“验证码的进步就是一个‘研究、破解、提升、再破解、再弥补’的过程,国际、国内的许多公司常向我们寻求建议。”2013年,各大网站纷纷推出空心验证码,它打破了传统的实心字体的模式,用轮廓线的空心字体替代。这样当多个字符重叠粘连的时候,机器识别度较差,但是人类仍然可以很好的识别。但高海昌发现,只需先将空心填充成实心字符,使用颜色填充算法得到离散的笔画块。然后使用卷积神经网络和深度优先算法对笔画块进行组合识别,寻求最优解作为识别结果,此类验证码也可就此被破解。
“我们针对Yahoo、百度、新浪、腾讯、和中国移动在线支付网站的空心验证码分别取得了36%、51%、59%、89%和66%的成功率。”此成果的研究文章“The robustness of hollow CAPTCHAs”被密码学和信息安全领域享有崇高声誉、公认的顶级国际学术会议之一的ACM CCS 2013正式录用,这也是中国大陆研究机构首次有论文在这个高档次会议上发表。
“Yahoo和腾讯等公司的空心验证码被攻破后,也主动联系我们,希望我们能对其验证码改进提供帮助。如今,腾讯公司每当推出新型验证码后,总会首先让我的团队试一试能否破解。”高海昌说,“验证码可以防止滥用网络资源,与普通人生活息息相关,是网络安全的第一关。”
未来方向:“破”与“立”中守护互联网安全
当文本验证码被证明不再安全,寻找可使用简便、安全性又高的新验证码,便成了高海昌目前工作的重点。“‘破’是为了更好地‘立’。想要设计新型的验证码,就需综合考虑当前图像处理和人机交互领域的最新进展和成果,尽力挖掘出人类擅长处理而计算机AI算法不擅长的。”高海昌说,“这个过程中,最难的便是如何保证验证码不易被破解,同时还实现用户友好。”
近日,高海昌正致力于研究一种十分巧妙的新型图片验证码。“现有计算机无法破解,方法也很简单。”高海昌介绍说,“在背景图片上自动生成几个线条不连续不均匀、形状不规则的几何图形,图形之间相互交叠,背景中再加入一些短线条作为噪点,就构成我们正在提出的新型图形验证码。人类很容易分辨,计算机却难以区分识别这些不规则几何图形的边界。”经试验,尚没有计算机程序能有效破解高海昌团队所提出的新验证码。人类数起来很简单,又能有效阻挡恶意程序,在文本验证码被证明不再安全、深入研究失去意义时,这种巧妙的验证码或许为今后相关领域的研究提供了一个值得深入探索的方向。
“缺点也并非没有。因同一个图片中圈的数量不能太多,否则人类也可能难以数清;数量很少的情况下,计算机存在通过多次猜测猜中验证码的可能。针对这种情况,我们将图片的数量增加到5张,平均每张1到10个圈。如此,只需短短几秒人类便可轻松通过验证码,同时安全性也大大提高。”目前,此验证码的研究文章已投给相关杂志。
尽管文字验证码已被证明不安全,但因其使用的便捷性,以及新型验证码机制的不成熟(如典型的12306图像验证码),尚不可能完全被取代。“图形验证码比文本验证码先进,这也是技术发展的趋势。谷歌就推出了将任意图片切成圆形生成验证码,然后将图片旋转,用户在使用时只需将角度转正即可。这种验证码机器识别难度同样很大。某些网站也推出了手机短信验证等新型验证码,这是文本或图片验证码很好的替代方式,但对服务器要求颇高。”高海昌说。
“验证码的研究是小步前进的,每次进步都是已有成果上的小幅推进,想要提出一种全新的验证码,达到鲁棒性和可用性的最佳平衡,目前来说难度还很大。”高海昌说,“但安全无小事,技术上不能开倒车,在未来,运用指纹、虹膜等生物特征作为验证码得到普及也有可能实现的一天。坚持下去,验证码的发展或许会有翻天覆地的变化。”
在这场“破”与“立”的拉锯战中,高海昌乐在其中。
(文/西电新闻网·付一枫)