大公網(wǎng)

大公報(bào)電子版
首頁 > 生活 > 3c科技 > 正文

陜高校團(tuán)隊(duì)發(fā)現(xiàn)文本驗(yàn)證碼巨大安全漏洞 擬用AI技術(shù)合成更安全驗(yàn)證碼

2018-12-19 14:10:17大公網(wǎng)
字號
放大
標(biāo)準(zhǔn)
分享

在當(dāng)今這樣一個(gè)大數(shù)據(jù)時(shí)代,很多人的生活幾乎都和網(wǎng)絡(luò)息息相關(guān),而在使用網(wǎng)絡(luò)時(shí)大家也會經(jīng)常遇到“輸入驗(yàn)證碼”這樣一個(gè)必須的環(huán)節(jié)。事實(shí)上,在最近十年,驗(yàn)證碼已經(jīng)成為大部分網(wǎng)站和應(yīng)用程序必備的安全機(jī)制之一。然而,目前普遍采用的諸如字符扭曲、混淆背景等方式的復(fù)雜文本驗(yàn)證碼機(jī)制,真的安全可靠嗎?日前,來自中國西北大學(xué)的房鼎益、陳曉江教授團(tuán)隊(duì)與北京大學(xué)和英國蘭卡斯特大學(xué)研究團(tuán)隊(duì)在多年研究的基礎(chǔ)上,給出了讓人驚訝的答案:這種文本驗(yàn)證碼存在巨大的安全漏洞,并不安全和可靠。目前,該團(tuán)隊(duì)已經(jīng)基于這個(gè)問題開始深度研究,希望能利用人工智能技術(shù)合成更為安全的驗(yàn)證碼來抵御外來攻擊。 

目前普遍采用的諸如字符扭曲、混淆背景等方式的復(fù)雜文本驗(yàn)證碼。(受訪者供圖)

全球前50網(wǎng)站驗(yàn)證碼被輕易破解 

據(jù)介紹,當(dāng)前普遍采用的驗(yàn)證碼方式,雖然過程繁瑣,但是驗(yàn)證碼卻起著相當(dāng)重要的作用。它們的目的是使后臺系統(tǒng)驗(yàn)證登錄者身份,即登錄者是真正的“人”而不是“計(jì)算機(jī)程序”,從而避免由于惡意登錄而導(dǎo)致的密碼泄露、刷票、作弊等現(xiàn)象。因而,各大網(wǎng)站和社交平臺都挖空心思,設(shè)計(jì)了很多獨(dú)特的驗(yàn)證碼。然而,這些看似安全的驗(yàn)證碼,在研究團(tuán)隊(duì)的面前卻顯得異常脆弱,巨大的安全漏洞讓整個(gè)安全防范措施不堪一擊。 

西北大學(xué)與北京大學(xué)、英國蘭卡斯特大學(xué)研究團(tuán)隊(duì),基于最新的人工智能技術(shù)建立了一套新型驗(yàn)證碼求解器。該驗(yàn)證碼求解器能夠以更高精度、更快時(shí)間、更低攻擊成本破解現(xiàn)有方法無法破解的復(fù)雜驗(yàn)證碼。實(shí)驗(yàn)表明,僅利用500個(gè)目標(biāo)驗(yàn)證碼優(yōu)化求解器,便可使求解器在0.05秒之內(nèi)攻破驗(yàn)證碼,該方法可以攻破全球排名前 50 網(wǎng)站使用的所有文本驗(yàn)證碼(截至 2018年 4 月)。這些網(wǎng)站包括大家熟悉的諸如谷歌、eBay、微軟、維基百科、淘寶、百度、騰訊、搜狐和京東等網(wǎng)站。而在驗(yàn)證碼的識別率上,該項(xiàng)研究比2017年發(fā)表在Science上的研究成果平均高出20%。在某些類型的驗(yàn)證碼上,該求解器甚至取得了比人工更高的識別率。研究表明,這是一個(gè)巨大的安全漏洞。 

人工智能技術(shù)或?qū)⒔K結(jié)文本驗(yàn)證碼時(shí)代 

該研究成果具有重要的科學(xué)價(jià)值和較大的應(yīng)用前景,引發(fā)全球?qū)W術(shù)界的關(guān)注,研究成果發(fā)表在剛剛舉辦的國際信息安全頂級會議ACM CCS (25th ACM Conference onComputer and Communications Security)上,同時(shí)亦獲得了最佳論文提名,這也是中國內(nèi)地在今年CCS上唯一一篇入圍最佳論文提名的文章。 

論文第一作者、西北大學(xué)信息科學(xué)與技術(shù)學(xué)院在讀博士葉貴鑫表示,該項(xiàng)技術(shù)不僅可以應(yīng)用到文本驗(yàn)證碼的攻擊上,還可應(yīng)用到其它基于圖像的攻擊場景中。目前,團(tuán)隊(duì)正致力于利用人工智能技術(shù)合成更為安全的驗(yàn)證碼來抵御此類攻擊。西北大學(xué)信息科學(xué)與技術(shù)學(xué)院副教授湯戰(zhàn)勇亦指出,通過該項(xiàng)研究,希望可以提高業(yè)界對文本驗(yàn)證碼安全性的重視和關(guān)注。近年來在人工智能技術(shù)取得重大突破這一背景下,文本驗(yàn)證碼的安全性已變得非常脆弱。因此,亟需考慮使用新型的驗(yàn)證碼方案。 

據(jù)悉,西北大學(xué)研究團(tuán)隊(duì)正在利用人工智能技術(shù),通過一系列技術(shù)改造,開發(fā)出既能適合大部分網(wǎng)友易于操作,又能抵御驗(yàn)證碼輕易被破解的攻擊。目前研究進(jìn)展順利,或許在不久的將來,文本驗(yàn)證碼的時(shí)代就會被徹底終結(jié)。 

 

責(zé)任編輯:

點(diǎn)擊排行