驗證碼安全措施形同虛設!

斯坦福大學的PALO ALTO團隊最近有糟糕發現,那些在登錄許多網站時,需要鍵入以證明你是真人的扭曲驗證碼,其實漏洞百出。

許多驗證碼其實形同虛設。更準確的說,研究者發明了一種方法,可以解碼許多主要網站驗證碼的字母和數字,包括Visa's Authorize.net,暴雪,eBay和維基百科。

他們的解碼技術借鑒了計算機視覺領域的概念,通過移除圖像噪點,探測形狀來控制機器人。斯坦福的工具名為Decaptcha,使用這種算法清除圖像,分理處更易辨認的字母數字。

多數驗證碼設計時都未經合理測試及使用性測試。該團隊希望通過此舉促使人們在驗證碼設計的方法上更嚴密。 Captcha代表全自動區分計算機和人類的計算機測試。

該圖表顯示對每個網站的解碼成功率

Decaptcha 可以解碼Visa's Authorize.net支付頁面66%的驗證碼,暴雪娛樂70%的驗證碼,該公司遊戲包括魔獸世界和暗黑破壞神,維基百科的25%,Digg.com的20%以及CNN.com的許多驗證碼都可破解。該團隊說高於1%的解碼率就說明驗證碼無法使用。

暴雪的代表說他們保護系統的措施遠不止驗證碼。 “驗證碼根本無法完全保證應用的安全,這是常識,但確實能抵禦特定威脅。我們將驗證碼作為第一層防護,主要避免新垃圾賬戶的產生,驗證碼代表著我們為保護基礎結構和客戶,所採用的眾多安保措施之一。”(eBay和Visa的代表沒有發表評論)

驗證碼的安全性很重要,目的是用來抵禦殭屍機器人,包括殭屍網絡的操作員,他們會嘗試自動產生電子郵件服務的賬戶,發送垃圾信息。驗證碼還能控制垃圾評論和線上投票中的自動投票。

唯一承受住研究者攻擊的驗證碼是谷歌的。嘗試解碼谷歌Gmail的斜體紅色驗證碼,以及卡內基梅隆大學製作,谷歌2009年使用的模糊字體的ReCaptcha,成功率是零。

免費的ReCaptcha,谷歌大約在超過100000個網址使用,包括Twitter, Facebook, Craigslist, Ticketmaster, 和微軟。研究團隊未測試雅虎、亞馬遜和LinkedIn的驗證碼,因其很難一直顯示。

本文由game2.tw作者德軼整理自news.cnet,點此查看原文。如果您對該話題感興趣,可以留言評論。如果您對Game2.tw其他內容也感興趣,請通過RSS訂閱我們,或者在微博上關注我們的最新動態。

game2網誌:除特殊說明,本站所提供的圖片,文章均轉載其他站點,如需使用請聯繫原作者

Comments are closed.