由英国和中国计算机工程师团队开发的自动验证码求解器证明,这种广泛使用的安全功能可能不再有效地保护网站。
新算法基于机器学习和深度学习可以破解复杂的验证码代码的方法。
英国兰开斯特大学以及中国西北大学和北京大学的计算机科学家合作开发了求解器。在模拟攻击期间,他们成功地解码了其他求解器过去未能做到的验证码。
接近人类的能力
基于文本的验证码要求人类破译并准确输入混乱的字母和数字组合。一种称为生成对抗网络(GAN)的技术可以绕过此要求,并使用台式计算机在一秒钟内的0.05内解决验证码问题。
“这是第一次使用基于GAN的方法来构建求解器。我们的工作表明,在深度学习方法下,当前基于文本的验证码方案所采用的安全功能特别容易受到伤害:”说朗卡斯特大学计算与通信学院的研究的合着者和高级讲师Zheng Wang。
GAN快速解决验证码方案的能力将意味着许多网站不能依靠此安全功能来保护未来的恶意软件和网络钓鱼攻击。首席作者吉金·耶(Guixin Ye)说,网络犯罪分子可以执行拒绝服务攻击或发送垃圾邮件消息以窃取个人信息或假设用户身份。
研究人员建议网站所有者部署替代多层安全性,例如设备位置,生物识别技术和用户网络活动分析。你们补充说,随着他们模拟攻击的成功,网站应考虑放弃使用验证码的使用。
Google recaptcha版本3
Google找到了一种方法,可以阻止机器人解码验证码并滥用流量网络流量。用户可以自动证明他不是仅通过单击复选框而不是机器人的,而不是基于文本的验证码。该分析在背景中通过在将访问标记为欺诈性之前检查访问者的在线行为。
“现在,使用recaptcha v3,我们从根本上改变了网站可以通过返回分数来告诉您互动的可疑性,并消除了完全挑战的用户的需求,” Google说在官方新闻稿中。
可疑活动是通过一个分数来衡量的,在该分数中,用户可以通过三种方式受益。首先,a两因素身份验证或者可以根据安全性偏好部署电话验证。其次,分数可以与自己的用户指标相结合,以决定活动是否是恶意的。最后,Retaptcha训练网站以过滤类似的活动,以自动防止攻击或滥用。
