验证码作为人机交互界面经常出现的关键要素,是身份核验、防范风险的重要组成,也是用户交互体验的第一关口,广泛应用电子银行、网上银行、手机银行上。
验证码诞生于20年前。2002年,路易斯·冯·安(Luis von Ahn)斯和他的小伙伴在卡内基梅隆第一次提出了“验证码(CAPTCHA)”这样一个程序概念。该程序基于重要假设:提出的问题要容易被人类解答,并且让机器无法解答。
金融验证码的三大作用
验证码的全名是“全自动区分计算机和人类的图灵测试”,核心利用“人类可以用肉眼轻易识别图片里的文字信息”,通过识别、输入、交互等区分出操作者的真伪,在注册、登录、交易、交互等各类场景中都发挥着巨大作用,能够防止操作者利用机器软件程序化的垃圾注册、仿冒登录、盗取信息、刷票刷粉刷流量、保障账户安全等方面具有重要作用。
顶象最新发布的《验证码“适老化”白皮书》,系统阐述了验证码的三大作用。
真人识别:真人识别的应用主要出现在网站平台或App的注册、登录界面,用于判断操作者是真人还是机器程序。主要是通过识别、输入区分出操作者的真伪。真人识别是验证码出现的初衷,也是验证码的首要价值。
身份核验:身份核验的应用主要出现在账户登录状态下,操作者在服务申请、重要信息发送、隐私信息修改、服务等界面,用于核实账号是否是操作者是否账户持有者。主要是基于账户预留信息与操作者提交信息比对,从而实现操作者的身份进行二次核验或确认。
安全预警:安全预警的应用主要出现在账号遭遇风险时,例如账号异地登录、更换登录设备、遭遇暴力破解、遭遇陌生人登录时。主要是基于操作者既往的行为、环境、设备等信息,与最新的操作行为进行比对,从而核验该敏感操作是否账户持有人所为。
验证码的发展史
《验证码“适老化”白皮书》系统总结了验证码的发展史,从简单的字母数字、算术题,到扭曲的字符、模糊的图片,一直到自动完成的智能验证,良好解决安全和体验的矛盾。
第一代验证码:图文展示类
第一代验证码的核心是图文识别的判断。操作者只需要识别扭曲、模糊、混淆的图文,并输入正确的内容即通过验证。第一代验证码设计简单、展现清晰,但是随着技术发展,很容易被攻击者破解。网上搜索“验证码破解”,有几十万条相关的内容。
2018年12月,西北大学公布一项研究结果,“文本验证码”存在巨大安全漏洞,人工智能技术最快0.05秒内可破解。团队基于最新的人工智能技术,建立了一套新型验证码求解器,可轻松破解热门网站的文本验证码,包括谷歌、eBay、微软、维基百科、淘宝、百度、腾讯、京东等网站,破解率超过50%。
验证码的设立很大程度上是为了对抗高频的暴力破解,阻挡坏人的自动机进攻的步伐,所以验证码自身的安全性非常必要的。
第二代验证码:知识问答类
第二代验证码的核心是对相关问题的计算或判断。操作者计算或判断展示的各类问题、异类选项,并选择后输入正确答案即通过验证。
第二代验证码的展示的内容比较复杂,能够有效防止常规的常规的暴力破解。但是也是由于验证码设计复杂,导致操作使用不便。不仅影响正常操作与体验,更消耗操作者时间,由此被用户疯狂吐槽。第二代验证码过于强调验证码的安全性,导致验证越来越复杂,从而严重影响了正常用户的应用体验。
第三代验证码:行为轨迹类
第三代验证码的核心是行为轨迹的识别与操作。操作者按照需求,通过拖动、点击、拼接等方式,将图文完整合成或移动到指定位置即通过验证。第三代验证码弥补了此前两代验证码的不足,展示的内容简单,验证又很复杂。由于强调操作者的动手能力,避免静态展示内容屡遭解的问题。不过,由于操作灵敏度和精细化的要求,对老年人的视觉和操作要求比较高,很容易操作失误,导致流程中断或退出。
