您的位置: 首頁 >互聯網 >

新攻擊可能會使網站安全驗證碼過時

2019-06-05 17:53:51 編輯: 來源:
導讀 研究人員創(chuàng)造了新的人工智能,可以為最廣泛使用的網站安全系統(tǒng)之一拼寫終結?;谏疃葘W習方法的新算法是迄今為止驗證碼安全和認證系統(tǒng)最有

研究人員創(chuàng)造了新的人工智能,可以為最廣泛使用的網站安全系統(tǒng)之一拼寫終結。

基于深度學習方法的新算法是迄今為止驗證碼安全和認證系統(tǒng)最有效的解決方案,能夠擊敗用于保護世界上大多數最受歡迎網站的文本驗證碼方案。

基于文本的驗證碼使用混雜的字母和數字,以及其他安全功能,如遮擋線,以區(qū)分人和惡意自動計算機程序。它依賴于人們發(fā)現比機器更容易破譯人物。

該解算器由英國蘭開斯特大學,西北大學和中國北京大學的計算機科學家開發(fā),具有比以前的驗證碼攻擊系統(tǒng)更高的精度,能夠成功破解先前攻擊系統(tǒng)失敗的驗證碼版本。

求解器也非常高效。它可以通過使用臺式PC在0.05秒內解決驗證碼。

它的工作原理是使用一種稱為“生成性對抗網絡”(GAN)的技術。這涉及教授驗證碼生成器程序以生成大量與真正的驗證碼無法區(qū)分的訓練驗證碼。然后將這些用于快速訓練求解器,然后對其進行細化并針對真實驗證碼進行測試。

通過使用機器學習的自動驗證碼生成器,研究人員或將成為攻擊者,能夠顯著減少查找和手動標記驗證碼以培訓其軟件所需的工作量和時間。它只需要500個真正的驗證碼,而不是通常需要的數百萬才能有效地訓練攻擊程序。

以前的驗證碼求解器特定于一個特定的驗證碼變體。以前的機器學習攻擊系統(tǒng)需要大量人力來構建,需要大量手動標記驗證碼來訓練系統(tǒng)。通過驗證碼中使用的安全功能的微小變化,它們也很容易被淘汰。

由于新求解器幾乎不需要人為參與,因此可以輕松地重建它以定位新的或修改過的驗證碼方案。

該計劃在33個驗證碼方案上進行了測試,其中11個被世界上許多最受歡迎的網站使用 - 包括eBay,維基百科和微軟。

蘭卡斯特大學計算與通信學院高級講師,該研究的共同作者鄭王博士說:“這是第一次使用基于GAN的方法來構建解算器。我們的工作表明了安全特性目前基于文本的驗證碼方案所采用的方法在深度學習方法下特別容易受到攻擊。

“我們第一次表明,對手可以用很少的努力快速發(fā)動對基于文本的新驗證碼方案的攻擊。這很可怕,因為這意味著許多網站的第一次安全防御不再可靠。這意味著驗證碼開辟了一個巨大的安全漏洞,可以通過多種方式利用攻擊。

該作品的主要學生作者葉桂新先生說:“它允許對手發(fā)起攻擊服務,例如拒絕服務攻擊或花費垃圾郵件或釣魚信息,竊取個人數據甚至偽造用戶身份。我們對大多數文本驗證碼方案的成功率很高,網站應該放棄驗證碼。“

研究人員認為,網站應該考慮使用多層安全性的替代措施,例如用戶的使用模式,設備位置甚至生物識別信息。

該研究發(fā)表在題為“又一文本驗證解算器:基于生成性對抗網絡的方法”的論文中,該論文在多倫多舉行的ACM計算機與通信安全會議(CCS)2018上發(fā)表。


免責聲明:本文由用戶上傳,如有侵權請聯系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經網.復制必究 聯系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯網 版權歸原作者所有。