陜西一教授團隊破解全球排名前50網站的驗證碼

　　在這個互聯網時代，大家對驗證碼都不陌生。驗證碼的初衷，是為了讓用戶隱私得以保護，網上交流、支付等行為更加安全，那么，驗證碼真的如大家期待的那樣安全嗎？

　　近期，西北大學房鼎益教授團隊的研究成果顯示，文本驗證碼可以被破解，這就意味著，驗證碼并不能完全保障上網安全。

　　房鼎益教授18日在接受華商報記者采訪時表示，這一研究，目的是為了對抗驗證碼容易被破解的問題，未來研究出更加方便、安全性高的驗證碼，保障上網安全。

　　新聞背景

　　最新科研成果：驗證碼被破解了

　　日前，西北大學發布消息說：來自西北大學的房鼎益、陳曉江教授團隊聯合北京大學、英國蘭卡斯特大學發布了一項研究成果，引起了計算機安全領域的震動。

　　該團隊基于最新的人工智能技術，建立了一套新型驗證碼求解器。該驗證碼求解器能夠以更高精度、更快時間、更低攻擊成本破解現有方法無法破解的復雜驗證碼。

　　該研究僅利用500個目標驗證碼優化求解器，便可使求解器在0.05秒之內攻破驗證碼，該方法可以攻破全球排名前50網站使用的所有文本驗證碼（截至2018年4月），包括大家熟悉的很多社交及購物網站。

　　該研究成果發表在剛剛舉辦的國際信息安全頂級會議ACM CCS上，獲得了最佳論文提名，這也是大陸地區在今年CCS上唯一一篇入圍最佳論文提名的文章。

　　知道一下

　　驗證碼是什么？

　　我們在日常登錄網站或者各種應用軟件時，常遇到“煩人”的驗證碼，有的是一串數字，有的是字母加數字，有的是變形了的字母加數字。

　　雖然輸入驗證碼的過程繁瑣，但驗證碼卻起著相當重要的作用，它們的目的是使后臺系統驗證登錄者身份，即登錄者是真正的“人”而不是“計算機程序”，從而避免由于惡意登錄而導致的密碼泄露、刷票、作弊等現象。

　　如果沒有驗證碼，你想在網站上買火車票，但是一些黑客網站，可以通過簡單的編程來刷票，只需要計算機操作，就會把所有放出來的票都搶光。如果沒有驗證碼，部分社交網站只需要設個程序，就可以給設定好的人評論、點贊、投票等。而驗證碼的出現，需要在最后一關，由人親自去操作，保證了網上操作的安全性。

　　專家表示，在最近10年，驗證碼已成為大部分網站和應用程序必備的安全機制之一。

　　然而，房鼎益教授團隊卻用最新的科研成果證明，文本驗證碼可以被破解，目前的驗證碼存在“巨大的安全漏洞”。

　　馬上實驗

　　不用人工操作

　　驗證碼迅速被破解

　　■實驗時間：12月18日

　　■實驗人員：

　　西北大學信息科學與技術學院教授、博士生導師，陜西省教學名師 房鼎益

　　西北大學信息科學與技術學院副院長、教授、博士生導師 陳曉江

　　西北大學信息科學與技術學院副教授 湯戰勇

　　■實驗地點：西北大學信息科學與技術學院實驗室

　　■實驗過程：

　　實驗人員在計算機后臺輸入程序，便不再觸碰鍵盤。

　　隨后，計算機進入某著名支付網站，計算機頁面出現“用戶名”、“驗證碼”字樣，在沒有人操作的情況下，計算機自己輸入182××××××××的用戶名，當看到“JYBQ”的驗證碼時，又主動輸入了這4個字母，成功登錄了。

　　計算機再次進入這個支付網站，計算機頁面出現“用戶名”、“驗證碼”字樣，計算機再次自己輸入“182××××××××”的用戶名，當看到“EWOP”的驗證碼時，輸入錯了的驗證碼，導致登錄失敗，但程序又會重新開始新一輪登錄，這次又成功登錄了。

　　“除了這個支付網站，我再給你們演示一下國際上很火的一個社交網站。”實驗人員說著，又在后臺進行了輸入，頁面到達了某網站的登錄界面，實驗人員不操作的情況下，計算機頁面上又出現了自動輸入用戶名和驗證碼的過程，一次輸入正確，登錄成功。

　　整個過程，實驗人員沒有操作計算機，計算機卻模擬人，準確破解了驗證碼。

　　■實驗結論：文本驗證碼被破解了，驗證碼并不安全。

　　>>專家釋疑

　　如何破解驗證碼？

　　原本看起來鑄就上網安全盾牌的驗證碼，怎么就被破解了呢？

　　對此，房鼎益教授解釋了原理：“破解驗證碼的原理，通俗來講很簡單，我們看到的驗證碼，大多是數字、字母的結合體，現在多數網站為了提高安全性，對字母、數字進行了扭曲、靠近或添加背景，我們的研究，就是通過計算機程序，把字母、數字的距離拉伸，把扭曲的字母、數字擺正，再去掉那些復雜的背景，還原出簡單的驗證碼，再進行破解。”

　　房鼎益說的寥寥幾句，聽起來似乎很簡單，但就是這項研究，他和他的團隊付出了一年的時間。

　　這項研究有什么價值？

　　對于該研究成果的科學價值和應用前景，西北大學信息科學與技術學院在讀博士葉貴鑫表示，該項技術不僅可以應用到文本驗證碼的攻擊上，還可能應用到其他基于圖像的攻擊場景中。目前，團隊正致力于利用人工智能技術合成更為安全的驗證碼來抵御此類攻擊。

　　西北大學信息科學與技術學院副教授湯戰勇說，通過該項研究，希望可以提高業界對文本驗證碼安全性的重視和關注。近年來在人工智能技術取得重大突破這一背景下，文本驗證碼的安全性已變得非常脆弱。因此，我們亟需考慮使用新型的驗證碼方案。

　　驗證碼易被破解怎么辦？

　　我們原以為安全的驗證碼被破解了，那么怎么上網才安全？這，才是房鼎益團隊的最終目的。

　　“大家普遍認為，文本驗證碼越復雜越難破解，這種難，其實是對人的，對于機器來說，難度都一樣。”房鼎益說，目前存在的驗證碼，也有難破解的，比如“聲音驗證碼”、“問題類驗證碼”、“計算題驗證碼”等等，但過于復雜的驗證碼并不適合普通網友。

　　房鼎益透露，目前他們正在研究的，就是更為安全的驗證碼，通過對驗證碼頁面元素的改造，讓機器對驗證碼的辨識增加難度，從而抵御驗證碼輕易被破解的攻擊。目前，這項研究已經初步有了進展，等到成果出來之后，文本驗證碼時代或將被終結。