新攻击可能会使网站安全验证码过时

研究人员创造了新的人工智能，可以为最广泛使用的网站安全系统之一拼写终结。

基于深度学习方法的新算法是迄今为止验证码安全和认证系统最有效的解决方案，能够击败用于保护世界上大多数最受欢迎网站的文本验证码方案。

基于文本的验证码使用混杂的字母和数字，以及其他安全功能，如遮挡线，以区分人和恶意自动计算机程序。它依赖于人们发现比机器更容易破译人物。

该解算器由英国兰开斯特大学，西北大学和中国北京大学的计算机科学家开发，具有比以前的验证码攻击系统更高的精度，能够成功破解先前攻击系统失败的验证码版本。

求解器也非常高效。它可以通过使用台式PC在0.05秒内解决验证码。

它的工作原理是使用一种称为“生成性对抗网络”(GAN)的技术。这涉及教授验证码生成器程序以生成大量与真正的验证码无法区分的训练验证码。然后将这些用于快速训练求解器，然后对其进行细化并针对真实验证码进行测试。

通过使用机器学习的自动验证码生成器，研究人员或将成为攻击者，能够显着减少查找和手动标记验证码以培训其软件所需的工作量和时间。它只需要500个真正的验证码，而不是通常需要的数百万才能有效地训练攻击程序。

以前的验证码求解器特定于一个特定的验证码变体。以前的机器学习攻击系统需要大量人力来构建，需要大量手动标记验证码来训练系统。通过验证码中使用的安全功能的微小变化，它们也很容易被淘汰。

由于新求解器几乎不需要人为参与，因此可以轻松地重建它以定位新的或修改过的验证码方案。

该计划在33个验证码方案上进行了测试，其中11个被世界上许多最受欢迎的网站使用 - 包括eBay，维基百科和微软。

兰卡斯特大学计算与通信学院高级讲师，该研究的共同作者郑王博士说：“这是第一次使用基于GAN的方法来构建解算器。我们的工作表明了安全特性目前基于文本的验证码方案所采用的方法在深度学习方法下特别容易受到攻击。

“我们第一次表明，对手可以用很少的努力快速发动对基于文本的新验证码方案的攻击。这很可怕，因为这意味着许多网站的第一次安全防御不再可靠。这意味着验证码开辟了一个巨大的安全漏洞，可以通过多种方式利用攻击。

该作品的主要学生作者叶桂新先生说：“它允许对手发起攻击服务，例如拒绝服务攻击或花费垃圾邮件或钓鱼信息，窃取个人数据甚至伪造用户身份。我们对大多数文本验证码方案的成功率很高，网站应该放弃验证码。“

研究人员认为，网站应该考虑使用多层安全性的替代措施，例如用户的使用模式，设备位置甚至生物识别信息。

该研究发表在题为“又一文本验证解算器：基于生成性对抗网络的方法”的论文中，该论文在多伦多举行的ACM计算机与通信安全会议(CCS)2018上发表。