实时验证码技术可改进生物识别身份验证

实时验证码（Real-TimeCaptcha）使用了一种对人类来说很简单但使用机器学习和图像生成软件欺骗合法用户的攻击者来说却很困难的独特问题，这种身份验证方法可以提高当前靠用户面部视频或图像的生物鉴别技术的安全性。

最近出现了一种新的登录身份验证方法可以提高当前基于用户面部视频或图像的生物识别技术的安全性。这种技术被称为实时验证码（Real-Time Captcha），它使用了一种对人类来说很简单的独特问题——但对于那些可能使用机器学习和图像生成软件欺骗合法用户的攻击者来说却很困难。

实时验证码要求用户在回答出现在设备屏幕上的验证码中的随机问题时要查看手机内置摄像头，必须在有限的时间内给出答案，而人工智能或机器学习程序无法在如此短时间内做出回复。验证码可对基于图像和音频的身份验证技术提供辅助。如果攻击者能够查找和修改用户的图像、视频和音频，或者能够从用户的移动设备中窃取这些信息，那么上述身份验证技术就可能被欺骗。

在美国海军研究办公室(ONR)和国防高级研究计划局(DARPA)的支持下，乔治亚理工学院（Georgia Institute of Technology）的网络安全专家取得了这项进展。攻击者现在已经知道该身份验证的要求，比如要求他们微笑或眨眼，所以他们可以比较容易地实时制造出会眨眼的模型或笑脸。研究人员正在通过向用户发送不可预测的请求，并限制响应时间来排除机器交互的可能性，从而使得挑战变得更加困难。

为了避免在登录时使用传统密码，移动设备和在线服务正转向使用人脸、视网膜或其他生物属性的生物识别技术，来验证登录者身份。例如，iPhone X的设计是使用人脸来解锁，而其他系统则通过用户点头、眨眼或微笑的短视频片段来解锁。

研究人员表示，在网络安全的攻防中，这些生物特征可能被伪造或窃取，这将迫使企业寻找更好的方法。如果攻击者知道身份验证是基于人脸识别的，那他们可以使用算法合成一个假图像来模拟真实用户。但是通过在验证码图像中给出随机选择的挑战，研究人员可以防止攻击者预先知道需要做什么。系统的安全性来自于对人类来说容易，但对机器来说却很困难的挑战。在对30个受试者的测试中，人类能够在一秒钟或更短的时间内对这些挑战做出反应。而最好的机器都需要6到10秒钟才能破解验证码上的问题，然后用伪造的视频和音频进行回应，这使系统能够快速地确定响应是来自机器还是人类。

这个新方法将要求登录者通过四项测试：从验证码内成功识别出挑战问题；在狭窄的时间窗口内给出只有人类能够做到的回答；成功匹配合法用户预先录制的图像和声音。研究人员表示仅仅使用人脸识别进行认证可能还不够强大，而把它和验证码技术结合起来将更加强大。

验证码技术——最初是“完全自动化的用来区分计算机和人类的公共图灵测试”的缩写，广泛用于防止机器人在网站上访问表单。它的工作原理是利用人类在图像中识别模式的优越能力。实时验证码方法通过提示用户做出响应，生成实时视频和音频，然后与用户存储的安全配置文件进行匹配，这将超出网站要求的能力。

验证码的挑战可能包括识别混乱的字母或解决简单的数学问题。这个想法是让人类在机器能够识别问题之前做出反应。研究人员称，机器让静止的图像微笑或眨眼需要几秒钟，但识破我们验证码的变化却需要十秒或更长时间。

为了改进认证，研究人员对图像欺骗软件进行了研究，并决定尝试一种新的方法，希望在对抗攻击者的战斗中开辟一条新的战线。该方法将攻击者的任务从生成有说服力的视频转变为破解验证码。

研究人员研究了这个问题，知道攻击者接下来可能会做什么，并表示提高图像质量是一种可能的应对方式，但他们想要创造一个全新的游戏。实时验证码方法不会显著改变带宽需求，因为发送到移动设备的验证码图像很小，而且认证方案已经在传输视频和音频。

未来面临的挑战包括要克服在嘈杂的环境中识别语音的困难，以及确保设备摄像头和身份验证服务器之间的连接。对于任何安全机制，首先需要担心该机制的安全性，一旦开发出一种安全技术，它就会成为攻击者的攻击目标，生物识别技术也是一样。