TO 導讀:每當我們要登入某些系統時,電腦都會要求我們拼出一串扭曲的英文字母和數字。這個目的,主要是以防軟體的惡意侵入,必須區分登入系統的究竟是程序還是人類。但老實說,這麼簡單的方式可行嗎?
隨著科技越來越發達,技術也越來越透明,要破解這些驗證並不是件難事。所以,該用怎麼樣的方法才能辨真假呢?Google:「只要一鍵就行了」現在,就讓我們來看看 Google 的這一鍵是有多強大吧!
1947 年當阿蘭‧圖靈第一次構想圖靈測試的時候,他提出了一個很重要的點:有著和人類智能相近的計算程序,通過回答一系列問題,可以被區分究竟是程序還是人類。在大約 70 年之後,Google 宣布他們把這種圖靈測試做到了最簡單粗糙的層次:通過鼠標的一次單擊就可以下判斷。
- 不,這些驗證方法都不行!一個超容易被駭,另一個又太複雜
目前區分計算程序和人類最廣泛的應用在於網站的登陸註冊驗證。CAPTCHA 驗證系統已經被大範圍使用了,但是顯然這種方式很複雜:他要求用戶輸入扭曲的文本或數字,以防止被軟體惡意登陸註冊。CAPTCHA 另一個嚴重的缺陷在於,已經有很多駭客可以破解這種方法了。
於是人們開始引入圖像,用圖像匹配的方式作為驗證方法:比如給定一張貓的圖片,要你在一排動物圖片裡選出相近的一張。這對計算程序來說很難,因此可以用來區分惡意軟體。
不過這種方式還不夠極簡。
- Google 大神出馬,只要「一鍵辨真假」
Google 拍了拍腦門,最方便輕鬆的方式,不就是動下鼠標單擊嗎。
如圖所示,只要移動鼠標,單擊「我不是機器人」旁邊的複選框打勾,系統就可以判斷你是機器還是正常用戶。如果判斷結果顯示非人類,系統會再利用此前圖像匹配的方法進一步進行測試。這一驗證系統被 Google 稱作 NoCAPTCHA reCAPTCHA。
- 其實,reCAPTCHA 早就記住你的地址和身分了!
reCAPTCHA 其實在不知不覺中利用了用戶提供的 IP 地址和 cookies。通過 IP 和 cookies,Google 可以判斷當前用戶是不是以前曾經在 web 上「被記住過的熟悉的人」,此外,鼠標向複選框靠近時移動的行為和姿態也是一個非常細微的判斷線索。
人類行為(Human behavior)包含著很多有價值的信息,數字環境下的人類行為更是如此。Google 表示,他們還通過其他許多線索做判斷,以便更好秘密的攔截更多機器軟體--不過公開這些方法會讓殭屍主控機不斷學習和改進惡意攻擊,對於驗證系統很不利。
目前,Snapchat、WordPress 和 Humble Bundle 等網站正在測試 Google 新版的 CAPTCHA。Google 稱 WordPress 60% 的流量和 Humble Bundle 80% 的流量都通過了 reCAPTCHA 直接被判斷為人類,極大的提升了用戶體驗。
對於智能手機和平板的移動端,Google 暫時還是沿用著圖像匹配的驗證方法。
- Google 大神高瞻遠矚,早開始研究驗證系統!
Google 其實很早就開始做這方面的研究了:在很多按點擊量付費的網站廣告,為了防止機器的惡意點擊,很早就需要類似的防欺詐方法。而據說這種全自動區分計算和人類的檢測方法至少在 2013 年就開始被集成進入 CAPTCHA 驗證系統裡了。今年情人節的時候,Google 則推出了一項測試實驗,向用戶展示簡單清晰的單詞如「love」、「Flowers」 等,系統可以判斷是否有惡意程序通過圖像識別技術獲取了字體內容,從而攔截機器用戶。
- 我們的生活都在 Google 掌控中?放心,不會的
在我們讚嘆科技越來越神奇的時候,或許也有些人在角落裡默默擔憂:Google 會不會(或者已經)知道得太多了?用戶在網上蛛絲馬蹟的動作行為,Google 好像可以輕易的組合起來,還原出一個人真實的全貌。
不過 Google 表示,在其他網站上出現 reCAPTCHA 驗證對話框時,Google 只能在對話框範圍裡記錄跟踪用戶鼠標的移動行為,而不是整個網頁範圍。
