研究發現網站文本驗證碼存在“巨大安全漏洞”
由中國西北大學房鼎益、陳曉江教授團隊聯合北京大學、英國蘭卡斯特大學研究發現,網站上看似複雜的文本驗證碼存在“巨大安全漏洞”,大多數可被人工智能破解。這一成果發佈於近期由國際計算機協會在加拿大舉辦的2018年計算機與通訊安全會議上,該會議是國際公認的計算機安全領域的頂級會議之一。
西北大學團隊負責人房鼎益教授介紹,團隊基於最新的人工智能技術,建立了一套新型驗證碼求解器。他們綜合分析了全球最熱門50個網站的文本驗證碼,包括公眾熟知的谷歌、eBay、微軟、維基百科、淘寶、百度、騰訊、京東等網站。實驗證明,大部分文本驗證碼可在0.05秒內被人工智能攻破。
近10年來,驗證碼已成為大部分網站和應用程序必備的安全機制之一。雖然過程繁瑣,但卻起著重要的作用。在輸入驗證碼時,後台系統能通過輸入時長來識別登錄者是人,還是計算機程序,從而避免因惡意登錄導致的密碼洩露、刷票、作弊等現象。
“驗證碼一旦被人工智能攻破,寫個程序就能成為水軍,用機器點贊或投票;也能刷搶火車票,這是人工操作做不到的。”房鼎益說。
然而實驗表明,大部分網站文本驗證碼的破解率能夠達到50%以上。團隊主要成員、西北大學信息科學與技術學院副教授湯戰勇說,通過這項研究,希望能提高業界對文本驗證碼安全性的重視和關注。近年來在人工智能技術取得重大突破這一背景下,文本驗證碼的安全性非常脆弱,我們急需考慮使用新型的驗證碼方案。
房鼎益教授也表示,目前研究人員正致力於利用人工智能技術合成更安全的驗證碼來抵禦此類攻擊。“我們試圖在不影響交互性的基礎上,讓用戶體驗更便捷,讓機器更難識別,確保網絡安全和用戶隱私不被洩露,是我們未來的研究方向。”