互聯(lián)網(wǎng)公司擁有同一個長期性的棘手課題：如何屏蔽自動軟件，如何防止機(jī)器的惡意注冊，如何禁止一系列“非人類用戶”的惡意操作等等。Google近些年對于算法研發(fā)的熱情不減，本月3號，Google推出全新的驗(yàn)證碼系統(tǒng)No CAPTCHA reCAPTCHA ，用來替代原先的CAPTCHA系統(tǒng)。

Google以為費(fèi)力打造的No Captcha會大獲好評，但是網(wǎng)絡(luò)安全公司Shield Square在昨天發(fā)布博客表示，No Captcha存在安全漏洞，會被機(jī)器用戶巧妙的避開。而且早在本月初，No Captcha剛剛推出之時，網(wǎng)絡(luò)安全專家Egor Homakov也已提出了相同的觀點(diǎn)。

“人類用戶”更加容易的證明自己是個人

No CAPTCHA無效時會轉(zhuǎn)到圖片識別

名字又長又拗口，還是先來科普一下。被替代的CAPTCHA，是一種驗(yàn)證碼識別系統(tǒng)，基于全自動區(qū)分計算機(jī)和人類的圖靈測試原理（程序必須能生成并評價人類能很容易通過但計算機(jī)卻通不過的測試），要求用戶在驗(yàn)證碼框中識別出一些變型扭曲的文本數(shù)字，在驗(yàn)證框中正確的輸入。經(jīng)常出現(xiàn)的形式是一些人類還能“依稀閱讀”的污損扭曲的字符，甚至包括識別3D圖片以及區(qū)分貓和狗。這些文字難辨識，圖片難懂，用戶體驗(yàn)比較不佳，人類用戶“費(fèi)力識別”，而機(jī)器卻很少能通過。

Google當(dāng)然沒有停止研發(fā)的腳步，在一年半的時間內(nèi)著力解決這個問題。當(dāng)研究團(tuán)隊(duì)發(fā)現(xiàn)能夠教會計算機(jī)讀懂CAPTCHA系統(tǒng)的晦澀文字，并且準(zhǔn)確率竟然高達(dá)99.8%，Google也慌了，這也就意味著CAPTCHA的漏洞會被黑客輕易破解。于是Google順勢推出升級版的No CAPTCHA reCAPTCHA，并且官方宣稱其安全性有很大的提升。

這便是驗(yàn)證“我不是機(jī)器人”的復(fù)選框

No CAPTCHA可以讓“人類用戶”更加容易的證明自己是個人，而讓“機(jī)器用戶”經(jīng)過更多的審查判斷其身份。該系統(tǒng)只提供了一個復(fù)選框，用戶勾選“我不是機(jī)器人”之后，系統(tǒng)算法便利用“風(fēng)險分析引擎”，根據(jù)用戶在該網(wǎng)站的一系列行為，判斷用戶是否為人類，并過濾掉任何容易識別為人類的用戶。

絕大多數(shù)正常的人類用戶都只是看到一個復(fù)選標(biāo)記，單擊這個復(fù)選標(biāo)記，便已經(jīng)通過了測試，順暢訪問網(wǎng)站；而機(jī)器用戶會被算法判定為“不是”，被要求點(diǎn)擊正確的圖片選項(xiàng)判斷用戶是否為人類。

此外，Google也明白用戶對驗(yàn)證碼的苦惱，新的No Captcha系統(tǒng)的算法僅僅只需要用戶驗(yàn)證一次，在下一次訪問網(wǎng)站時，便無需任何驗(yàn)證，因?yàn)橄到y(tǒng)會自動檢驗(yàn)用戶cookies。除非你是定時清理cookies狂魔，那么你每一次訪問都必須通過這種無聊的“我不是機(jī)器人”驗(yàn)證。

機(jī)器用戶：防我？沒門

Shield Square公司表示，Google對于cookies的高度依賴，存在不小的安全隱患。

• 因?yàn)閷τ跈C(jī)器用戶來說，一旦第一次通過驗(yàn)證，它們會通過OCR識別，特意留下相關(guān)的訪問cookies的證據(jù)，把自己偽裝的更像是人類用戶。這些“故意制造”的cookies便會成為今機(jī)器用戶今后正常訪問的通行證，所以說機(jī)器人也不需要任何的驗(yàn)證碼了。

• 當(dāng)No Captcha系統(tǒng)無法識別到用戶的歷史瀏覽行為，例如用戶一直使用的是“無痕瀏覽模式”，Google就會搬出傳統(tǒng)的Captcha驗(yàn)證碼檢測，但是這些已經(jīng)被機(jī)器用戶攻破了。

• 除此之外，Homakov和Shield Square都發(fā)現(xiàn)No Captcha系統(tǒng)在防止“點(diǎn)擊劫持”等黑客手法時，存在一定的安全隱患。這一手法通過網(wǎng)站跳轉(zhuǎn)，讓用戶幫助黑客識別出驗(yàn)證碼。

不過針對這一點(diǎn)，Google表示新的No Captcha驗(yàn)證系統(tǒng)擁有機(jī)器學(xué)習(xí)的能力。同Google搜索引擎一樣，No Captcha會在一次次辨別人類用戶和機(jī)器的過程中，變得更加智能聰明。也就是說，的確目前存在安全隱患，但是Google的海量用戶基數(shù)保證了這項(xiàng)問題會在極短的時間內(nèi)解決。

對此，Homakov和Shield Square表示，Google這樣的做法只能稱是與互聯(lián)網(wǎng)黑客的“貓鼠競賽游戲”。如果機(jī)器變聰明的速度更快，Google就很難區(qū)分人和機(jī)器，究竟誰能在這一場驗(yàn)證碼的戰(zhàn)爭中獲勝也不得而知。

No Captcha：真的做不到啊

有專家表示，新推出的No Captcha算法的確比曾經(jīng)的Captcha系統(tǒng)要先進(jìn)，但是客觀些說，這基本沒有什么價值。Google希望No Captcha能夠成為自己防衛(wèi)“黑客用戶”的銀色子彈，但是No Captcha真的做不到啊。

某位評論家表示，犧牲掉用戶流暢的用戶體驗(yàn)，來為獲得更好的網(wǎng)絡(luò)防衛(wèi)，Google耗費(fèi)大力氣開發(fā)的No Captcha不值得那么多的努力。目前看來，No Captcha系統(tǒng)足夠成熟可靠仍是要等待不短的時間。

via venturebeat

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。