實時驗證碼技術可改進生物識別身份驗證

實時驗證碼（Real-TimeCaptcha）使用了一種對人類來說很簡單但使用機器學習和影像生成軟體欺騙合法使用者的攻擊者來說卻很困難的獨特問題，這種身份驗證方法可以提高當前靠使用者面部視訊或影像的生物鑑別技術的安全性。

最近出現了一種新的登入身份驗證方法可以提高當前基於使用者面部視訊或影像的生物識別技術的安全性。這種技術被稱為實時驗證碼（Real-Time Captcha），它使用了一種對人類來說很簡單的獨特問題——但對於那些可能使用機器學習和影像生成軟體欺騙合法使用者的攻擊者來說卻很困難。

實時驗證碼要求使用者在回答出現在裝置螢幕上的驗證碼中的隨機問題時要檢視手機內建攝像頭，必須在有限的時間內給出答案，而人工智慧或機器學習程式無法在如此短時間內做出回覆。驗證碼可對基於影像和音訊的身份驗證技術提供輔助。如果攻擊者能夠查詢和修改使用者的影像、視訊和音訊，或者能夠從使用者的移動裝置中竊取這些資訊，那麼上述身份驗證技術就可能被欺騙。

在美國海軍研究辦公室(ONR)和國防高階研究計劃局(DARPA)的支援下，喬治亞理工學院（Georgia Institute of Technology）的網路安全專家取得了這項進展。攻擊者現在已經知道該身份驗證的要求，比如要求他們微笑或眨眼，所以他們可以比較容易地實時製造出會眨眼的模型或笑臉。研究人員正在通過向使用者傳送不可預測的請求，並限制響應時間來排除機器互動的可能性，從而使得挑戰變得更加困難。

為了避免在登入時使用傳統密碼，移動裝置和線上服務正轉向使用人臉、視網膜或其他生物屬性的生物識別技術，來驗證登入者身份。例如，iPhone X的設計是使用人臉來解鎖，而其他系統則通過使用者點頭、眨眼或微笑的短視訊片段來解鎖。

研究人員表示，在網路安全的攻防中，這些生物特徵可能被偽造或竊取，這將迫使企業尋找更好的方法。如果攻擊者知道身份驗證是基於人臉識別的，那他們可以使用演算法合成一個假影像來模擬真實使用者。但是通過在驗證碼影像中給出隨機選擇的挑戰，研究人員可以防止攻擊者預先知道需要做什麼。系統的安全性來自於對人類來說容易，但對機器來說卻很困難的挑戰。在對30個受試者的測試中，人類能夠在一秒鐘或更短的時間內對這些挑戰做出反應。而最好的機器都需要6到10秒鐘才能破解驗證碼上的問題，然後用偽造的視訊和音訊進行回應，這使系統能夠快速地確定響應是來自機器還是人類。

這個新方法將要求登入者通過四項測試：從驗證碼內成功識別出挑戰問題；在狹窄的時間視窗內給出只有人類能夠做到的回答；成功匹配合法使用者預先錄製的影像和聲音。研究人員表示僅僅使用人臉識別進行認證可能還不夠強大，而把它和驗證碼技術結合起來將更加強大。

驗證碼技術——最初是“完全自動化的用來區分計算機和人類的公共圖靈測試”的縮寫，廣泛用於防止機器人在網站上訪問表單。它的工作原理是利用人類在影像中識別模式的優越能力。實時驗證碼方法通過提示使用者做出響應，生成實時視訊和音訊，然後與使用者儲存的安全配置檔案進行匹配，這將超出網站要求的能力。

驗證碼的挑戰可能包括識別混亂的字母或解決簡單的數學問題。這個想法是讓人類在機器能夠識別問題之前做出反應。研究人員稱，機器讓靜止的影像微笑或眨眼需要幾秒鐘，但識破我們驗證碼的變化卻需要十秒或更長時間。

為了改進認證，研究人員對影像欺騙軟體進行了研究，並決定嘗試一種新的方法，希望在對抗攻擊者的戰鬥中開闢一條新的戰線。該方法將攻擊者的任務從生成有說服力的視訊轉變為破解驗證碼。

研究人員研究了這個問題，知道攻擊者接下來可能會做什麼，並表示提高影像質量是一種可能的應對方式，但他們想要創造一個全新的遊戲。實時驗證碼方法不會顯著改變頻寬需求，因為傳送到移動裝置的驗證碼影像很小，而且認證方案已經在傳輸視訊和音訊。

未來面臨的挑戰包括要克服在嘈雜的環境中識別語音的困難，以及確保裝置攝像頭和身份驗證伺服器之間的連線。對於任何安全機制，首先需要擔心該機制的安全性，一旦開發出一種安全技術，它就會成為攻擊者的攻擊目標，生物識別技術也是一樣。