趣谈验证码历史及个推一键认证原理
- 品牌动态
慢慢慢慢慢慢消失的验证码
大家好
我叫严正马
我来自一个大名鼎鼎的
你们既爱又恨的家族
——验证码家族
这是我们的家徽
CAPTCHA是我们家族的英文名字
Completely Automated Public Turing Test to Tell Computers and Humans Apart
的缩写
翻译成中文呢
就是“全自动区分计算机和人类的图灵测试”
“图灵测试”大家都知道哒
就是由我们计算机科学领域的祖师爷
艾伦 · 图灵(Alan Turing)提出
用来判断回答者到底是“人”还是“机器”
进行“人机识别”的一个方法
「人机识别」是 “图灵测试”的目的
也是我们历代族人的终极使命
我们验证码家族活跃在
互联网历史舞台上的时间并不长
我们的老祖先
也就是我的曾曾祖父
——最早的图形验证码
也才诞生于本世纪初
是个妥妥的“00后”
虽然我们验证码家族的历史
还不到20年
但经过几代先祖的耕耘
如今在“人机识别”圈子里
我们也算是个小有名望的家族了
(没错,我其实是个妥妥的贵N代)
毕竟从我的曾曾祖父开始
我们整个家族的男女老少
就参与到互联网“打黑除恶”
的伟大事业中
为防范黑产、打击虚假流量、反欺诈
做出了杰出贡献
我的曾曾祖父
也就是第一代图形验证码
就曾帮助Yahoo等公司
解决了垃圾邮件泛滥的问题
第一代图形验证码
一共4位
由字母和数字组成
人类可以轻松识别
当时的机器智能水平还不够
难以解答
所以第一代图形验证码一出现
就受到众多网站开发者和互联网公司的青睐
在防止恶意程序批量请求注册垃圾帐号
防止账号被暴力登录,进行恶意行为操作等方面
也称得上功勋卓著
但是很快
我的曾曾祖父
和他的宿敌开始了终其一生的缠绵
他的宿敌就是OCR技术
OCR
Optical Character Recognition
光学字符识别
使用这项当时已经很成熟的技术
那些别有用心的人就可以将
图形验证码中的数字和字母轻松识别出来
然后再把识别出来的结果通过恶意程序提交给服务器
“廉颇老矣”
我的曾曾祖父
第一代图形验证码
最终只能含恨而终
面对那些使用OCR技术的互联网黑恶势力
我的曾祖父
第二代图形验证码
继承了他父亲的遗志
发明了各种装备、手段
来提升自己的战斗力
比如,给自己做个微整形
(将验证码中的数字或字母等扭曲变形)
给自己戴个高科技口罩、帽子
(再验证码上面增加线条等干扰信息,提高OCR图像文本识别的难度)
给自己穿上各种各样的防护服
(在验证码周围增加各种干扰背景,进一步提高OCR图像文本识别的难度)
直到
亲妈也认不出自己
说好的“人机识别”
最后却变成了“人机均难识别”
战了败、败了再战、再战再败
……
我的曾祖父
第二代图形验证码
终于心力交瘁
既然OCR能准确识别
图形验证码中的字母和数字
那能不能在视觉识别的基础上
再增加些难度
“人类有知识、经验,机器没有”
比如做四则运算、知识问答
于是
我的祖父
第三代图形验证码
便被培养成了一个全能学霸型选手
从认字开始
到四则运算
再到简单的知识问答
我的祖父都能信手拈来
帮助网站轻松抵御了
来自没有知识储备的机器的
恶意注册、攻击等
只是有时候
他过分高冷,恃才放旷的性格
让广大普通的互联网人
在正常登陆访问相关网站的时候
也被他拒在了门外
……
我的祖父有一个远房表弟
和他“威严、学霸、高冷”的个性不同
我这个远房表叔爷
最爱玩游戏
比如“大家来找茬”
日常则是一个喜欢拈花惹草
到处撩人的“逗比”
也是我们验证码家族里
“有口皆碑”的一朵奇葩了
其实现在,大家
在使用很多互联网服务时
仍能见到我的
“高冷学霸型” 祖父
和“逗比”远房表叔爷
所以
这里我就不多介绍啦
随着移动互联网和Web3.0的快速兴起和发展
我们验证码家族
也出现了很多新鲜的血液
接下来我要给大家介绍的
是在当下比较受欢迎的
我们验证码家族的年轻新一代
我的大伯
“行为验证码”
我的大伯从小喜欢钻研数学问题
长大成为了一个数据科学家
当下最流行的
机器学习、深度学习等
他都深耕多年,建树颇多
既然家族使命是“人机识别”
那机器肯定不具备人类的“行为特征”
不如就通过机器学习,深度学习对人的行为特征进行分析
建立安全模型来区分人与机器程序
于是
我的大伯——行为验证码
就携他的学生们,比如
滑块式验证码
点选式验证码
拼图式验证码
图案验证码
走在了“人机识别”
和互联网黑产势力做斗争的第一线
图形验证码中的文字可以通过OCR识别
但是人的点击、滑动、甚至画个复杂形状等行为
黑产机器该如何模仿蒙混过关呢?
