很多网站和服务使用谷歌的人机验证系统来判断是否是恶意访问,简单来说就是利用验证码来保护网站访问,但谷歌的验证系统真能确保网站不会遭到自动化程序攻击吗?研究人员开发的程序表示至少保护不是很安全。
以子之矛攻子之盾:
谷歌验证系统有图形验证码和智能图片组合而成,通常用户无需手动输入验证码只需要点击对应的图片即可,此外为方便残障人士使用谷歌验证系统还支持语音验证码,对于有视力障碍的用户通过语音验证码也可验证,研究人员利用的正是谷歌验证系统的语音验证码:下载验证码片段再交给谷歌的语音转文字服务生成验证码,然后再将识别出来的文本验证码填到对话框里面即可搞定,研究人员开发的这项工具平均成功率能达到91%除使用谷歌语音转文字服务外,研究人员测试微软、IBM等等类似服务也都可以生成文本验证码并绕过验证。
谷歌准备更新验证机制但内容保密:
研究人员将测试结果提交给谷歌后也引起谷歌的关注,谷歌在去年十月份时已经发布新版验证系统改进验证,不过谷歌具体做了哪些更新并没有详细透露,针对研究人员使用的自动化程序模拟用户点击也进行针对分析,目前对于新版的安全性如何还没有更新的测试报告,不过没有绝对安全的系统所以肯定还是会有绕过方法的。
其他团队也在破解谷歌验证码:
去年年底时由中国西北大学、北京大学以及英国兰卡斯特大学研究人员组成的小组则尝试使用人工智能破解,利用人工智能技术自动识别图形验证码,经过几个月的训练研究人员开发的工具成功绕过验证码的概率极高,同时仅仅只需要0.05秒人工智能即可识别验证码并完成验证,除谷歌外微软、维基百科等验证码也遭到破解,这项工作中提供的见解可以帮助安全专家重新审视文本验证码的设计和可用性,最终提高验证码的安全性等。
相关文章
网友评论(共有 0 条评论)