易坊好文馆

  1. 首页 > 生活百科 >

视点·观察 验证码的发展史与未来预测( 二 )


目前应用比较广泛的几种人机验证方式,包括上文提过的字符验证、图像识别(例如“点击下图中倒立的文字”)、滑块验证(例如“拖动鼠标完成拼图”)等等 。
视点·观察 验证码的发展史与未来预测
文章图片

滑块是用户体验比较友好、同时安全系数也相对较高的一种认证方式,因为它在图像验证的基础上往前走了一步,基于采集用户的行为数据、环境数据等等多维度来判断用户是人还是机器,例如人类拖动滑块一般是先快后慢:先是快速拖到缺口附近,再在缺口附近进行精准地校验,并停留片刻释放;机器的活动轨迹相对而言比较规则 。
在网上搜索“滑块验证码”,有N个帖子是关于“如何用***破解滑块验证”的,很多已经被证明有60%以上的识别率,但是识别成本也会比较高 。又回到一个老生常谈:没有攻不破的系统 。安全人员要做的事情,就是把攻击门槛提高,让黑产觉得投入产出比不值得而放弃 。
易用优先还是安全优先,这是安全人员吾日三省吾身的问题 。像票务网站、炒鞋、电商网站,这些网站的用户账号体系很有价值,对黑灰产而言是“大户人家”,这些网站在设置验证码的时候,安全性是首要考虑的 。
腾讯云防火墙,最近对远程登录的身份校验也进行了一次功能升级,采用了账号密码+微信双因子认证方式 。常规情况下双因子认证一般需要一个物理令牌,能保障安全性但是使用体验欠佳,而借助微信辅助身份认证,提前对运维人员的微信号进行授权,就可以通过账号密码+微信认证远程登陆服务器,解决了一些移动办公场景下服务器运维的需求 。

在可见的未来,验证码还是一种行之有效的人机识别方式,安全人员和黑产在在验证码上的对抗还会持续 。但我们可以稍微宽慰的是,现在市面上大部分验证码在实操层面上都是比较难以攻克的,一是单个验证码生命周期很短暂,很快会失效;第二个是验证码需要很强的图片识别技术,而且有些图片只能在前端浏览器、客户端显示出来,对于根本就没有前端的服务器来说,用机器去跑脚本可能都看不到,也就无法解码 。
【视点·观察|验证码的发展史与未来预测】除了黑产之外,对于各种密码、验证码来说,还有更大的对手,据腾讯安全云防火墙产品负责人周荃推测,就是量子计算 。业界普遍承认的一个事情,量子计算被开发出来了之后,现有的密码体系和信任体系、网络信任体系会全部崩溃,可能最难的密码可能也只需要几分钟的时间就可以尝试出来 。但安全研究人员也认为,后量子时代正常的密码也可以设置得非常复杂,所有的计算机也可以基于量子计算去设计一套密码,届时也会有相应的办法能够去保护安全 。

推荐阅读


上一篇:IT 失明女子携导盲犬被拒载14次起诉优步:平台被判赔偿110万美元

下一篇:视点·观察 网红辛巴复出,“封路”惹众怒央媒痛批:谁给你的权利?