验证码保护网络安全有缺憾

登陆QQ、公务员考试报名注册,用户往往都会被要求填写验证码。网速快、眼力好的用户能迅速地辨别出验证码字母或数字,并完成注册;与此相反的一些用户却不得不在一串杂乱的字母或数字丛中,费力地辨认每一个符号。这个辨认过程十分耗时,尤其是一些手机用户,受制于网速和屏幕大小,填写验证码更是一种“煎熬”。

防机器也会给人带来不便

2003年左右,国内一些网站开始使用验证码技术,为了防止个别用户胡乱注册ID,最早期的验证码技术主要应用于网页页面注册。如今,填写验证码已经达到了泛滥的程度,几乎任何页面注册、登陆都需要输入验证码。

据统计,每一次输入验证码的时间大约需要5-10秒钟,如果碰到难以辨别的验证码,用户往往需要多次的重新输入,才能填写成功。而在填写这些混合字符的同时,用户的操作时间因此增加,操作体验大大降低。

深圳黑鲨科技有限公司首席运营官张中元表示,验证码其实并不是用户在不同网站上看到的难以辨认的字母组合的代名词,而是“全自动区分计算机和人类的图灵测试”的俗称。验证码的主要功用是防止不法分子利用机器批量注册和登录网站,发送虚假、攻击信息,但是也由于这个过滤功能,用户的操作时间将会增加。

验证码是否可有可无?

QQ验证码是目前用户接触最广泛的一种验证码。但腾讯公司对它的官方安全解释是:QQ验证码不能防止QQ号被盗,不能防止Q币转移,不能防止好友、群被删除。为了对付“敌人”在自动登录软件中采用的文字识别技术(文字识别技术是指电脑自动识别图片中的文字,不用人的肉眼辨认。它可以被盗号者用来挂号,与验证码是矛与盾的关系。),因此我们必须不断改进才能防止这些软件的自动识别,并且由于在改进的验证码中加入了一些杂点和线条,现有验证码将更加难以辨认。

腾讯公司的“解释”似乎表明,验证码扮演的安全保障角色并不合格。斯坦福大学最近的一项研究也支持了上述观点,斯坦福大学安全实验室Elie Bursztein博士指出,大多数验证码投入使用之前都没有经过必需的验证,缺少可靠性测试。

没有必要设置验证码吗?

张中元认为,验证码作为网站门户的一道初级安全门槛,它的安全级别本身并不高,除了验证码,网站往往还有其他骨干程序对网站进行保护。并且验证码输入程序也不再拘泥于原有字符形式,如“1+1=?”,把图片转动到正确位置等,智能化输入形式不仅能防止文字识别技术,还易于用户操作和接受。

验证码凸显人机矛盾

用户登录或注册某些网站,网站计算机会自动生成一个验证码由用户填写,填写之后,计算机就会评判。这是典型的计算机考人类,但如果这个“考试题目”过于呆板化,不仅人可以回答,其它机器也可以破译。

为了防止机器对机器的破译,人类又不得不在原有的程序中加入更高级的只有人类才能回答的逻辑口令。人类本渴望计算机能够通过自动化的过程完成更多的任务,但为防止计算机被恶意利用,注入人的操作又不可避免。

美国科学家本杰明·亚历山大在哥伦比亚大学作关于电脑对人类行为影响的演讲时表示,人类力图使电脑脱离目前所处的只是根据指令行事的“机器傻瓜”的范畴,赋予电脑类人智能和程序,这是一个不可思议的工具,但它也可能成为被人利用的帮凶。