使求解器在0.05秒之内攻破验证码,该方法可以攻破全球排名前50网站使用的所有文本验证码(截至2018年4月),包括大家熟悉的很多社交及购物网站。
该研究成果发表在刚刚举办的国际信息安全顶级会议ACM CCS上,获得了最佳论文提名,这也是大陆地区在今年CCS上唯一一篇入围最佳论文提名的文章。
知道一下
验证码是什么?
我们在日常登录网站或者各种应用软件时,常遇到“烦人”的验证码,有的是一串数字,有的是字母加数字,有的是变形了的字母加数字。
虽然输入验证码的过程繁琐,但验证码却起着相当重要的作用,它们的目的是使后台系统验证登录者身份,即登录者是真正的“人”而不是“计算机程序”,从而避免由于恶意登录而导致的密码泄露、刷票、作弊等现象。
如果没有验证码,你想在网站上买火车票,但是一些黑客网站,可以通过简单的编程来刷票,只需要计算机操作,就会把所有放出来的票都抢光。如果没有验证码,部分社交网站只需要设个程序,就可以给设定好的人评论、点赞、投票等。而验证码的出现,需要在最后一关,由人亲自去操作,保证了网上操作的安全性。
专家表示,在最近10年,验证码已成为大部分网站和应用程序必备的安全机制之一。
然而,房鼎益教授团队却用最新的科研成果证明,文本验证码可以被破解,目前的验证码存在“巨大的安全漏洞”。
马上实验
不用人工操作
验证码迅速被破解
■实验时间:12月18日
■实验人员:
西北大学信息科学与技术学院教授、博士生导师,陕西省教学名师 房鼎益
西北大学信息科学与技术学院副院长、教授、博士生导师 陈晓江
西北大学信息科学与技术学院副教授 汤战勇
■实验地点:西北大学信息科学与技术学院实验室
■实验过程:
实验人员在计算机后台输入程序,便不再触碰键盘。
随后,计算机进入某著名支付网站,计算机页面出现“用户名”、“验证码”字样,在没有人操作的情况下,计算机自己输入182××××××××的用户名,当看到“JYBQ”的验证码时,又主动输入了这4个字母,成功登录了。
计算机再次进入这个支付网站,计算机页面出现“用户名”、“验证码”字样,计算机再次自己输入“182××××××××”的用户名,当看到“EWOP”的验证码时,输入错了的验证码,导致登录失败,但程序又会重新开始新一轮登录,这次又成功登录了。
“除了这个支付网站,我再给你们演示一下国际上很火的一个社交网站。”实验人员说着,又在后台进行了输入,页面到达了某网站的登录界面,实验人员不操作的情况下,计算机页面上又出现了自动输入用户名和验证码的过程,一次输入正确,登录成功。
整个过程,实验人员没有操作计算机,计算机却模拟人,准确破解了验证码。
■实验结论:文本验证码被破解了,验证码并不安全。
>>专家释疑
如何破解验证码?
原本看起来铸就上网安全盾牌的验证码,怎么就被破解了呢?
对此,房鼎益教授解释了原理:“破解验证码的原理,通俗来讲很简单,我们看到的验证码,大多是数字、字母的结合体,现在多数网站为了提高安全性,对字母、数字进行了扭曲、靠近或添加背景,我们的研究,就是通过计算机程序,把字母、数字的距离拉伸,把扭曲的字母、数字摆正,再去掉那些复杂的背景,还原出简单的验证码,再进行破解。”
房鼎益说的寥寥几句,听起来似乎很简单,但就是这项研究,他和他的团队付出了一年的时间。
这项研究有什么价值?
对于该研究成果的科学价值和应用前景,西北大学信息科学与技术学院在读博士叶贵鑫表示,该项技术不仅可以应用到文本验证码的攻击上,还可能应用到其他基于图像的攻击场景中。目前,团队正致力于利用人工智能技术合成更为安全的验证码来抵御此类攻击。
西北大学信息科学与技术学院副教授汤战勇说,通过该项研究,希望可以提高业界对文本验证码安全性的重视和关注。近年来在人工智能技术取得重大突破这一背景下,文本验证码的安全性已变得非常脆弱。因此,我们亟需考虑使用新型的验证码方案。
验证码易被破解怎么办?
我们原以为安全的验证码被破解了,那么怎么上网才安全?这,才是房鼎益团队的最终目的。
“大家普遍认为,文本验证码越复杂越难破解,这种难,其实是对人的,对于机器来说,难度都一样。”房鼎益说,目前存在的验证码,也有难破解的,比如“声音验证码”、“问题类验证码”、“计算题验证码”等等,但过于复杂的验证码并不适合普通网友。
房鼎益透露,目前他们正在研究的,就是更为安全的验证码,通过对验证码页面元素的改造,让机器对验证码的辨识增加难度,从而抵御验证码轻易被破解的攻击。目前,这项研究已经初步有了进展,等到成果出来之后,文本验证码时代或将被终结。