验证码对抗之路及现有验证机制介绍.docxVIP

验证码对抗之路及现有验证机制引见 阿里有句简约的话：不忘初心，方得一直。 验证码不是一个功能性的需求，他并不能带来业务的提升，也不能带来任何价值。 验证码只是为了处理机器问题才诞生的。在设计和验证码演化的过程中，必需同时考虑平安性和体验。 ? 让我们老考虑验证码的最简化模型，关键点在于：生成的问题能够由人来解答，并且机器难于解答。 于是传统的图形验证码的重点就放在了如何生成让机器难于解答的图片上来。 ? 从上图看来，相应的各种方法已经有了相当成熟的一些对抗方法，更不用说现在已经广泛众多的打码平台了。 结合我们平安性和体验两方面来讲，传统验证码在两方面来说都已经不能满足要求了。 ? 树林里分开了两条路 现在随着攻防的升级和对抗的不断加强，验证码的面前针对平安性和体验这两个关键点分出了两条路： 从体验上来：基于人类用户的行为 从平安性上来：基于人类认知问题的答案 ? 基于人类认知问题的答案，我们已经碰见过很多种了，这里简约贴两个： ? 当然也存在这类： ? 简要分析，优点明显：机器没有这个认知力量（废话，好多我都做不出来） ? 存在的问题有： 1.题库维护的难题。假如题库被遍历完成，那么其平安性无法保证。 12306为什么后面把问题变成了图片呢？ 由于有攻击者将每次的答案与消灭的可选问题进行了多次反复遍历，当这个遍历到达肯定次数后，会发觉某个答案与某张图经常会关联消灭（由于问题必定会有正确答案），通过这个消灭概率即可得到答案。于是，12306才把文字变成了现在扭曲的图片。 并且还有争辩人发觉，12306的图片可能大量来自某百科，通过逆向使用该公司的图像识别服务，可以得到该图片的部分标签。 ? 2.体验差 过年的时候，正常人平均都要答3、4次才能答对答案。而且部分图片由于辨别率不高、再加上缩小图片以后，会愈加的看不清了。 基于人类用户的行为，具体点就是用户在进行相应操作时，会产生的操作记录和环境信息（详见设备指纹一文）等。 基于人类用户行为这条路是基于以下基础的： 机器人的环境有别于正常用户 机器人的动作或频率等有别于正常用户 机器人的在相应关键业务点的行为规律有别于正常用户 ? 但是这个基础在技术对抗上有个更关键的点，在于如何构建一个平安的信道，将这些数据回传回来。假如这个信道的采集机制、加密机制和传输机制被攻击者所探知，那么以上采集的信息将没有隐秘可言。（换句话说，攻击者会伪装成正常用户的行为发送数据） 阿里所接受的前端采集和加密机制，利用自动化混淆、加密函数随机选择、线上自动迭代等力量将web前端打造为了一个可信的端，并将数据回传。（详见验证码的前世今生系列） ? 该类方法的优点： 收回了对用户的强打搅将基于学问和问题的对抗转变为前端加解密采集等机制的对抗假如攻击者无法攻破这一层堡垒，即便打码平台存在也无法攻击成功 缺点： 加解密机制需要做到足够强，并且需要拥有攻击感知力量、线上的自我变更力量和自动化测试等力量 我们选择了同时走两条 基于上述思考，阿里滑动验证综合考虑两品种型的方法，结合并推出了滑动验证的体系： 通过基于用户行为的第一道防备将对正常用户的打搅降低，使得正常用户可以以微小的代驾通过滑动验证，而同时对不确定的用户实施学问型问题的验证，在拦截机器人的同时，保障业务的正常平稳运转。 再看看google先阶段的norecaptcha： 可以看到，google的模式与阿里的模式有些类似，所不同的是google所使用的验证码模式是点击，而阿里是滑动。 简约分析下google，对于第一步的点击验证，google更多的是通过其基于虚拟机的强混淆器对整个数据采集过程进行了加密，并综合了环境信息（如设备指纹、cookie、点击频率等信息）来进行推断，而其次步的学问验证也包括以下几种（部分在之前的图中没有消灭）： 1.扭曲的图形 2.图形的分类 3.高级图形分类(会不断的出图，点完一张又一张) ? 那这样能否就是验证码问题的银弹呢？ 之前已经提到过，无论是google的norecaptcha还是我们的滑动验证，其核心都在于其本身的风控引擎和相应的规章，对于攻击者来说也有两条路： 正面强行突破，破解前端的密文、然后模仿正常用户行为，达到直接通过的目的 退而求其次，通过触发二次验证过程，然后通过ocr或者打码等其他方法通过 ? rsa上针对googlenorecaptcha的破解 4月8日，BlackHat上公布了一篇来自哥伦比亚高校的论文，大致上讲了他们是如何突破google的norecaptcha验证码的。 简约说明下他们的破解过程： 1.攻击者通过大量的模仿器及代理IP来伪造Browsing History及Browser Environment来Fuzz测试Google的风险分析系统。测试过程中发觉包括Useragent、Canv