“ 验证码(CAPTCHA)“的演变史

验证码作为人机交互界面经常出现的关键要素,是身份核验、风险防范的重要部件,也是用户交互体验的第一关口,广泛应用在视频、教育、金融、电商、航旅、互联网、公共服务等行业的网站和App上。

验证码的全名是“全自动区分计算机和人类的图灵测试”,利用“人类可以用肉眼轻易识别图片里的文字信息”,以区分出操作者的真伪,在注册、登录、交易等各类场景中发挥着巨大作用。能够防止操作者利用机器软件程序化的垃圾注册、仿冒登录、盗取信息、虚假领取福利、虚假兑换奖品、破解账户密码等,从而保障企业资金安全、营销安全和信息安全。

验证码已诞生20年

验证码诞生于20年前。2002年,路易斯·冯·安(Luis von Ahn)斯和他的小伙伴在卡内基梅隆第一次提出了“验证码(CAPTCHA)”这样一个程序概念。该程序基于重要假设:提出的问题要容易被人类解答,并且让机器无法解答。

早期的验证码就是网站提出一些问题,随着安全防护与破解入侵两方面的抗衡日益升级,验证码的难度在增加,形式也在多样化。从简单的字母数字、算术题,到扭曲的字符、模糊的图片,这些被归类为知识性验证码。从第三代的验证码开始,已开始向无知识型进化,操作者只需要点击或拖动滑条就完成验证。而第四代验证码,甚至不需要任何操作,就能够自动完成验证,良好解决安全和体验的矛盾。

第一代验证码:图文展示类

第一代验证码的核心是图文识别的判断。操作者只需要识别扭曲、模糊、混淆的图文,并输入正确的内容即通过验证。

第一代验证码设计简单、展现清晰,但是随着技术发展,很容易被攻击者破解。网上搜索“验证码破解”,有几十万条相关的内容。

2018年12月,西北大学公布一项研究结果,“文本验证码”存在巨大安全漏洞,人工智能技术最快0.05秒内可破解。团队基于最新的人工智能技术,建立了一套新型验证码求解器,可轻松破解热门网站的文本验证码,包括谷歌、eBay、微软、维基百科、淘宝、百度、腾讯、京东等网站,破解率超过50%。

验证码的设立很大程度上是为了对抗高频的暴力破解,阻挡坏人的自动机进攻的步伐,所以验证码自身的安全性非常必要的。

第二代验证码:知识问答类

第二代验证码的核心是对相关问题的计算或判断。操作者计算或判断展示的各类问题、异类选项,并选择后输入正确答案即通过验证。

第二代验证码的展示的内容比较复杂,能够有效防止常规的常规的暴力破解。但是也是由于验证码设计复杂,导致操作使用不便。不仅影响正常操作与体验,更消耗操作者时间,由此被用户疯狂吐槽。

第二代验证码过于强调验证码的安全性,导致验证越来越复杂,从而严重影响了正常用户的应用体验。

第三代验证码:行为轨迹类

第三代验证码的核心是行为轨迹的识别与操作。操作者按照需求,通过拖动、点击、拼接等方式,将图文完整合成或移动到指定位置即通过验证。

第三代验证码弥补了此前两代验证码的不足,展示的内容简单,验证又很复杂。由于强调操作者的动手能力,避免静态展示内容屡遭解的问题。不过,由于操作灵敏度和精细化的要求,对老年人的视觉和操作要求比较高,很容易操作失误,导致流程中断或退出。

既安全又易用,孰前孰后?这不仅是技术人员创新的需求,也是运营人员需要平衡的现实问题。企业需求一种能够能够满足安全验证需求,提升操作体验,节省操作者时间,更满足老年人操作习惯的验证码。

第四代验证码:智能验证类

第四代验证码的核心是不再依赖单一维度进行验证,而是根据操作者环境进行智能分析与综合判断。操作者进入服务后,验证码首先对设备、行为、频率、网络环境等综合分析,然后给出综合结果判定,如果判定是合法用户则免验证,直接放行;如果判定为异常用户,则根据风险出现相应验证内容,要求操作者进行二次验证。

第四代验证码重点解决前面三代验证码不足。通过不断提高免验群体,免去正常用户辨别验证码、操作验证码的苦恼,大大提升用户体验;通过数据分析和人工智能判断,降低验证码遭破解的可能,继续保障业务的安全保护能力。

第四代验证码虽然不能完全做到全部免验证,但最大限度降低了用户被打扰的可能性,实现了易用性与安全性的平衡,让鱼与熊掌兼得。

18 声望
11 粉丝
0 条评论
推荐阅读
” 只用 1 分钟 “- 超简极速 Apk 签名 & 多渠道打包神器
众所周知,渠道包作为当下国内 Android 应用市场常见的分发方式,当 APP 和后台交互或进行数据上报时,会带上各自的 channel 渠道信息,以此方便企业 & 开发者统计 APP 在各渠道的下载量、用户量、留存率等关键活...

DX_TECH20229阅读 3.6k评论 15

http 和 https 的通信过程及区别
🎈 两者的区别端口: http 端口号是80, https 端口号是443传输协议: http 是超文本传输协议,属于明文传输; https 是安全的超文本传输协议,是经过 SSL 加密后的传输协议安全性: https 使用了 TLS/SSL 加密,...

tiny极客2阅读 2.8k评论 2

封面图
JWT 登录认证
🎈 Token 认证流程作为目前最流行的跨域认证解决方案,JWT(JSON Web Token) 深受开发者的喜爱,主要流程如下:客户端发送账号和密码请求登录服务端收到请求,验证账号密码是否通过验证成功后,服务端会生成唯一...

tiny极客2阅读 950评论 1

封面图
支付对接常用的加密方式介绍以及java代码实现
加密解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法,它要求发送者和接收者在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加密解密。只要通信需要...

京东云开发者3阅读 440

封面图
ctf(pwn&reverse)总结
F5/tab 查看伪代码空格 查看汇编代码视图->打开子视图->字符串 :查看所有字符串编辑->修补程序 :修改程序 修改完后点击修补程序应用到输入文件即可保存修改

白风之下阅读 2.8k

什么是跨域?如何解决跨域?
跨域: 它是由浏览器的 同源策略 造成的,是浏览器对 JavaScript 实施的安全限制,所谓同源(即指在同一个域)就是两个页面具有相同的协议 protocol,主机 host 和端口号 port 则就会造成 跨域

tiny极客1阅读 797评论 1

封面图
隐私计算之多方安全计算(MPC,Secure Multi-Party Computation)
如今,组织在收集、存储敏感的个人信息以及在外部环境(例如云​​)中处理、共享个人信息时, 越来越关注数据安全。这是遵守隐私法规的强需求:例如美国加利福尼亚州消费者隐私法 (CCPA)、欧盟通用数据保护条例 (G...

京东云开发者阅读 1k

封面图
18 声望
11 粉丝
宣传栏