新攻擊可能會使網(wǎng)站安全驗(yàn)證碼過時

研究人員創(chuàng)造了新的人工智能，可以為最廣泛使用的網(wǎng)站安全系統(tǒng)之一拼寫終結(jié)。

基于深度學(xué)習(xí)方法的新算法是迄今為止驗(yàn)證碼安全和認(rèn)證系統(tǒng)最有效的解決方案，能夠擊敗用于保護(hù)世界上大多數(shù)最受歡迎網(wǎng)站的文本驗(yàn)證碼方案。

基于文本的驗(yàn)證碼使用混雜的字母和數(shù)字，以及其他安全功能，如遮擋線，以區(qū)分人和惡意自動計(jì)算機(jī)程序。它依賴于人們發(fā)現(xiàn)比機(jī)器更容易破譯人物。

該解算器由英國蘭開斯特大學(xué)，西北大學(xué)和中國北京大學(xué)的計(jì)算機(jī)科學(xué)家開發(fā)，具有比以前的驗(yàn)證碼攻擊系統(tǒng)更高的精度，能夠成功破解先前攻擊系統(tǒng)失敗的驗(yàn)證碼版本。

求解器也非常高效。它可以通過使用臺式PC在0.05秒內(nèi)解決驗(yàn)證碼。

它的工作原理是使用一種稱為“生成性對抗網(wǎng)絡(luò)”(GAN)的技術(shù)。這涉及教授驗(yàn)證碼生成器程序以生成大量與真正的驗(yàn)證碼無法區(qū)分的訓(xùn)練驗(yàn)證碼。然后將這些用于快速訓(xùn)練求解器，然后對其進(jìn)行細(xì)化并針對真實(shí)驗(yàn)證碼進(jìn)行測試。

通過使用機(jī)器學(xué)習(xí)的自動驗(yàn)證碼生成器，研究人員或?qū)⒊蔀楣粽?，能夠顯著減少查找和手動標(biāo)記驗(yàn)證碼以培訓(xùn)其軟件所需的工作量和時間。它只需要500個真正的驗(yàn)證碼，而不是通常需要的數(shù)百萬才能有效地訓(xùn)練攻擊程序。

以前的驗(yàn)證碼求解器特定于一個特定的驗(yàn)證碼變體。以前的機(jī)器學(xué)習(xí)攻擊系統(tǒng)需要大量人力來構(gòu)建，需要大量手動標(biāo)記驗(yàn)證碼來訓(xùn)練系統(tǒng)。通過驗(yàn)證碼中使用的安全功能的微小變化，它們也很容易被淘汰。

由于新求解器幾乎不需要人為參與，因此可以輕松地重建它以定位新的或修改過的驗(yàn)證碼方案。

該計(jì)劃在33個驗(yàn)證碼方案上進(jìn)行了測試，其中11個被世界上許多最受歡迎的網(wǎng)站使用 - 包括eBay，維基百科和微軟。

蘭卡斯特大學(xué)計(jì)算與通信學(xué)院高級講師，該研究的共同作者鄭王博士說：“這是第一次使用基于GAN的方法來構(gòu)建解算器。我們的工作表明了安全特性目前基于文本的驗(yàn)證碼方案所采用的方法在深度學(xué)習(xí)方法下特別容易受到攻擊。

“我們第一次表明，對手可以用很少的努力快速發(fā)動對基于文本的新驗(yàn)證碼方案的攻擊。這很可怕，因?yàn)檫@意味著許多網(wǎng)站的第一次安全防御不再可靠。這意味著驗(yàn)證碼開辟了一個巨大的安全漏洞，可以通過多種方式利用攻擊。

該作品的主要學(xué)生作者葉桂新先生說：“它允許對手發(fā)起攻擊服務(wù)，例如拒絕服務(wù)攻擊或花費(fèi)垃圾郵件或釣魚信息，竊取個人數(shù)據(jù)甚至偽造用戶身份。我們對大多數(shù)文本驗(yàn)證碼方案的成功率很高，網(wǎng)站應(yīng)該放棄驗(yàn)證碼。“

研究人員認(rèn)為，網(wǎng)站應(yīng)該考慮使用多層安全性的替代措施，例如用戶的使用模式，設(shè)備位置甚至生物識別信息。

該研究發(fā)表在題為“又一文本驗(yàn)證解算器：基于生成性對抗網(wǎng)絡(luò)的方法”的論文中，該論文在多倫多舉行的ACM計(jì)算機(jī)與通信安全會議(CCS)2018上發(fā)表。