金融街 科技 正文

哪些科学密码被隐藏在熟悉的验证代码中?

2020-08-12 16:16   来源: 互联网

那个 "老司机" 已经跑到互联网上跑过波涛,知道了网站的验证代码,现在几乎每个网站和论坛都会有验证代码。


有人说,验证代码保护网站服务器和用户的隐私和安全;还有人说,验证代码严重影响用户体验,是浪费时间。那么验证代码是好的还是坏的?核查的原则是什么?什么样的验证代码是最安全的?科技周刊的一名记者采访了计算机视觉图像领域的专家,以揭示验证代码背后的科学密码。


验证码的诞生:区分计算机与真实人


抢购火车票,跳出九宫密码后,点击指定的图片验证,不容易玩 "每个人都找到了存根",看看火车票被抢了,这样的情况你经常遇到?是的,是什么阻碍了你熟悉的验证代码。认证码的存在似乎让用户体验糟糕,那么它的存在意味着什么呢?


现在,许多网络需要使用认证代码来注册和登录,以区分计算机和真实的人。张帅博士。D. 南京大学信息科学专业,南京视觉网络信息技术有限公司创始人。有限公司,他告诉 "科技周刊",验证码 "验证码" 的英文直译是 "图灵测试",它能自动区分计算机和人。图灵测验是人工智能界著名的实验。实验者问了一台机器和一个人类问题,如果实验者不能区分两者的区别的话。然后这台机器通过了图灵测试。验证代码是图灵测试的反向和变体,用于区分计算机和人。


在验证代码出现之前很久,垃圾邮件就飞到了世界各地,一些人通过注册大量新的电子邮件帐户发送垃圾邮件。电子邮件公司甚至不能像他们注册的那样快地删除他们的印章,许多人因此而受苦。直到一些程序员发现计算机程序很难识别手写文本,而且人类也很容易理解它,程序员在注册帐户时设置了一个阈值 -- 他们必须输入 "失真" 文本来完成注册,以区分计算机和真实的人,并且验证代码进入了历史的阶段。


使用图形验证代码,可以拒绝重播攻击(破坏身份验证的正确性),有效地避免了暴力请求破解的威胁。在图形(数字)验证码的基础上,一种新的验证形式,如滑块验证码、图像验证码、智能验证码等,都在缓慢发展。张帅说,此外,还有短信验证码,可用于支付宝、登录银行客户等安全性要求较高的应用,在一定程度上可以避免账户密码泄露、身份伪造等行为。


张帅说,随着技术的发展,通过图像识别文本和人工智能技术,机器也具有识别和理解验证代码的能力。常见的方法是在图像验证代码中添加噪声,以影响机器识别验证代码图像的真实信息;并通过运行在页面上的脚本进一步协助判断操作是人为行为还是机器行为。


核查代码也有所贡献:每年将超过 230 万本旧书数字化


有些网民做了计算,世界各地的网民每天都要输入数亿的验证代码。据粗略估计,人类每天输入验证代码的时间已经超过 500000 小时。存在验证代码是否浪费了时间和资源?


作为回应,多年来从事视觉图像领域工作的系统架构师王志林说,"存在是合理的,验证代码也不是无用的。" 例如,许多公共福利机构将旧书扫描成通常无法识别的电子版。书的内容大多是文本,验证代码也是文本,图书文本对的扫描版本与验证代码成对,让用户识别。



简单地说,就是创建一个新的验证代码系统,为用户提供两个可以识别的单词,这两个单词都是本书扫描版本的一部分。计算机已经知道了第一个单词的正确答案,而显示它的唯一原因是测试用户是否是真实的人。另一方面,计算机暂时无法识别第二个单词。对于第二个词,一旦 10 个人输入相同的答案,答案将被视为正确的答案。使用该方法,新的验证码系统可以成功地实现 2 多个验证码的数字化。每年有 300 万本古籍,为人类文化事业做出了巨大贡献。


当用户输入验证代码时,程序将不可避免地收集用户的行为数据,通过对这些数据的分析和培训,得到各种用户行为模型和习惯。王至林说,输入验证代码是一把 "双刃剑",用来验证用户是否是真实用户,同时也是数据隐私泄露的风险。


没有绝对的好人,也没有绝对的坏人。" 王至林说,一般来说,许可证协议和隐私协议都会提到系统将从用户那里收集哪些数据以及使用什么数据。但到目前为止,在许多情况下,用户没有权利选择是否共享这部分数据。


直到 2018 年,欧盟才颁布了一项全面的数据保护条例 --GDPR-- 严格保护个人数据。但王至林承认,个人资料的范围非常狭窄,如位置、DNA、联系信息等。用户在屏幕上从左向右滑动的鼠标被计算机程序记录下来,但这是否是隐私行为数据在协议中很难定义,也没有受到保护。而且,这种隐私披露不仅存在于智能验证码的学习过程中,而且还存在于整个互联网中。


人工智能正变得越来越聪明:验证代码将来会去哪里?


随着人工智能的不断发展,机器可以通过越来越多的图灵测试,经过大量的验证代码类型的机器训练,未来的验证代码还能发挥作用吗?如果人工智能学会识别验证代码并被别有用心的人使用,有什么对策?


张帅认为,无论人工智能有多聪明,验证代码都不会被删除。没有绝对安全的系统,他说。在利益的驱动下,反验证码技术将继续完善。通过判断是否存在真实的操作行为,网站可以区分人与机,攻击者可以反复训练机器来模拟真实人的操作,从而混淆检查的判断。验证码技术和反验证码技术将在相互作用的过程中交替推进。破坏安全的方式越来越困难,系统的安全措施也会越来越严格和完善,所以不要太担心。


一些网友说,一些验证代码太复杂,有时很难注册多个验证失败,这极大地影响了用户体验。对此,王至林表示,验证码已经进入智能时代,操作体验变得简单,用户只需点击页面 "我不是机器人"( 我不是机器人)的检查按钮。但实际上,从用户打开页面并加载验证代码的那一刻起,验证过程就已经开始。通过用户在页面上停留的时间、鼠标的移动速度、位置偏移等,通过浏览器信息请求头信息等作为参考因素,将这些复杂的数据发送到验证服务器的后台进行 Ai 分析,确定是否是真实用户的操作。


展望未来,张帅说,目前国内的认证编码技术大多停留在图形和图像相关的方向上,忽视了对语音和无障碍访问的支持。虽然一些网站提供了语音验证代码的功能,但仍有一些,他希望更多地关注和支持残疾人的使用经验,并提供更多的验证形式。




责任编辑:萤莹香草钟
分享到:
0
【慎重声明】凡本站未注明来源为"金融街"的所有作品,均转载、编译或摘编自其它媒体,转载、编译或摘编的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如因作品内容、版权和其他问题需要同本网联系的,请在30日内进行!