新的攻击可能使网站安全验证码过时

新的攻击可能使网站安全验证码过时

研究人员发明了一种新型人工智能，可能会终结一种最广泛使用的网站安全系统。这种基于深度学习方法的新算法是迄今为止验证码安全和身份验证系统最有效的解决方案，能够击败文本验证码方案的版本，这些文本验证码方案用于保护世界上大多数最受欢迎的网站。

基于文本的验证码使用一堆字母和数字，以及其他一些安全特性(如遮挡线)来区分人类和恶意的自动计算机程序。它依赖于人们发现破译字符比机器更容易。该算法由英国兰开斯特大学(Lancaster University)、西北大学(Northwest University)和中国北京大学(Peking University)的计算机科学家开发，其精度显著高于以往的验证码攻击系统，能够成功破解之前攻击系统失败的验证码版本。求解器也是非常高效的。它可以在0.05秒内解决验证码使用台式机。

它通过一种被称为“生成对抗网络”(generate Adversarial Network，简称GAN)的技术发挥作用。这涉及到教授一个验证码生成器程序来生成大量的训练验证码，这些训练验证码与真正的验证码没有区别。然后，这些被用来快速训练一个求解器，然后对其进行改进，并针对真实的验证码进行测试。

通过使用机器学习的自动验证码生成器，研究人员(或将成为攻击者)能够显著减少寻找和手动标记验证码以培训软件所需的工作和时间。它只需要500个真正的验证码，而不是通常有效训练攻击程序所需的数百万个验证码。以前的验证码求解程序是特定于一个特定的验证码变体的。以前的机器学习攻击系统的构建是劳动密集型的，需要大量手工标记验证码来训练系统。验证码中使用的安全特性的微小变化也很容易使它们过时。由于新的求解器几乎不需要人工参与，因此可以很容易地针对新的或修改的验证码方案进行重构。

该程序在33个验证码方案上进行了测试，其中11个方案被许多全球最受欢迎的网站使用，包括eBay、维基百科(Wikipedia)和微软(Microsoft)。兰卡斯特大学(Lancaster University)计算机与通信学院(School of Computing and Communications)高级讲师、该研究报告的合著者郑旺博士表示:“这是首次使用基于gan的方法构造求解器。我们的研究表明，当前基于文本的验证码方案所采用的安全特性在深度学习方法下尤其脆弱。他说:“我们首次表明，对手可以很容易地对一种新的基于文本的验证码方案发起攻击。这很可怕，因为这意味着许多网站的首次安全防御不再可靠。这意味着验证码打开了一个巨大的安全漏洞，可以通过许多方式被攻击利用。该研究报告的主要学生作者叶桂新表示:“它允许对手对服务发起攻击，例如拒绝服务攻击、使用垃圾邮件或钓鱼消息，窃取个人数据，甚至伪造用户身份。”鉴于我们的方法对于大多数文本验证码方案的成功率很高，网站应该放弃验证码。

研究人员认为，网站应该考虑使用多层安全措施，例如用户的使用模式、设备位置甚至生物识别信息。