文字驗證碼被曝漏洞，淘寶、京東都中招！

提到驗證碼，你的腦海會出現什麼？歪歪扭扭的文字、字母、一堆相似的影像……這些挑戰你眼力的驗證碼到底是要做什麼？

驗證碼，簡稱CAPTCHA，目前主流的驗證碼分為三類：文字驗證碼、影像驗證碼、音視訊驗證碼，是一種能自動區分計算機和人類使用者的公開圖靈測試。簡單來說，驗證碼的存在就是為了證明“你“是你，而不是機器。它的生成和評測都不需要人的干預，底層資料庫和演算法公開，人類很容易通過但計算機程式幾乎不能通過。

然而，近日媒體報導，由我國西北大學房鼎益、陳曉江教授團隊聯合北京大學、英國蘭卡斯特大學研究發現，網站上看似複雜的文字驗證碼存在“巨大安全漏洞”，大多數可被人工智慧破解。

這一成果釋出於近期由國際計算機協會在加拿大舉辦的2018年計算機與通訊安全會議上，該會議是國際公認的電腦保安領域的頂級會議之一。

西北大學團隊負責人房鼎益教授介紹，團隊基於最新的人工智慧技術，建立了一套新型驗證碼求解器。他們綜合分析了全球最熱門50個網站的文字驗證碼，包括公眾熟知的谷歌、eBay、微軟、維基百科、淘寶、百度、騰訊、京東等網站。實驗證明，大部分文字驗證碼可在0.05秒內被人工智慧攻破。

近10年來，驗證碼已成為大部分網站和應用程式必備的安全機制之一。雖然過程繁瑣，但卻起著重要的作用。在輸入驗證碼時，後臺系統能通過輸入時長來識別登入者是人，還是計算機程式，從而避免因惡意登入導致的密碼洩露、刷票、作弊等現象。

“驗證碼一旦被人工智慧攻破，寫個程式就能成為水軍，用機器點贊或投票；也能刷搶火車票，這是人工操作做不到的。”房鼎益說。

然而實驗表明，大部分網站文字驗證碼的破解率能夠達到50%以上。團隊主要成員、西北大學資訊科學與技術學院副教授湯戰勇說，通過這項研究，希望能提高業界對文字驗證碼安全性的重視和關注。近年來在人工智慧技術取得重大突破這一背景下，文字驗證碼的安全性非常脆弱，我們急需考慮使用新型的驗證碼方案。

房鼎益教授也表示，目前研究人員正致力於利用人工智慧技術合成更安全的驗證碼來抵禦此類攻擊。“我們試圖在不影響互動性的基礎上，讓使用者體驗更便捷，讓機器更難識別，確保網路安全和使用者隱私不被洩露，是我們未來的研究方向。”

驗證碼的設計需要在驗證碼的安全性和易用性之間取得平衡，然而這並不是一件容易的事情。

有研究學者在《Science》上撰文提出每個CAPTCHA (驗證碼)機制的本質都是基於一個AI 問題，一種CAPTCHA 機制的破解意味著相對應的AI 問題得到了解決，CAPTCHA 機制的研究是一個雙贏的局面。

CAPTCHA的設計和破解研究呈現出“設計-識別-再設計-再識別”的互相攀升現象，促使CAPTCHA研究不斷向前發展，從而帶來CAPTCHA 機制的魯棒性和可用性的不斷提升。

魯棒性（Robustness）：是指一個計算機系統在執行過程中處理錯誤，以及演算法在遭遇輸入、運算等異常時繼續正常執行的能力。諸如模糊測試之類的形式化方法中，必須通過製造錯誤的或不可預期的輸入來驗證程式的健壯性。很多商業產品都可用來測試軟體系統的健壯性。健壯性也是失效評定分析中的一個方面。

此次研究發現的存在“巨大安全漏洞”的文字驗證碼，也意味著驗證碼機制將迎來更大的飛躍。

參考來源：

• 新華網
  
• csdn

更多資訊：

• Google Chrome發現新Bug CPU使用率飆升至100%
  

• 看雪CTF.TSRC 2018 團隊賽 第十一題『伊甸園』 解題思路
  

• 國家出拳重擊醫院“內鬼”：洩露資訊即承擔相應責任
  

• 年終了，看雪給努力又認真的你頒獎！