龙空技术网

滑动验证码居然是用来验“蠢”的?

壹读 471

前言:

目前大家对“点击验证码原理”可能比较关心,小伙伴们都想要了解一些“点击验证码原理”的相关文章。那么小编也在网络上收集了一些关于“点击验证码原理””的相关内容,希望各位老铁们能喜欢,各位老铁们快快来了解一下吧!

经常遇到滑动验证码的壹读君|敏敏 秋秋你知道吗,滑动验证码居然是为了验证人类比机器人蠢而设计的。你以为自己快速、准确地滑动拼图、对齐图案,才被允许通过,系统还说你超越了99%的用户,夸你“比闪电还快”,但实际上,机器人画得比你又快又好,系统觉得你“这么笨,肯定不是机器人”,才通过验证。很多得知此消息的网友表示“谢谢有被侮辱到”“显得我以前小心翼翼对准的样子很心酸”。为什么滑动验证是验蠢设计?既然人类在进行滑动验证时滑得慢,为什么还要使用这种验证码呢?为什么是滑动验证码?注册账号、找回密码、信息验证……在互联网世界,免不了用到验证码。有的验证方式操作难度更大,比如从朦胧的图案中辨别出数字或文字的验证码,相比这些,滑动图块验证码就友好多了,只需要简单一滑,就能完成验证。这么简单的滑动验证码,是怎么区分出人类和机器人的呢?图源:微信账号安全验证截图验证码(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是现在很多网站通行的方式,主要是为了防止用户利用机器人恶意破解密码、登录、灌水、刷票等。验证码由计算机生成,评判用户做出的回答,从而区分出当前访问者是人类还是机器人,并做出让行或阻拦的反应。增加验证码这一道门槛,可以有效地防止网站被恶意访问,保证网页的正常秩序和安全。验证码的形式很多,除了看图输入文字和数字,验证码还有各种各样奇奇怪怪的形式,比如依次点击正确图案、算数学题、输入历史事件日期等等,内容涉及天文地理、高数历史,于是有着庞大数据库作支撑、不断学习发展的机器人没被拦住,人却被难住了。但随着科技的发展,再高难度的验证码,机器人都能够轻松破解,而且在准确率和速度上都吊打人类。2023年,加州大学欧文分校的研究员在《密码学与安全》发表的研究显示,破解各种类型验证码的时间和准确度上,机器人的表现几乎都优于人类。最简单的点击识别,人类最快需要3.1秒,准确率最高为85%,而机器人只需1.4秒就能通过,且准确率高达100%;扭曲文本的识别,人类最快需要9秒时间,准确率最低50%,最高也不过84%,而机器人在不到1秒的时间内就能完成,准确率为99.8%;难度较大的图片验证,机器人的速度虽然稍有下降,需要17.5秒,但人类也没快多少,是15-26秒,准确度上机器人也与人类相当,均在80%以上。而滑动验证码,相比机器人5.3秒的时间,人类也慢得多,平均是28-30秒。图源:参考资料[3]既然和机器人比聪明比不过,科学家们另辟蹊径,选择和机器人比“蠢”。以滑动验证码为例,它由背景图片和滑块图片组成,在验证过程中,用户按住滑块沿着轨道将其滑动到背景图片的指定位置,这一轨道通常是有一定长度的直线。表面上来看,滑动验证码的验证方式是“滑块是否被正确拖放到缺口处”,但实际上其校验的信息是“拖放轨迹是否符合真实用户的行为特征”,因此有时滑块和缺口没有对齐也能够验证成功。对机器人来说,模拟鼠标画出直线并不是一件难事,难的是模拟真实用户的拖放轨迹。人类难以快速地画出规定长度的完美直线,在移动滑块的过程中会手抖、速度变慢,呈现出的光标轨迹也会发生无规律的抖动。每段光标轨迹下真实用户所表现出的鼠标的移动方向、停顿时间、位移速度和按压力度等特征均不相同,这种无规律性正是程序设定下的机器人难以模仿和出现的。所以一旦滑块移动得快又速度均匀,用户就会被认定为是机器人,无法通过验证。