近日,脱口秀演员李雪琴在其官方微博晒出一张验证码登录的图片:
微博底下,网友纷纷开启花式开涮模式:
但更多的声音是,这类令人厌烦的字符验证码,为什么依然存在?
首先,我们得了解字符验证码存在的意义。正如李雪琴所言,验证码存在的意义就是抵御恶意机器人攻击,保护真实人类。大家可以想象一下,没有验证码守卫的互联网王国会是怎样:
各大网站将被垃圾广告信息刷屏;
社交平台上,僵尸账号横行,散布谣言并控制舆论;
抢楼抢车牌,抢热门机票火车票,抢限量鞋子包包,互联网上一切稀缺资源被垄断。
所以,互联网王国创造出「字符验证码」,通过扭曲模糊的字符图片,展开图灵测试。而无法正确回答出问题的单位,将被视为恶意机器人,被拦截在互联网王国之外。
那么问题就来了,显然李雪琴并不是恶意机器人,为什么也被拦截?字符验证码如此威武雄壮,偶尔一个李雪琴被拦截,大家调侃下可能就过去了。但问题是,恶意机器人与验证码守卫的战争升级了,这次被按在地上摩擦的变成了「字符验证码」。虽然恶意机器人被拦截下来,但面对万亿级的线上资产的诱惑,黑产大军对互联网王国的攻击从未停止。从传统的OCR识别到神经网络模型,黑产大军麾下的恶意机器人对传统的字符图片识别率高达98%,直接吊打字符验证码。
兵临城下,互联网王国再次对字符验证码做了强化,「字符验证码Plus」登场,其中就包括:「七加九等于?」这类加强版验证码:
所以,字符验证码这么威武雄壮,不好用大家忍忍也没啥?并不!随着人工智能技术的发展,通过模型训练,基于图片内容展开的图灵测试,已经没办法准确区分人机。
就这样,「字符验证码Plus」没把黑场与恶意机器人拦截,倒是把北大才子李雪琴拦住了。
更可怕的是,为了不被黑产识别破解,「字符验证码」最终走上了一条不归路:
五(sang)花(xin)八(bing)门(kuang)的字符验证码
现在,「字符验证码」防不防得住黑产先不说,用户肯定进不来。最后,张雪琴,王雪琴,赵雪琴,越来越多的雪琴被拦在互联网王国门外。这时候王国里面的企业不干了,开门做生意,哪有把客人往外推的理。于是,年迈的「字符验证码」守卫逐渐退出历史舞台。
只是,作为守卫互联网王国十余年的老兵,「字符验证码」一时半会还没法退休。比如,在政务、教育、银行、医疗等行业里,我们依然能看到它熟悉的身影:
人们已将其遗忘在互联网的某个角落,但是黑产并不会!以「撞库攻击」为例,根据美国网络安全服务商F5介绍,2017年至2019年期间,金融服务安全事件中,暴力破解与撞库攻击占比高达41%。而美国数据保护和信息安全研究中心Ponemon Institute表示,金融服务安全漏洞造成的损失比任何其他行业高1.7倍。
当前,以政务、教育、银行、医疗为代表的传统行业正经历数字化转型,线下流量纷纷向线上平台转移。用户为了方便记忆,所有网站与APP使用一套账号跟密码,方便自己的同时,也方便了黑产团伙。撞库攻击的成本和技术门槛并不高:黑产团伙在论坛下载社工库,挂个脚本即可实施攻击行为。
只是令人不解的是,验证码作为企业抵御撞库攻击的第一道防线,也是最为关键的防御,非但没有被强化,反而在政务、教育、银行、医疗为代表的传统行业,仍有许多企业跟机构还在使用传统的「字符验证码」。在黑产面前,「字符验证码」形同虚设:
并且,黑产团伙还在不断调整攻击策略,从传统的高密度高频次的海量攻击,转向「低可见度慢速」式的隐形攻击,当企业或机构反应过来的时候,传统「字符验证码」早已沦陷,用户隐私信息与资产早已落入黑场手中。
作为守护互联网王国的守卫,传统「字符验证码」已经失守。而在这个时候,互联网王国再一次创造了伟大的产品——「行为式验证码」。
区别于传统字符验证码的人机校验逻辑,跳出围绕图片内容展开图灵测试的模式。「行为式验证码」基于生物特征与人工智能技术,通过对用户的行为特征进行分析,利用深度学习构建安全防御体系,持续进化提升人机区分能力,保障业务稳定的同时提升用户体验。作为企业,我们必须非常非常严肃的态度看待安全问题,不容调侃。特别是关系到用户隐私数据,甚至资产安全的时候。传统的「字符验证码」如同一颗定-时炸-弹,因为没有人知道,下一个倒霉的会不会是自己。
如今,极验「行为式验证码」已经渗透到了数字化生活的各个方面:早起上班时,在肯德基点外卖、打开 36kr 浏览行业资讯,再打开石墨文档准备办公;出差旅游时,使用高德地图导航,或者去东航预定机票,再去华住和 Airbnb 上定个住宿;休闲娱乐时,去小米商城买个手机、刷刷微博、看看斗鱼直播、玩下剑三的网游等等。
而被拦截在外的雪琴们,终于也能够愉快的网上冲浪了。