身份验证码的重要性(从越来越变态的验证码)
身份验证码的重要性(从越来越变态的验证码)01I AM A SUBTITLE但是,12306网站的验证码,要么是在一群明星的照片中找出影帝影后,要么是在一堆山寨商品中找出真货,更过分的是在一打方言中选出“海南话”……彼时,被卡在验证码环节抢不到票的倒霉蛋不计其数。据360浏览器的大数据,用户一次性填对验证码的概率只有8%,两次输入正确的比例也不过27%。其中,中国铁路12306平台为了防止黄牛刷票,不断增加验证码难度,仅2015年,就推出了581种验证码方式。可能如网友所言:12306并不是很想卖你车票......请回答:你是机器人还是人类
近日,听到身边朋友吐槽,“验证码太烦了”。这位朋友要登录某个网站时,要输入验证码,验证码是各种形状相近图形,要求点击相应图形,就能通过。
这个要求看似简单,但这位朋友点了三次才通过验证,最后一次点击完成后,页面跳出了一行字——“恭喜验证通过!你不是机器人。”
无独有偶,近期网上也有不少关于“验证码越来越变态”的吐槽:现在上网输入验证码堪比做考题;网购验证了10次才通过,原本愉快的心情荡然无存;感觉被短信验证“玩弄”了,只因从短信界面回到验证界面后却被提示“你的验证码已失效”......
这些吐槽还勾起了不少网友被12306网站验证码支配的恐惧。2015年,如果想顺利买到火车票,抢票页面的“余票充足”并不能代表能买到,只有在付款前的验证码环节顺利通关,才算成功一半。
但是,12306网站的验证码,要么是在一群明星的照片中找出影帝影后,要么是在一堆山寨商品中找出真货,更过分的是在一打方言中选出“海南话”……彼时,被卡在验证码环节抢不到票的倒霉蛋不计其数。
据360浏览器的大数据,用户一次性填对验证码的概率只有8%,两次输入正确的比例也不过27%。其中,中国铁路12306平台为了防止黄牛刷票,不断增加验证码难度,仅2015年,就推出了581种验证码方式。可能如网友所言:12306并不是很想卖你车票......
请回答:你是机器人还是人类
I AM A SUBTITLE
01
当初,发明验证码的初衷并不是想为难人类,而是想为难机器人。但如今,被验证码气疯成了人们的日常。
2000年初,刚刚接触互联网的初代网民,也许还记得那时最头疼的事——总是删不完的垃圾邮件,随意弹出的攻击页面和永远快人一步,以及利用插件抢票的黄牛。刚刚兴起的互联网,无异于一条自行车都能上的高速公路,有人办正事,就有人制造代码程序故意捣乱。
当封号的速度赶不上恶意注册的速度,人工审核追不上重复运行的代码时,给上网冲浪设置门槛便迫在眉睫。
2003年,为解决这个问题,来自卡内基梅隆大学的一群博士创造了CAPTCHA(验证码),是一个全自动区分计算机和人类的公开图灵测试。
所谓图灵测试,就是人类提问计算机解答,用来判定计算机能否在智力行为上表现得和人无法区分。想要分辨电脑前是否为真人,只需要把这个测试反过来——由机器提问人类解答,“验证码”应运而生。
早期的验证码,由被变形、扭曲、翻转的数字或字符组成,机器人看不懂,但人类可以很清晰地分辨。由于这道简单的门槛,垃圾邮件、黄牛插件、恶意爬虫软件就很轻松地被阻挡在网页之外了。
但是好景不长,这样的验证码很快就被程序破解了。因为再复杂的程序也离不开26个英文字母、10个阿拉伯数字的组合,只要利用程序算法将字符与背景分离,久而久之,资料库便学会了识别。
此后,一套由庞大中文字符库组成的中文验证码也就出现了。而且,图文理解、阅读理解等验证码纷纷上阵,验证码变得越来越复杂了。目前,互联网采用的验证码主要分为由数字与字母组成的,由图、文组成的,也有由手机短信、微信扫码、刷脸等方式来验证的。
9月26日,有记者在多个网站、APP上体验了验证码验证过程。总的来说,输入两三次才通过验证的较多,简单的能一次性通过,而更繁琐时则需四五次才行。
验证码的背后是对“身份”的认证
I AM A SUBTITLE
02
验证码是一种区分用户是计算机还是人的公共全自动程序。其提供的问题必须只有人类才能解答,而回答出问题的用户就可以被认为是人类。因此,验证码的背后是对人的“身份”的认证,即“让你证明你是人类”的“身份认证”。
身份验证又称“验证”、“鉴权”,是指通过一定的手段(如验证码),完成对用户身份的确认。例如,人在网络上进行一些活动时通常需要登录到某个业务平台时,就需要进行身份认证。
而身份认证主要通过下面3种基本途径之一或其组合来实现:所知(what you know),个人所知道的或掌握的知识,如口令;所有(what you have),个人所拥有的东西,如身份证、护照、信用卡、钥匙或证书等;个人特征(what you are),个人所具有的生物特性,如指纹、掌纹、声纹、脸形、DNA、视网膜等,以及上述基本认证途径组合而成的双因素、多因素认证。