我的大伯和他的学生们
一时间倒也难住了黑产势力们
然而
道高一尺,魔高一丈
很快
互联网黑产新势力——打码工出现了
打码平台上活跃的打码工还是真人
这下,再高精尖的
“人机识别”算法也阻挡不了
黑产势力“真人真炮弹”的入侵啊
……
我的小叔
看到他的哥哥——行为验证码的处境
也发奋图强
想到了可以快速应用在移动互联网领域的
新的“人机识别”方式
那就是——短信验证码
我的小叔认为
通过短信的形式
把验证码发给需要验证身份的人
要安全很多
毕竟私密的,“一对一”的短信内容
外人很难看到,就更难被识别了
但
是
没想到
那些拦截短信、窃取短信内容、
从而进行资金盗刷和网络诈骗等犯罪
的团伙立马盯上了他
他们的
"GSM 劫持 + 短信嗅探 “技术
目前,正威胁着我小叔的生命安全
……
只能说我们验证码家族真的太难了
!!!
我的爸爸是个学术派
他喜欢梳理和研究我们验证码家族的历史
“以史为鉴,可以明得失,知兴替,洞未来”
他坚持认为我们验证码家族
需要的是
低调
如果
根!本!没!有!
验!证!码!
那么我们
——这些进入APP、网站等账号系统的钥匙
就不会
被识别、被拦截、被盗用
但是我爸爸的“激进”言论一出
立即激怒了
我的曾祖父、祖父、大伯、小叔叔们
“这不是革自己的命吗?”
“那你怎么完成家族使命——人机识别?”
“不验证身份,怎么知道进入系统的是人是鬼?”
面对家人的不解
我爸爸不急不慌
他拿出最新发表的几篇论文
《论无验证码实现一键“注册+登录+认证” 的可行性》
《论“一键认证”反欺诈能力的优越性》
《论现阶段多种验证码并存的必要性》
……
一一给大家讲解
并把自己探索打造的成果
—— 也就是我
介绍给了各位大家长
↓↓↓
这是我的最新研究成果新一代验证解决方案
—— 一键认证
目前还主要应用在移动互联网领域
给APP使用
不需要任何输入
不需要回答任何问题
不需要短信验证码
一键即可让互联网用户
免密“注册+登录+认证”
2秒进入APP畅快体验
而且,一键认证真的非常安全
以往,用户的APP账号密码
如果设置得比较简单
会导致密码很容易被破解
如果设置得过于复杂
会导致用户很难记住而去频繁地重置密码体验不好不说
还都有很大的安全隐患
而一键认证根本不需要注册
无需密码
让用户登录APP更方便了
也更安全了
因为没有验证码或者任何“明码”
所以一键认证
没有像短信验证码被劫持图形验证码被识别的风险
是用户账号安全的超级“保护伞”
目前一些企业已经推出了成型的产品
比如个推打造的“个验·一键认证”产品
不仅仅实现了免验证码、免短信的“一键登录”功能
还有很强的反欺诈能力
黑产组织?打码工?打码平台?
通通不在怕的
……
关于个推的“个验·一键认证”反欺诈能力是怎么实现的
我这里可以给大家简单地介绍一下个中原理
首先我们先了解一下个推
个推深耕移动开发者服务多年
SDK安装量达440亿,覆盖移动端设备近40亿
沉淀积累了丰富数据
并且数据维度全、实时性高
基于海量线上、线下数据沉淀
结合设备软硬件特征、上网环境等数据维度
“个验·一键认证”可有效识别各种作弊行为和风险设备
可用于评估渠道质量
识别羊毛党、水军、恶意程序等
由于目前这个孩子还主要
应用在APP
生活在像个推一键认证这样的SDK里
所以像在座的各位
图形验证码
行为验证码
……
我们还是要团结起来
一起完成“人机识别”的家族使命
为抵御互联网黑产势力
一起努力啊
于是
就像现在大家见到的一样
我和我的祖父、我的大伯、我的小叔
图形验证码、行为验证码、短信验证码
正在一起为互联网安全事业努力奋斗中