相信大家都被验证码这个奇葩的东西伤害过。其实互联网早期是没有验证码的,那时的互联网就是自动化程序的乐园。垃圾邮件、论坛灌水、暴力破解账号等,每一样都让站长头疼不已。直到天才程序员Luis von Ahn 发明了CAPTCHA(验证码),这种情况才得以改观。验证码的目的其实很简单,就是网页端向服务器后台提交数据时进行人机判断,防止自动化程序频繁提交来破解账户和发送垃圾信息。
CAPTCHA的人机验证流程是,生成一段字符,输入正确则系统判定为人,才能继续提交数据。尽管验证码发展到今天,为了提高程序识别难度,变得越来越反人类,但是随着机器学习的发展,识别再复杂的字符对于程序而言也不是问题。
12306验证码:
苹果APP Store 验证码:
显然传统的人机验证方案已发展到瓶颈,有没有这样一种验证码,即能保证网站安全又有很好的用户体验,或者干脆不要验证码?
首先,人机验证的重要性毋庸置疑,任何时候都需要,但是验证码应该变得更友好一点。网络工程师们做过不少尝试,拼图、滑块、图形匹配等各种用户体验更好的解决方案,层出不穷。但是安全性相对于传统字符验证码并没有实质的提升。具不完全统计,全世界互联网用户每天需要耗费累计数十万小时来回答验证码,并毫无改善的征兆。
也许,VAPTCHA的出现将彻底改变这种状况,VAPTCHA是“Variation Analysis based Public Turing Test to Tell Computers and Humans Apart”的缩写,中文意思是基于变量分析来区分人类和计算机的图灵测试程序,又名手势验证码,它几乎完全符合“Easy on humans,Tough on BOTS”理想验证码的定义。
速度快 VAPTCHA首次提出了手势验证的概念,它的验证流程跟传统验证码截然不同,用户只需用鼠标在屏幕绘制指定手势,用户绘制手势与给定轨迹大于特定匹配率才能通过人机验证,整个过程耗时不超过1秒,显著快于其它验证形式,而且轨迹是一种无须反复刷新就能轻易识别的“字符”,可以应用到任意语言环境的网页上。
极安全 光快远远不够,VAPTCHA同时也是目前世界上最不可能被破解的验证码。它的安全性主要体现在:
一.不再以有限字库的字符作为验证码,而是利用反机器学习模型来生成验证轨迹,只有具备抽象思维的人脑才能识别,机器看到的则是毫无逻辑的像素点。
二.通过深度机器学习提取人类绘制手势时的生物特征来区别程序模拟。
三.通过设备指纹来追踪那些可疑的客户端,并根据历史行为来判定是否攻击者。
四.强大且自我进化的风险甄别引擎将分析用户的异常行为、多项环境参数来进行辅助人机判断
五.甚至首次提出了手势指纹的概念,极大程度杜绝了人工打码
六.所有确定的攻击者将实时动态更新到全球黑名单库,连续跨站攻击者将无所遁形
隐形 网站可以根据需要将验证流程绑定到自身正常的业务流程中,那些受信任的用户行为以及客户端甚至不需要进行手势验证,用户完全感受不到VAPTCHA的存在,验证码将真的“消失”。
令人兴奋的是,大家很快就可以体验到这种次世代的验证码,VAPTCHA官网已于近日正式上线并开放注册,所有网站和APP均可免费接入。无论如何,VAPTCHA是人类对抗自动化程序的大胆创新,小编更希望彻底取缔验证码,无论何种形式,随着人工智能的发展也不是不可能,我们拭目以待吧!
|