顶象学院首页>文章详情

从第一代到第四代,细数验证码的发展路径

2021-11-24| 4500

验证码作为人机交互界面经常出现的关键要素,是身份核验、风险防范的重要部件,也是用户交互体验的第一关口,广泛应用在视频、教育、金融、电商、航旅、互联网、公共服务等行业的网站和App上。

验证码的全名是“全自动区分计算机和人类的图灵测试”,利用“人类可以用肉眼轻易识别图片里的文字信息”,以区分出操作者的真伪,在注册、登录、交易等各类场景中发挥着巨大作用。能够防止操作者利用机器软件程序化的垃圾注册、仿冒登录、盗取信息、虚假领取福利、虚假兑换奖品、破解账户密码等,从而保障企业资金安全、营销安全和信息安全。

验证码已诞生19年

验证码诞生于19年前。2002年,路易斯·冯·安(Luis von Ahn)斯和他的小伙伴在卡内基梅隆第一次提出了“验证码(CAPTCHA)”这样一个程序概念。该程序基于重要假设:提出的问题要容易被人类解答,并且让机器无法解答。

undefined

早期的验证码就是网站提出一些问题,随着安全防护与破解入侵两方面的抗衡日益升级,验证码的难度在增加,形式也在多样化。从简单的字母数字、算术题,到扭曲的字符、模糊的图片,这些被归类为知识性验证码。从第三代的验证码开始,已开始向无知识型进化,操作者只需要点击或拖动滑条就完成验证。而第四代验证码,甚至不需要任何操作,就能够自动完成验证,良好解决安全和体验的矛盾。

第一代验证码:图文展示类

第一代验证码的核心是图文识别的判断。操作者只需要识别扭曲、模糊、混淆的图文,并输入正确的内容即通过验证。

undefined

第一代验证码设计简单、展现清晰,但是随着技术发展,很容易被攻击者破解。网上搜索“验证码破解”,有几十万条相关的内容。

2018年12月,西北大学公布一项研究结果,“文本验证码”存在巨大安全漏洞,人工智能技术最快0.05秒内可破解。团队基于最新的人工智能技术,建立了一套新型验证码求解器,可轻松破解热门网站的文本验证码,包括谷歌、eBay、微软、维基百科、淘宝、百度、腾讯、京东等网站,破解率超过50%。

验证码的设立很大程度上是为了对抗高频的暴力破解,阻挡坏人的自动机进攻的步伐,所以验证码自身的安全性非常必要的。

第二代验证码:知识问答类

第二代验证码的核心是对相关问题的计算或判断。操作者计算或判断展示的各类问题、异类选项,并选择后输入正确答案即通过验证。

undefined

第二代验证码的展示的内容比较复杂,能够有效防止常规的常规的暴力破解。但是也是由于验证码设计复杂,导致操作使用不便。不仅影响正常操作与体验,更消耗操作者时间,由此被用户疯狂吐槽。

第二代验证码过于强调验证码的安全性,导致验证越来越复杂,从而严重影响了正常用户的应用体验。

第三代验证码:行为轨迹类

第三代验证码的核心是行为轨迹的识别与操作。操作者按照需求,通过拖动、点击、拼接等方式,将图文完整合成或移动到指定位置即通过验证。

undefined

第三代验证码弥补了此前两代验证码的不足,展示的内容简单,验证又很复杂。由于强调操作者的动手能力,避免静态展示内容屡遭解的问题。不过,由于操作灵敏度和精细化的要求,对老年人的视觉和操作要求比较高,很容易操作失误,导致流程中断或退出。

既安全又易用,孰前孰后?这不仅是技术人员创新的需求,也是运营人员需要平衡的现实问题。企业需求一种能够能够满足安全验证需求,提升操作体验,节省操作者时间,更满足老年人操作习惯的验证码。

第四代验证码:智能验证类

第四代验证码的核心是不再依赖单一维度进行验证,而是根据操作者环境进行智能分析与综合判断。操作者进入服务后,验证码首先对设备、行为、频率、网络环境等综合分析,然后给出综合结果判定,如果判定是合法用户则免验证,直接放行;如果判定为异常用户,则根据风险出现相应验证内容,要求操作者进行二次验证。

undefined

第四代验证码重点解决前面三代验证码不足。通过不断提高免验群体,免去正常用户辨别验证码、操作验证码的苦恼,大大提升用户体验;通过数据分析和人工智能判断,降低验证码遭破解的可能,继续保障业务的安全保护能力。

第四代验证码虽然不能完全做到全部免验证,但最大限度降低了用户被打扰的可能性,实现了易用性与安全性的平衡,让鱼与熊掌兼得。

顶象无感验证

作为第四代验证码的代表,顶象无感验证集设备指纹、行为校验、操作校验、地理位置校验等多项功能与一身,基于设备、时间、访问频率、操作轨迹等信息,智能分析与预先判定操作者是合法用户还是仿冒者。对于合法用户,免验证即通过;对于异常用户,根据潜在风险等级进行二次验证或直接拦截。既保障安全,又提升操作体验。

灵活定制:针对不同用户群和需求,顶象无感验可以设置简单和复杂模式,对字体、色彩、速度、难易度、二次验证方式等进行不同定制,满足不同用户群体的需求。

隐私性高:顶象无感验证数据安全性更强,部署在企业本地服务,充分保护数据安全。

风险识别能力强:顶象无感验证集成设备的风险数据与判断依据,能够有效识别模拟器、刷机改机工具,及时发现越狱、Root等设备。

安全性高:顶象无感验证独有动态加解密混淆算法,能够对JS代码进行混淆压缩,并定时自动化更新算法,自动变更数据加密,实现验证码校验的快速自动迭代,增强破解难度。

防破解性强:顶象无感验证提供了海量的验证图片,能够自动对图片进行乱序切图,并随机制定验证图片的缺口位置以及形状,提高机器破解的难度。

多种平台兼容:顶象无感验证支持Android、iOS、Web(H5)、微信小程序等,满足业务多平台需要。

顶象是国内领先的业务安全公司,自主研发了全链路的风控中台产品矩阵体系,包括设备指纹、第四代验证码、实时决策平台、端加固、数据采集保护、工业系统保护、模型平台、关联网络平台、知识图谱等风控、安全和人工智能产品,有效保障了企业的业务应用和基础设施安全。通过在金融、零售、航旅、电力、互联网、工业制造、石油石化等行业积累了丰富的实战经验,沉淀了数万条业务策略和数百个场景化应用方案,能够为企业提供风险预警与评估、反欺诈、安全防护、营销推荐、分层运营等服务,构建起覆盖事前、事中、事后全生命周期的安全体系,让业务更加安全、智能、稳定,助力企业创新与增长。

加入社群

扫码进群领
【业务安全】资料礼包

在线咨询
400-878-6123