来源: 时间:2022-10-04 19:35:09
研究人员创建了一种新的人工智能工具,该工具可以读取用于保护世界上大多数最受欢迎的网站免受网络攻击的文本验证码方案。基于深度学习方法的算法是迄今为止最有效的求解验证码安全和身份验证系统,并且可以为使用最广泛的网站安全系统之一画上句号。
基于文本的验证码使用一堆字母和数字,以及其他安全功能,如遮挡线,以区分人类和恶意自动化计算机程序。它依赖于人们发现比机器更容易破译字符。该工具由英国兰开斯特大学,美国西北大学和中国北京大学开发,其准确性明显高于以前的验证码攻击系统。它能够成功破解先前攻击系统失败的验证码版本。
<iframe src = "https://www.dailymotion.com/embed/video/ k7jjElQFwtlhkvuekZw" width = "100%" height = "363"></iframe>求解器的效率也很高。研究人员说,它可以通过使用台式电脑在0.05秒内解决验证码。该方法包括教授验证码生成器程序,以产生大量与真正的验证码无法区分的训练验证码。然后将它们用于快速训练求解器,然后针对真实的验证码对其进行改进和测试。通过使用机器学习的自动验证码生成器,研究人员 (或将成为攻击者) 能够大大减少查找和手动标记验证码以训练其软件所需的工作量和时间。
它只需要500真正的验证码,而不是有效训练攻击程序通常需要的数百万。以前的验证码求解器特定于一种特定的验证码变体。先前的机器学习攻击系统需要大量的人工来构建,需要大量手动标记验证码来训练系统。它们也很容易因验证码中使用的安全功能的微小变化而过时。由于新的求解器几乎不需要人工参与,因此可以轻松地将其重建为针对新的或修改的验证码方案。
该程序已在33个验证码方案上进行了测试,其中11个被世界上许多最受欢迎的网站使用-包括eBay,Wikipedia和Microsoft。兰卡斯特大学 (Lancaster University) 高级讲师王政 (Zheng Wang) 表示: “我们首次证明,对手可以以非常低的努力迅速对新的基于文本的验证码方案发起攻击。”这很可怕,因为这意味着许多网站的第一次安全防御不再可靠。这意味着验证码打开了一个巨大的安全漏洞,可以通过多种方式被攻击利用。
另请阅读:叶桂新说: “它允许对手对服务发起攻击,例如拒绝服务攻击或花费垃圾邮件或钓鱼消息,以窃取个人数据甚至伪造用户身份。” 该研究的主要学生作者。“鉴于我们的方法对大多数文本验证码方案的高成功率,网站应该放弃验证码,” 叶说。
相关推荐
猜你喜欢