验证码的工作原理
长期以来,网站和移动应用程序一直受到机器人的大规模攻击。
这些恶意机器人通过编程自动消耗大量计算资源、发布垃圾信息、收集网站数据,甚至注册和执行用户验证。
2022年,所有互联网流量的近一半(47.4%)来自机器人,比上一年增加5.1%。人类流量的比例(52.6%)降至八年来的最低水平
在这种情况下,CAPTCHA(全称为"区分计算机和人类的全自动公共图灵测试")应运而生,也就是我们现在所熟知的验证码。
作为一名计算机科学家,Tam Nguyen认为验证码是网站防止自动攻击、加强网络安全和改善用户体验的有效屏障,至少在短期内是这样。
验证码被设计为一些对人类来说很容易,但对计算机机器人来说却很难回答的问题或挑战。
它可分为四种类型:基于文本、基于图像、基于音频和基于行为。
基于文本
自互联网诞生之初,基于文本的验证码就非常流行。
这种验证码类型要求用户阅读扭曲而复杂的文本图像,并将答案输入文本字段。
基于文本的验证码的一种变体是要求用户解决简单的数学问题,如"18+5"或"23-7"。
不过,由于深度学习人工智能的普及,最近先进的光学字符识别算法已经解决了这个问题。
具有讽刺意味的是,当文字被调整得更加失真、更加复杂时,真正的人类却无法提供正确的答案。
《连线》曾发表文章,"我本周两次验证码测试都失败了,我还是人吗?"
基于音频
音频验证码会播放一段简短的音频片段,其中包含由人工或合成声音说出的一系列数字或字母,用户听完后会在提供的文本字段中输入这些数字或字母。
输入内容会与正确答案进行验证,以确定用户是否为人类。
与基于文本的验证码一样,音频验证码也会因背景噪音、音频质量差、失真严重和口音不熟悉等因素而难以被人类解读。
基于图像
引入基于图像的验证码是为了增加对机器人的挑战性。
用户必须从图像中识别特定对象,例如,选择包含交通信号灯的所有图像块。
这项任务利用了人类的视觉感知,而人类的视觉感知仍然优于大多数基于计算机视觉的机器人。
然而,这种类型的验证码在很多情况下也会让人感到困惑。
"验证码总是让我对那些小边缘陷入纠结"
基于行为
基于行为的验证码会分析用户的行为,如鼠标移动和打字模式等。
流行的基于行为的验证码reCAPTCHA 要求用户勾选"I'm not a robot"框。
在此过程中,reCAPTCHA会分析鼠标的移动和点击,以区分人类和机器人。人类的行为通常变化较多,可预测性较低,而机器人的行为通常精确一致。
AI vs. 人类
在人工智能与人类之间似乎无休止的争斗中,验证码是又一个战场。
最初,基于图像的验证码的想法是为了帮助训练AI执行书籍数字化任务时能更好地执行文本识别。
这个由Luis von Ahn(多邻国联合创始人)发明的创举,将扫描不清的单词作为验证码展示给人类,通过识别这些单词,我们教会了人工智能。
如今,人工智能已经变得越来越先进,可以利用深度学习和计算机视觉等现代技术来解决验证码难题。
例如,光学字符识别算法不断改进,使得基于文本的验证码变得不那么有效。先进的语音转文字技术可以绕过音频验证码。同样,经过大量图像数据集训练的人工智能模型也能以较高的准确率解决许多基于图像的验证码问题。
论文地址:https://arxiv.org/pdf/2307.12108
在战场的另一端,验证码研究人员创造了更复杂的验证码技术。
例如,reCAPTCHA可以评估用户的交互行为,并计算出他们是人类的可能性。
具有讽刺意味的是,人类正在帮助人工智能解决复杂的验证码问题。
例如,点击农场(click farms)雇用大量低薪工人点击广告,包括社交媒体帖子、关注账户、撰写虚假评论,甚至解决验证码问题。
越南社交媒体点击农场
他们的工作就是帮助人工智能系统表现得像人类一样,从而击败验证码和其他防欺诈技术。
验证码的未来
安全措施与寻求规避安全措施之间的永久军备竞赛促进了不断的创新。
随着人工智能的不断发展,网络安全专家和那些寻求突破数字障碍的人所采用的方法也会不断发展。
可以预见,验证码的未来将受到人工智能不断进步的影响。
传统的验证码方法正在失去效力,因此未来的验证码系统可能会更加注重分析用户行为,例如人们如何与网站互动,从而使机器人更难模仿这种行为。
网站可能会转向使用生物识别验证码,如面部识别或指纹扫描,但这些都会引发隐私问题。