最近,網易易盾正式對外發布了推理拼圖驗證碼。使用者只需要拖動需要交換的2個圖塊,復原出圖片,即可完成驗證。
背後,網易易盾則通過圖片完整性以及生物行為軌跡,校驗出進行該操作的是否為正常使用者。
一切看似簡單,但網易易盾在驗證安全上的保障卻一點也不簡單。這篇文章就來說道說道推理拼圖驗證碼是怎麼來的?網易易盾在安全上都下了哪些功夫,以及一些取捨是如何平衡的。
人能做、機器卻做不了的結合點
驗證碼有很多種型別,簡單的有需要手動輸入的驗證碼、簡訊驗證碼等。後來,有人推出安全性和使用者體驗較好的行為式驗證碼,包括文字點選、圖示點選、滑動拼圖等。
那麼推理拼圖這種安全性更好、更有創意的驗證碼是怎麼來的?當把這個問題拋給網易易盾實驗室產品經理時,她和盤托出,給出了自己的思考“路徑”。
有兩個關鍵點。第一個點是,網易易盾不斷追求領先的決心,因此每年都要推出新的產品形態,這是推動力。
驗證碼現在有很多形態,是不是足夠好了?並不然,和客戶溝通中,發現還是有不少客戶在特定性場景下,希望有更高的安全性。因此,他們開始思考2個問題。哪些是人能做,且容易做,但機器卻做不了的事情?這是第二點。
順著人能做、機器卻做不了的結合點去思考,發現有兩塊。一塊是空間想象能力,另外一塊是邏輯推理能力,這兩塊是機器無法做,或難以實現的能力。
經過評審,內部最終確定了往邏輯推理方向去走。
產品落地
拼圖遊戲(圖來自網路)
方向有了,那如何落地呢?產品的目光落到了拼圖遊戲。
拼圖遊戲,本身就是一種智力遊戲。給你一張原圖,人通過模仿,能夠把原圖拼湊出來。那麼,不給原始圖片,只是給出一個打亂的圖,人是否能依舊拼湊出來?答案,依舊為“是”。
如果這種形態的驗證碼能夠落地,對於機器而言,就屬於風騷走位了。因為機器是不具備獨立的邏輯能力的,而且行為軌跡也不定向,破解難度大大增高。
兵馬未動,“演算法”先行。實際上,目光落到拼圖遊戲之前,演算法做了很多嘗試。比如說卡通人物五官的換臉。由於卡通人物的可愛、二次元等風格特徵,不夠通用化,不適合政企等較嚴肅的場景,所以首先被Pass。
打地鼠遊戲(圖來自網路)
接著,演算法又想到打地鼠遊戲,於是模仿打地鼠,做遊戲化驗證碼。他們在空間感上做了一些字幕,做立體物體讓使用者去識別。然而打地鼠的創意非常好,而且也有趣味性,但後來的評審中發現,打地鼠對資源消耗比較高,於是也暫停了。
經過不斷嘗試和篩選,入圍的是拼圖遊戲。即,我們現在見到的推理拼圖驗證碼。
簡單的背後,是沒那麼簡單
使用者只需要拖動需要交換的2個圖塊,復原出圖片,即可完成驗證。
這是前臺我們所能看到的介面,看似簡單,實際上卻沒那麼簡單。
首先是互動上,典型的問題是:到底是拖動好,還是點選好?設計的直覺認為點選好,像在玩連連看,能增加產品趣味。認為拖動好的,則也有自己認為的正當理由。相持不下,拿資料說話。於是,產品做了不同年齡、不同學歷、不同性別、不同行業、不同機型……的調研,最終調查結果顯示,80%的人選擇了拖動。
推理拼圖驗證碼對外宣傳的一個重點是——對抗效果相比其他行為式驗證碼至少提高了5倍。5倍數字的背後,網易易盾實驗室做了大量的取捨和平衡。
提高安全性,最直接的辦法就是增加圖片的複雜度,比如在底圖上。然而這有“後遺症”,一是看起來不美觀、不協調,二是使用者體驗不好,不光攔截了機器,也攔截了正常的使用者。
但是,圖片的複雜度必須加,否則很容易被黑灰產破解。如何平衡,把握好這個度是一個難題。經過多次嘗試,網易易盾實驗室的產品和技術認知到一個大原則:一個是底圖必須要經過篩選,要有正常人可識別出來的正常物體,且必須是物體的主體,這對使用者思考圖片完整性有幫助。
基於這個原則,在體驗上,為了解決圖片複雜度帶來的“後遺症”,易盾推理拼圖驗證碼通過影像內容識別、視覺顯著性分析等技術來挑選合適的底圖,並決定可以進行交換的位置,從而使使用者能夠快速找到需要交換的圖塊來完成驗證,保證流暢體驗。
在安全性方面,網易易盾做了影像風格化、邊緣檢測以及其他自研的黑科技,對圖塊進行了特殊處理。使得網易易盾推理拼圖的圖塊,在人的觀感上是大致一體的,但從機器的角度來看,每張圖片卻是不一樣的,無法通過影像內容恢復拼圖。
由於行為軌跡不定向,相比其他型別的驗證碼,推理拼圖驗證碼的對抗效果得以提升至少5倍。因此,特別適合安全等級高的應用場景,比如找回密碼、賬號解凍,以及和利益掛鉤的免費領取商品等拉新場景。在語言支援上,推理拼圖支援包括英、日、韓、泰、越南、法、俄、阿拉伯等22種在內的語言,也支援多終端部署,包括Web、H5、iOS、安卓、微信小程式等。
此外,為了讓老使用者能夠免升級,自由切換業務不同型別的行為式驗證碼。易盾實驗室的產品,還對架構進行了優化,使之能夠相容老的驗證碼架構,老使用者不用重新部署也可以直接使用。
結束語
文章最後想說,看似簡單的背後,是網易易盾追求完美和極致的匠心精神,是用數不清的評審會、討論、咖啡、白天黑夜交織在一起的鍵盤噼裡啪啦的敲打聲等等,一點一滴打磨出來的。
除了推理拼圖驗證碼外,當下易盾的行為式驗證碼家族還包括了智慧無感知、滑動拼圖、文字點選、圖示點選、簡訊上行等驗證方式,以及能幫企業降本增效的行為式驗證碼、簡訊驗證碼、號碼認證的組合成的驗證方案。
然而,做到這樣仍然覺得還不夠——網易易盾實驗室的產品經理說,他們還將繼續追求卓越,將更好的產品和更高的安全性帶給客戶。
點選免費體驗網易易盾推理拼圖驗證碼。