|
|
西北大学与北京大学研究成果或将终结“文本验证码”时代 |
|
日常登录网站时,我们经常需要输入文字或数字的验证码。虽然比较烦人,但是验证码却起着相当重要的作用,它们的目的是使后台系统验证登录者身份,即登录者是真正的“人”而不是“计算机程序”,从而避免由于恶意登录而导致的密码泄露、刷票、作弊等现象。事实上,在最近10年,验证码已经成为大部分网站和应用程序必备的安全机制之一。
然而,中国西北大学的房鼎益、陈晓江教授团队联合北京大学、英国兰卡斯特大学的研究成果揭示:目前普遍采用的诸如字符扭曲、混淆背景等复杂的文本验证码机制,并不安全、可靠,存在“巨大的安全漏洞”。
该团队基于最新的人工智能技术建立了一套新型验证码求解器。该验证码求解器能够以更高精度、更快时间、更低攻击成本破解现有方法无法破解的复杂验证码。实验表明,仅利用500个目标验证码优化求解器,便可使求解器在0.05秒之内攻破验证码,该方法可以攻破谷歌、eBay、微软、维基百科、淘宝、百度、腾讯、搜狐和京东等全球排名前 50 网站使用的所有文本验证码(截至 2018年 4 月)。
据介绍,在验证码的识别率上,该项研究比2017年发表在Science上的研究成果平均高出20%。在某些类型的验证码上,该求解器甚至取得了比人工更高的识别率。
论文第一作者、西北大学
与技术学院在读博士生叶贵鑫指出,“该项技术不仅可以应用到文本验证码的攻击上,还可能应用到其它基于图像的攻击场景中。目前,我们正致力于利用人工智能技术合成更为安全的验证码来抵御此类攻击。”
该研究成果已经发表在今年刚刚举办的国际信息安全顶级会议ACM CCS (25th ACM Conference on Computer and Communications Security)上,而且文章也获得了最佳论文提名。
据悉,这也是中国大陆地区在今年CCS上的唯一入围文章。
CCS是ACM主办的信息安全领域会议。它是中国计算机学会(CCF)推荐的A类国际学术会议,同时也是国际公认的计算机系统安全领域的顶级会议之一。