研究發現網站文本驗證碼存在「巨大安全漏洞」

由中國西北大學房鼎益、陳曉江教授團隊聯合北京大學、英國蘭卡斯特大學研究發現，網站上看似複雜的文本驗證碼存在「巨大安全漏洞」，大多數可被人工智能破解。這一成果發佈於近期由國際計算機協會在加拿大舉辦的2018年計算機與通信安全會議上，該會議是國際公認的計算機安全領域的頂級會議之一。

 

西北大學團隊負責人房鼎益教授介紹，團隊基於最新的人工智能技術，創建了一套新型驗證碼求解器。他們綜合分析了全球最熱門50個網站的文本驗證碼，包括公衆熟知的谷歌、eBay、微軟、維基百科、淘寶、百度、騰訊、京東等網站。實驗證實，大部分文本驗證碼可在0.05秒內被人工智能攻破。

 

 

近10年來，驗證碼已成爲大部分網站和應用程序必備的安全機制之一。雖然過程繁瑣，但卻起着重要的做用。在輸入驗證碼時，後臺系統能經過輸入時長來識別登陸者是人，仍是計算機程序，從而避免因惡意登陸致使的密碼泄露、刷票、做弊等現象。

 

「驗證碼一旦被人工智能攻破，寫個程序就能成爲水軍，用機器點贊或投票；也能刷搶火車票，這是人工操做作不到的。」房鼎益說。

 

然而實驗代表，大部分網站文本驗證碼的破解率可以達到50%以上。團隊主要成員、西北大學信息科學與技術學院副教授湯戰勇說，經過這項研究，但願能提升業界對文本驗證碼安全性的重視和關注。近年來在人工智能技術取得重大突破這一背景下，文本驗證碼的安全性很是脆弱，咱們急需考慮使用新型的驗證碼方案。

 

房鼎益教授也表示，目前研究人員正致力於利用人工智能技術合成更安全的驗證碼來抵禦此類攻擊。「咱們試圖在不影響交互性的基礎上，讓用戶體驗更便捷，讓機器更難識別，確保網絡安全和用戶隱私不被泄露，是咱們將來的研究方向。」