验证码对抗之路及现有验证机制介绍
作者:目明@阿里巴巴安全部
yahoo邮箱在九几年的时候,业务深受各种邮箱机器人的困扰,存在着大量的垃圾邮件,于是他们找到了当时仍在读大学的路易斯·冯·安(Luis von Ahn),并设计了经典的图形验证码,即通过简单的扭曲图形文字进行机器的识别。
通过这个简单的图形,他们很快的控制住了垃圾邮件的数量,并将大量的机器人据之门外。
但是即使验证码解决了垃圾邮件的问题,我们仍要提出一个问句:
验证码是必要的吗?
阿里有句简单的话:不忘初心,方得始终。
验证码不是一个功能性的需求,他并不能带来业务的提升,也不能带来任何价值。
验证码只是为了解决机器问题才诞生的。在设计和验证码演化的过程中,必须同时考虑安全性和体验。
让我们老考虑验证码的最简化模型,关键点在于:生成的问题能够由人来解答,并且机器难于解答。
于是传统的图形验证码的重点就放在了如何生成让机器难于解答的图片上来。
从上图看来,相应的各种方法已经有了相当成熟的一些对抗办法,更不用说现在已经广泛泛滥的打码平台了。
结合我们安全性和体验两方面来讲,传统验证码在