新攻擊可能會(huì)使網(wǎng)站安全驗(yàn)證碼過(guò)時(shí)

研究人員創(chuàng)造了新的人工智能，可以為最廣泛使用的網(wǎng)站安全系統(tǒng)之一拼寫(xiě)終結(jié)。

基于深度學(xué)習(xí)方法的新算法是迄今為止驗(yàn)證碼安全和認(rèn)證系統(tǒng)最有效的解決方案，能夠擊敗用于保護(hù)世界上大多數(shù)最受歡迎網(wǎng)站的文本驗(yàn)證碼方案。

基于文本的驗(yàn)證碼使用混雜的字母和數(shù)字，以及其他安全功能，如遮擋線，以區(qū)分人和惡意自動(dòng)計(jì)算機(jī)程序。它依賴(lài)于人們發(fā)現(xiàn)比機(jī)器更容易破譯人物。

該解算器由英國(guó)蘭開(kāi)斯特大學(xué)，西北大學(xué)和中國(guó)北京大學(xué)的計(jì)算機(jī)科學(xué)家開(kāi)發(fā)，具有比以前的驗(yàn)證碼攻擊系統(tǒng)更高的精度，能夠成功破解先前攻擊系統(tǒng)失敗的驗(yàn)證碼版本。

求解器也非常高效。它可以通過(guò)使用臺(tái)式PC在0.05秒內(nèi)解決驗(yàn)證碼。

它的工作原理是使用一種稱(chēng)為“生成性對(duì)抗網(wǎng)絡(luò)”(GAN)的技術(shù)。這涉及教授驗(yàn)證碼生成器程序以生成大量與真正的驗(yàn)證碼無(wú)法區(qū)分的訓(xùn)練驗(yàn)證碼。然后將這些用于快速訓(xùn)練求解器，然后對(duì)其進(jìn)行細(xì)化并針對(duì)真實(shí)驗(yàn)證碼進(jìn)行測(cè)試。

通過(guò)使用機(jī)器學(xué)習(xí)的自動(dòng)驗(yàn)證碼生成器，研究人員或?qū)⒊蔀楣粽?，能夠顯著減少查找和手動(dòng)標(biāo)記驗(yàn)證碼以培訓(xùn)其軟件所需的工作量和時(shí)間。它只需要500個(gè)真正的驗(yàn)證碼，而不是通常需要的數(shù)百萬(wàn)才能有效地訓(xùn)練攻擊程序。

以前的驗(yàn)證碼求解器特定于一個(gè)特定的驗(yàn)證碼變體。以前的機(jī)器學(xué)習(xí)攻擊系統(tǒng)需要大量人力來(lái)構(gòu)建，需要大量手動(dòng)標(biāo)記驗(yàn)證碼來(lái)訓(xùn)練系統(tǒng)。通過(guò)驗(yàn)證碼中使用的安全功能的微小變化，它們也很容易被淘汰。

由于新求解器幾乎不需要人為參與，因此可以輕松地重建它以定位新的或修改過(guò)的驗(yàn)證碼方案。

該計(jì)劃在33個(gè)驗(yàn)證碼方案上進(jìn)行了測(cè)試，其中11個(gè)被世界上許多最受歡迎的網(wǎng)站使用 - 包括eBay，維基百科和微軟。

蘭卡斯特大學(xué)計(jì)算與通信學(xué)院高級(jí)講師，該研究的共同作者鄭王博士說(shuō)：“這是第一次使用基于GAN的方法來(lái)構(gòu)建解算器。我們的工作表明了安全特性目前基于文本的驗(yàn)證碼方案所采用的方法在深度學(xué)習(xí)方法下特別容易受到攻擊。

“我們第一次表明，對(duì)手可以用很少的努力快速發(fā)動(dòng)對(duì)基于文本的新驗(yàn)證碼方案的攻擊。這很可怕，因?yàn)檫@意味著許多網(wǎng)站的第一次安全防御不再可靠。這意味著驗(yàn)證碼開(kāi)辟了一個(gè)巨大的安全漏洞，可以通過(guò)多種方式利用攻擊。

該作品的主要學(xué)生作者葉桂新先生說(shuō)：“它允許對(duì)手發(fā)起攻擊服務(wù)，例如拒絕服務(wù)攻擊或花費(fèi)垃圾郵件或釣魚(yú)信息，竊取個(gè)人數(shù)據(jù)甚至偽造用戶身份。我們對(duì)大多數(shù)文本驗(yàn)證碼方案的成功率很高，網(wǎng)站應(yīng)該放棄驗(yàn)證碼。“

研究人員認(rèn)為，網(wǎng)站應(yīng)該考慮使用多層安全性的替代措施，例如用戶的使用模式，設(shè)備位置甚至生物識(shí)別信息。

該研究發(fā)表在題為“又一文本驗(yàn)證解算器：基于生成性對(duì)抗網(wǎng)絡(luò)的方法”的論文中，該論文在多倫多舉行的ACM計(jì)算機(jī)與通信安全會(huì)議(CCS)2018上發(fā)表。