验证码的作用是识别用户是人类还是计算机,过去的方法通常是让你输入一串难以辨认的扭曲字母和数字,但是阿拉巴马大学伯明翰分校的研究人员公布了一种新的验证码技术,至少比起原来的更加生动。

[-]

许多网络服务提供商为了防止人们滥用网络资源,利用验证码作为安全机制进行筛选,但是一直以来人们一直对验证码存在争议。而且已经有技术能够成功攻破许多现存的验证码技术。

信息安全和联合计算机取证研究中心的信息安全骨干带头人之一,也是阿拉巴马大学伯明翰分校计算机和信息科学系副教授Nitesh Saxena博士带领团队对下一代验证码的安全性和实用性进行了研究,让人惊奇的是这套验证码技术其实就是一系列电脑游戏。

阿拉巴马大学的研究人员的主要研究方向是游戏性验证码,名为动态识别游戏(dynamic cognitive game,简称DCG)。用户要完成的操作类似游戏,其中包括一系列动态图片。比如说,在停船这个DCG中,用户需要从一些移动的物体中挑出船,再把它拖拽到允许停靠的码头位置后放开鼠标。

游戏对于人用户来说轻而易举,但是对于计算机程序却很难。而且整个过程类似游戏,相比传统的字符型验证码,用户的投入度更高。

Saxena的团队任务就是验证DCG验证码的有效程度,他们先是构建了一个原型识别游戏,来代表DCG验证码,然后编写了一个新的全自动攻击框架,试图破解DCG。

“攻击的原理是计算机视觉技术,可以通过历史题目构建自己的词典,以后遇到新的题目就能通过查询词典破解。”

“在传统验证码系统中,计算机难以识别扭曲字符——但是经过训练的人类几秒钟就能识别出,”Saxena“问题在于罪犯完全可以雇人破解——每次1分钱或者更低的代价——人们只需要坐在电脑前破解验证码,他们就可以为所欲为。这被称为验证码中继攻击。”

阿拉巴马大学博士研究生也是该研究的作者之一的Manar Mohamed表示目前各种验证码对于此类中继攻击都毫无招架之力,他们的研究显示DCG验证码是第一个可以有效探测到中继攻击的验证系统。

在DCG验证码中,当被雇佣的人提交移动物体的位置信息之时,游戏中的物体可能已经移动到了其它位置,那么提交的位置信息就会不准确。如果是网页机器人,它们要么会超时,要么错误次数过多,马上会被后端服务器识别出这些不符合正常人类的操作。所以DCG验证码可以在某种程度上抵抗中继攻击。

目前研究团队还在重新设计DCG验证码,提高防御自动和半自动攻击的能力。

有兴趣的可以试试

本文译自 UAB,由 王大发财 编辑发布。

[ 广告 ]
赞一个 (3)

PREV :
NEXT :