双因素、多因素认证的原理是都可以使用多个“身份验证因素”,这些因素可能是用户知道的、拥有的或者是属于他们自身的一部分(个人特征),常见的双因素认证如:用户名和密码(用户知道的东西),再加上通过短信发送到用户智能手机(用户拥有的东西)里的消息、链接或代码;多因素认证如:用户要输入PIN码(SIM卡的个人识别密码),插入银行卡,最后再经指纹比对,通过这三种认证方式,才能获得相关授权。
网上曾流传过这样一句话:在互联网上,没有人知道你是一个人还是一条狗。通过网络传递的身份是人是鬼,很难辨别。因此,身份认证的目的是鉴别通信中另一端的真实身份,防止伪造和假冒等情况发生。
网络环境下的认证不是对某个事物的资质审查,而是对事物真实性的确认。结合起来考虑,身份认证就是要确认通信过程中另一端的个体是谁(人、物、虚拟过程)。进行身份认证的技术方法主要是密码学方法,包括使用对称加密算法、公开密钥密码算法、数字签名算法等。
随着验证码越来越复杂、越来越变态的同时,其背后恰恰也是越来越“复杂”的身份认证。在各种数字技术发展的大背景下,网络安全领域的攻防大战不断演进,生物特征被盗用、被仿冒等安全威胁依然存在。而通过大数据分析、人工智能、生物识别等多种验证技术,来确认一个用户身份的可信度、属性、信誉、安全等,成为一件很有必要的事。
新兴技术就是一把双刃剑,在给大众工作生活带来便利的同时,也带来了日益暴涨的网络安全威胁。君不见,数据泄露、用户隐私泄露等安全事件比比皆是。以人脸识别为例,一种名为CycleGAN的深度学习模型就能轻松实现将一类图片转换成另一类图片;利用AI技术,已经能够伪造极度仿真的公众人物声音、神态及动作,生成难以识别的虚假视频。而这若是被犯罪分子利用,后果可想而知。
日常工作生活中,我们最常见的就是根据用户知道的信息来证明其身份,即用得最广的是“用户名 密码”,也就是静态密码的登录方式。有调查显示,平均每个网民的网络账户多达27个。如果每个账户都采用不同的复杂密码,无疑极大增加了记忆难度,定期更新密码更是一种负担。
因此,有将近60%的人会复用密码,其全部工作账户和个人账户的密码都是同一个;还有约20%的人使用极易被破解的弱密码;更有甚者,哪怕在个人账户被黑客攻击之后,也有45%的人不去修改密码。
而且,静态密码的安全性很低,很容易遭受各种形式的攻击,比如暴力破解、撞库、钓鱼邮件、木马病毒,等等。一旦被盗,就可能造成最大程度的损失,在损失发生前,通常还不知道静态密码已经泄漏。因密码失窃而导致的信息泄漏事件不胜枚举。
一般情况下,我们自己一系列的账密都是由姓名拼音、手机号等由字母或数字组成的简单密码,但在互联网技术层出不穷的今天,单一的账密真的能保证我们的账号信息安全吗?
此前的网络安全是基于IP(地址),但随着云计算的广泛使用,特别是随着远程办公和BYOD的盛行,地址不再唯一确定,IP逐渐变得只有通信价值而基本没有了安全价值。与此同时,面向IP的网络安全,也正转向面向ID的网络安全。ID的中文意思是身份标识号,面向ID,也意味着网络安全正在面向“身份”进行安全访问控制。因为“身份”具有唯一性(物理身份)、确定性。
身份认证是连接世界的透明度和信任的关键点,目的是建立系统和网络的访问者的信任关系。相传,最早的身份认证起源于西周的“虎符”,再到春秋战国时期商鞅推行的“照身贴”(上刻有姓名、住所、生辰、籍贯、身高、样貌等信息)、隋唐时期作为官员权利凭证的“鱼符”“龟符”,以及今天由初代身份证升级到的具有 IC 卡芯片的二代身份证,甚至是在 Web 3.0 时代数字化身份制度带来的“人”的在线,当数以亿计的人们与不计其数的相互关联的机器和设备相连时,他们的所有身份、联系、交易、数据完整性和隐私都必须得到最佳的管理和保护。如果没有身份认证的安全合规性,没有数据的保护和完整性,就没有可持续的业务。
数字革命方兴未艾,开展网络身份管理、确保网络主体身份可信、行为可追溯等数字化身份管理已成为网络空间治理的重要内容。我国《网络安全法》明确指出,“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”。
身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子、多因子认证,从静态认证到动态认证的过程。未来,随着技术的进一步发展,身份认证最将通过多项行为指标进行身份认证,只要行为特征得分超过一定数值,系统即可判断用户身份,整个过程甚至根本不再需要输入各种复杂的密码。不仅没有牺牲便捷性,而且还提高了安全性。无密码、无感知将是身份认证的最终归宿。
目前,已有可供使用的五种关键无密码技术:使用面部生物识别技术进行身份认证、硬件密钥提供额外的安全性、用户体验优先的二维码认证、行为分析无缝认证、零知识证明的密码认证。
