@ 2014.08.19 , 16:09
28

新型DCG验证码:就是玩小游戏

验证码的作用是识别用户是人类还是计算机,过去的方法通常是让你输入一串难以辨认的扭曲字母和数字,但是阿拉巴马大学伯明翰分校的研究人员公布了一种新的验证码技术,至少比起原来的更加生动。

[-]

许多网络服务提供商为了防止人们滥用网络资源,利用验证码作为安全机制进行筛选,但是一直以来人们一直对验证码存在争议。而且已经有技术能够成功攻破许多现存的验证码技术。

信息安全和联合计算机取证研究中心的信息安全骨干带头人之一,也是阿拉巴马大学伯明翰分校计算机和信息科学系副教授Nitesh Saxena博士带领团队对下一代验证码的安全性和实用性进行了研究,让人惊奇的是这套验证码技术其实就是一系列电脑游戏。

阿拉巴马大学的研究人员的主要研究方向是游戏性验证码,名为动态识别游戏(dynamic cognitive game,简称DCG)。用户要完成的操作类似游戏,其中包括一系列动态图片。比如说,在停船这个DCG中,用户需要从一些移动的物体中挑出船,再把它拖拽到允许停靠的码头位置后放开鼠标。

游戏对于人用户来说轻而易举,但是对于计算机程序却很难。而且整个过程类似游戏,相比传统的字符型验证码,用户的投入度更高。

Saxena的团队任务就是验证DCG验证码的有效程度,他们先是构建了一个原型识别游戏,来代表DCG验证码,然后编写了一个新的全自动攻击框架,试图破解DCG。

“攻击的原理是计算机视觉技术,可以通过历史题目构建自己的词典,以后遇到新的题目就能通过查询词典破解。”

“在传统验证码系统中,计算机难以识别扭曲字符——但是经过训练的人类几秒钟就能识别出,”Saxena“问题在于罪犯完全可以雇人破解——每次1分钱或者更低的代价——人们只需要坐在电脑前破解验证码,他们就可以为所欲为。这被称为验证码中继攻击。”

阿拉巴马大学博士研究生也是该研究的作者之一的Manar Mohamed表示目前各种验证码对于此类中继攻击都毫无招架之力,他们的研究显示DCG验证码是第一个可以有效探测到中继攻击的验证系统。

在DCG验证码中,当被雇佣的人提交移动物体的位置信息之时,游戏中的物体可能已经移动到了其它位置,那么提交的位置信息就会不准确。如果是网页机器人,它们要么会超时,要么错误次数过多,马上会被后端服务器识别出这些不符合正常人类的操作。所以DCG验证码可以在某种程度上抵抗中继攻击。

目前研究团队还在重新设计DCG验证码,提高防御自动和半自动攻击的能力。

有兴趣的可以试试

本文译自 UAB,由译者 王大发财 基于创作共用协议(BY-NC)发布。


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

4.6
赞一个 (3)

TOTAL COMMENTS: 28+1

  1. 2515488

    本来登录就图个快字,输验证码已经够慢了够麻烦了,现在居然…………等等,蛮好玩的!!不登了……

    [217] XX [3] 回复 [0]
  2. 2515493

    煎蛋新型DCG验证码,随机OIOI文章,找出里面的错别字。

    [107] XX [1] 回复 [0]
  3. 2515497

    玩不过去怎么办。。。

    [13] XX [0] 回复 [0]
  4. 随便说说
    @3 years ago
    2515500

    @WOW: 不会的,其实看图片也就是把骨头图案移动到狗狗图案上面之类的测试,但是因为电脑不能识别图片和文字的对应关系,所以可以分别出是人类还是机器。

    [17] XX [1] 回复 [0]
  5. 玉兔中郎将
    @3 years ago
    2515501

    一个大活人却要用一堆扭曲的文字来证明自己是一个活人

    [45] XX [4] 回复 [0]
  6. rosses
    @3 years ago
    2515503

    注册gmail的验证码最坑爹拉

    [13] XX [0] 回复 [0]
  7. scythe
    @3 years ago
    2515504

    然后游戏玩输了,人就发现电脑开始自己玩自己了

  8. sample
    @3 years ago
    2515512

    验证码这东西真是反人类,有时候急着登陆就是看不清那个验证码弄得和鬼画符似的。

  9. 说啥呢
    @3 years ago
    2515514

    为了注册玩了一下午……

    [28] XX [0] 回复 [0]
  10. 勇敢的骚年
    @3 years ago
    2515519

    未来DCG验证码:是人类就下100层

    [67] XX [0] 回复 [0]
  11. 2515539

    “在传统验证码系统中,计算机难以识别扭曲字符——但是经过训练的人类几秒钟就能识别出,”Saxena“问题在于罪犯完全可以雇人破解——每次1分钱或者更低的代价——人们只需要坐在电脑前破解验证码,他们就可以为所欲为。这被称为验证码中继攻击。”

    你以为用游戏的方式,罪犯就不能雇人破解了么?

    [13] XX [2] 回复 [0]
  12. 2515546

    要是换成flppy bird。。。

    [10] XX [1] 回复 [0]
  13. 2515549

    要是换成flppy bird。。

  14. 2515562

    @随便说说: 间接上优评了 好感动

  15. 吐了一裤子
    @3 years ago
    2515567

    要是随机出现滑雪大冒险,还只要求几千万分……咳,我是说机器人也能过啊……

  16. 2515572

    看我按键精灵脚本!

    你有多少小游戏让电脑玩?

  17. 2515575

    这种纯反应类的小游戏,电脑比人强多了

  18. 场地湿滑
    @3 years ago
    2515580

    未来验证码就是一张XX图片,生殖器植入监测生理反应的芯片,哎呀我太邪恶了……

  19. 2515646

    验证码是一个用户体验糟糕透顶的发明

  20. iiadesuyo
    @3 years ago
    2515683

    看起来以后海豚,红毛猩猩和乌鸦也能上互联网了

  21. 不要翘
    @3 years ago
    2515700

    请问这种验证码要怎么样在移动端展示出来,感觉很复杂………………

  22. 2515751

    以后是不是要升满级,集齐所有装备,打完最终boss才能登陆。

  23. Tannins
    @3 years ago
    2515755

    如果验证码都只是移动一个东西到相应位置上,那么电脑程序用穷举法不是就能通过?反正可能的方法数固定的,而正确结果只有一个,总有概率会破解。

  24. blu10ph
    @3 years ago
    2515794

    @玉兔中郎将: 你还得用身份证证明自己的身份呢~

  25. 2515800

    网速慢的时候蛋疼了,本来要刷出一张验证图需要多花个10来秒,现在要花几分钟刷出个验证小游戏。。

  26. 我叫鸡仔
    @3 years ago
    2515814

    他们先是构建了一个原型识别游戏,来代表DCG验证码,然后编写了一个新的全自动攻击框架,试图破解DCG。

    病毒和杀软公司是不是就这么干的,先写个病毒,然后出反病毒让用户使用推广自己。。。

  27. 池塘王子
    @3 years ago
    2515996

    游戏太难所以放弃了

  28. 神之疯神
    @3 years ago
    2516219

    @我叫鸡仔: 逻辑反了吧,应该是杀软公司开发一个新杀软,然后写一个病毒测试能不能破自己的杀软

发表评论


24H最赞