问题来了,人怎么这么“笨”,连条直线都画不好?滑得越慢越像人?阻碍我们画出完美直线的“元凶”之一,是震颤。所谓震颤,指的是在滑动验证过程中我们的手部发生抖动的现象。人体任何部位产生动作,都需要两组以上的肌群协调完成,当肌群不能协调同步运动时,其所支配的部位就会出现不受控制的有节律的抖动或颤抖,这就是震颤,最常见的部位是双手,也常见于头部、躯干和腿等。震颤分为生理性震颤和病理性震颤。前者与生俱来,主要是因为身体的协调能力和细微控制能力有限。人在精神紧张、情绪激动、剧痛及极度疲劳时,生理性震颤会更加明显。病理性震颤是肢体由于疾病而产生的一种运动型障碍,主要有帕金森综合征和小脑性震颤等。此外,震颤还可分为静止性震颤和动作性震颤。静止性震颤是肢体重量得到充分支撑且处于放松状态下出现的震颤,比如手放松地放在膝盖上会不由自主地发生颤抖。这种类型的震颤在帕金森病患者中较为典型。动作性震颤发生在肌肉收缩时,包括运动性震颤、意向性震颤等等,这也是人们在滑动验证时导致拖放轨迹抖动的主要原因。点击识别,人类没有机器人快|图源:QQ邮箱登录验证截图对相应肌群进行有效锻炼,人是可以减弱震颤的,比如拉直线是美术生的一项基本功,通过不断练习,美术生徒手画出的直线,相较普通人来说更为笔直。虽然使用鼠标跟握笔又有不同,但也都可以通过借助哑铃等工具锻炼手部肌肉,提高控制力。不过要想通过练习打败机器人,依然很难。因为除了震颤,注意力有限、反应延迟也是人类在滑动验证过程中体现出独特行为特征的原因。人的手眼脑协调能力,是在眼、脑、手之间形成一个信号闭环。眼睛看到物体后,发出信号,经由神经系统调动骨骼,由手完成构想的动作。在背景图片内容过多的情况下,既要确定缺口的位置,又要观察滑块的运动状态,注意力分散,加之手眼脑协调能力不够精细,导致画出的线条轨迹抖动、扭曲。此外,整个手眼脑信号反馈系统有延迟。从眼睛观察到光标偏离路线,发出修正信号,到大脑识别到信号并命令肌肉做出反应,其中存在着神经传导信号的时间延迟,这个反应延时是天然存在的。戴维·伊格尔曼在文章《大脑时间》里解释不同感官信息在不同神经结构里处理的速度不同,其中,视觉大脑获得事件信息,必须等待最多大约0.1秒的时间。人类虽然能够通过后天训练提高反应速度,但上升空间有限。反应越快,观察到的参考信息对肢体运动的修正控制就越精确,如果反应不够快,信号被手部肌肉接收之前,抖动动作就已完成。除非刻意练习多次,否则大部分人,还是会以为自己画了一条完美的规定长度的直线,实际上已经抖得不行了。除了滑动图块,类似的验证方式还有旋转图片、手势轨迹验证等,其本质与滑动验证是一样的。图源:百度账号安全验证截图这些验证码,通过运用人类的行为特征,让机器人难以精确模仿,既安全又不容易误伤,给真实用户提供了良好的体验。看到这里,再在完成滑动验证后,得到“打败99%的人”“比闪电还快”的夸奖,希望你还能保持从前的开心和自豪,毕竟这起码说明了,机器人没办法取代人类。[1]苏健.震颤是什么病[J].江苏卫生保健,2022,(04):50-51.[2]饶彬.浅谈验证码在网络安全中的重要性[J].数字化用户,2014(19):103-103.[3]Andrew Searles, Yoshimichi Nakatsuka, Ercan Ozturk, Andrew Paverd, Gene Tsudik, 机器人 Enkoji. An Empirical Study & Evaluation of Modern CAPTCHAs[J]. Cryptography and Security. 2023.[4]哔哩哔哩专栏. 绘画线条基础:震颤手残党的自救手册.[5]知乎:滑动验证码的原理是什么?

标签: #点击验证码原理