近日,同济大学的学生们纷纷跑到网络上投稿,内容是同样的一张图——“学校的验证码竟然劝我转学”。
如今随时随地都需要登录、在线、授权的移动互联网时代,用户几乎每天都要输入几次验证码。验证码,逐渐成了移动应用的标配。“快转学”字样的验证码虽然只是随机出现,却让人联想到那些奇葩恼人的验证码,似乎与“证明你妈是你妈”一样无厘头,但并不是所有人都清楚,我们为什么要繁琐地输入一串数字或字母,以及花时间辨别看上去很幼稚的图形。
01机器流量泛滥,图形验证码诞生
验证码其终极目的,就是区分正常人和机器的操作,保障企业与用户的网络安全。在20世纪初时,黑客们通过具备JS解析能力的python、Node.js等基础工具编写自动化攻击脚本,例如发送垃圾电子邮件是最简单的网络犯罪之一,攻击者使用自动化软件生成电子邮件地址并发送低级别的骗局,例如钓鱼木马,伪造的礼品券等,至少已有数百万的受害者。
最先想要解决这一问题的是雅虎,作为互联网时代早期最重要的免费邮件提供商,他们一方面要解决用户们每天遇到的数以百计的垃圾邮件轰炸,另一方面,雅虎提供的免费邮箱,恰恰又是垃圾邮件的最爱,耗费无数资源所阻止的垃圾邮件,都来自于自己的服务器。这让雅虎开始认真考虑如何解决恶意机器流量问题。他们找到一位当时刚刚21岁的天才——Luis von Ahn。而Luis Von Ahn给出的方案就是图形验证码。当时,计算机图像识别技术还未成熟,对于经过扭曲、粘连等文字,无法辨识。而人类却可以轻松认出这些文字。
图形验证码被验证有效后,得到了迅速推广,各大平台纷纷上线图形验证码。企业在用户注册、登录、发帖、领优惠券、投票等等应用场景,使用图形验证码有效防范灌水内容、垃圾注册、恶意登录、刷票、撞库、活动作弊、垃圾广告、爬虫、羊毛党等一系列恶劣行为,维护自身产品服务,保障用户安全体验。
02黑产攻击,图形验证码艰难抵抗但是很快,随着光学字符识别技术(OCR)的不断进步,以及模仿人类神经网络的深度学习技术的出现,图形验证码很容易被攻破,安全性正在不断下降。同时,主流浏览器的开放性使得黑产通过脚本驱动类的工具进行自动化攻击。例如专门提供手机号码的料商、接码平台、打码平台、设备资源提供商及管理平台(群控、云控、箱控等)、秒拨IP等资源。
- 提供手机号码的料商,通过不同渠道收集手机卡并完成实名制,通过“猫池”设备批量使用手机卡,这种设备手机卡即可连上通信网络,收发短信,且全程自动化,在各类秒杀活动中,速度远快于正常用户。
- 提供黑产工具的技术团伙,针对不同行业不同平台可定制化改机工具、注册机、一键秒杀、多开、位置欺诈等多种黑产工具。
- 提供设备及管理平台服务商,例如云控系统,使用一台电脑控制N台云手机,提供一键控制、同步操作、批量管理上千台手机,节约成本的同时提升攻击效率。
- 提供IP资源,一方面秒拨IP的成本更低,另一方面,IP池极为丰富,使用也较为方便,可以跟随进程自动切换IP。
黑产技术的一系列攻击,使得企业深受其害,图形验证码不得不发生改变,抵抗新式的技术攻击。于是出现了各种扭曲,变形,旋转,粘连等难以识别,甚至更多奇葩验证形式的验证码。
虽然这些做法在一定程度上抵御了黑产的攻击,但严重损害了用户的体验感受,不仅用户通过率不高,还造成网站/APP注册用户的流失。据相关资料统计,因各类奇葩图形验证码导致企业用户流失率高达21.8%。这与当初设计验证码的初衷南辕北辙,相去甚远。由此以往,在与黑产技术斗争的过程中,图形验证码的便捷性和安全性似乎变成了鱼与熊掌的关系。
03验证码升级,行为式验证码上线在此基础上,行为式验证码应运而生了。它的诞生将验证码推向变革,更好的用户体验和安全性使其成为应用最为广泛的验证方式之一。
行为式验证码是通过用户的操作行为来完成验证,而无需去读懂扭曲的图片文字。核心思想是利用用户的“行为特征”来做验证安全判别。整个验证框架采用高效的“行为沙盒”主动框架, 这个框架会引导用户在“行为沙盒”内产生特定的行为数据,利用“多重复合行为判别”算法从特指、视觉、思考等多重行为信息中辨识出生物个体的特征, 从而准确快速的提供验证结果。
并且相对于以往识别字符并输入,行为式验证码更为简单,且带有小游戏性质,增强用户体验感,行为式验证码成为趋势更在于它的安全性,验证码背景图片添加了很多随机效果,能有效防止OCR文字识别。
云片行为式验证服务对外提供4种类型的验证方式:文字点选验证,图标点选验证,滑动拼图验证,无感验证;极大优化了传统验证码用户体验不佳的问题,用户不需要键盘手动输入,只需要产生指定的行为轨迹;提高机器破解难度、降低人眼识别难度。目前该业务已覆盖全国数万家企业,并在电商、餐饮、教育、社交等⾏业拥有大量头部客户。
没有一种验证码可以通吃所有场景,也没有绝对安全无法破解的验证码,只有在业务和安全不断权衡的前提下,找到一个属于体验和安全平衡的点,这才是验证码正确的打开方式。在和各种黑产团队不停斗争的过程中,验证码服务只有不停地改变,创新,才可以适应当前复杂的黑产现状以及业务多变的场景。
未来,云片将继续保持对行为式验证码的迭代升级,用极致创新的服务帮助企业与用户之间更好地沟通与联系。
,