既安全又易用,孰前孰后?这不仅是技术人员创新的需求,也是运营人员需要平衡的现实问题。企业需求一种能够能够满足安全验证需求,提升操作体验,节省操作者时间,更满足老年人操作习惯的验证码。
第四代验证码:智能验证类
第四代验证码的核心是不再依赖单一维度进行验证,而是根据操作者环境进行智能分析与综合判断。操作者进入服务后,验证码首先对设备、行为、频率、网络环境等综合分析,然后给出综合结果判定,如果判定是合法用户则免验证,直接放行;如果判定为异常用户,则根据风险出现相应验证内容,要求操作者进行二次验证。
第四代验证码重点解决前面三代验证码不足:通过不断提高免验群体,免去正常用户辨别验证码、操作验证码的苦恼,大大提升用户体验;通过数据分析和人工智能判断,降低验证码遭破解的可能,继续保障业务的安全保护能力。最大限度降低了用户被打扰的可能性,实现了易用性与安全性的平衡,让鱼与熊掌兼得。
第四代验证码——顶象无感验证
顶象无感验证集设备指纹、行为校验、操作校验、地理位置校验等多项功能与一身,基于设备、时间、访问频率、操作轨迹等信息,智能分析与预先判定操作者是合法用户还是仿冒者,进而判断是否需要弹出验证码:对于合法用户,免验证即通过;对于异常用户,根据潜在风险等级进行二次验证或直接拦截。既保障安全,又提升操作体验。
顶象无感验证不仅对视觉验证码进行了大幅视觉优化,并提供语音验证码供选择,还支持键盘快捷键实现语音验证码的重新播放、切换等操作。同时,无感验证还提供视觉验证与短信验证的组合呈现,让操作者选择适合的验证方式。
顶象无感验证不再是一个简易工具验证码,而是具备智能交互、实时计算、模型分析、决策判断等能力综合性安全系统。
系统来看,顶象无感验证拥有七大优势:
11种验证方式:顶象无感验证提供滑动拼图、文字点选、图标点选、图片旋转、语序点选、空间语义、面积验证、差异点击、乱序拼图、刮刮卡以及语音等验证方式。
适老化支持:顶象无感验证对视觉验证码进行了大幅视觉优化,提供语音验证码供选择,支持键盘快捷键实现语音验证码的重新播放、切换操作;并提供视觉验证与短信验证的组合呈现,让操作者选择适合的验证方式。
智能免验:智能分析与预先判定操作者是合法用户还是仿冒者,进而判断是否需要弹出验证码:对于合法用户,免验证即通过;对于异常用户,根据潜在风险等级进行二次验证或直接拦截。既保障安全,又提升操作体验。
全链路加密:顶象无感验证提供JS/SDK经过加固混淆处理,定时自动化更新算法,自动变更数据加密,实现验证码校验的快速自动迭代,增强破解难度。
防破解性强:顶象无感验证提供了海量的验证图片,能够自动对图片进行乱序切图,并随机制定验证图片的缺口位置以及形状,提高机器破解的难度。
灵活定制:针对不同用户群和需求,顶象无感验可以设置简单和复杂模式,对字体、色彩、速度、难易度、二次验证方式等进行不同定制,满足不同用户群体的需求。同时,无需代码修改,10秒内完成不同验证组合的可视化配置,针对不同场景定制规则策略60秒内即生效。
多平台兼容:顶象无感验证支持Android、iOS、Web(H5)、微信小程序等,满足业务多平台需要。
顶象是国内领先的业务安全公司,旨在帮助企业构建自主可控的业务安全体系,实现业务的可持续增长。截止目前,已为中国银联、中国银行、交通银行、中信银行、平安银行、江苏银行、宁波银行、南京银行等数十家金融机构提供专业服务。
责任编辑:kj005
文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com