驗證碼

用于区分人类行为和机器行为的测试方式

全自動區分電腦和人類的圖靈測試(英語:Completely Automated Public Turing test to tell Computers and Humans Apart,簡稱CAPTCHA),又稱驗證碼確認碼,是一種區分用戶是機器人類的公共全自動程式。在CAPTCHA測試中,作為伺服器的電腦會自動生成一個問題由用戶來解答。這個問題可以由電腦生成並評判,但是必須只有人類才能解答。由於機器無法解答CAPTCHA的問題,回答出問題的用戶即可視為人類。

早期的Captcha驗證碼 "smwm" ,由EZ-Gimpy程式產生,使用扭曲的字母和背景顏色梯度
一種更現代的CAPTCHA,其不使用扭曲的背景及字母,而是增加一條曲線來使得圖像分割(segmentation)更困難。
另一種增加圖像分割難度的方法為將符號彼此擁擠在一起,但其也使得真人用戶比較難以辨識
要求用戶辨識圖片的驗證方式,本圖為模擬12306網站的驗證介面

簡介

CAPTCHA這個詞最早是在2002年由卡內基梅隆大學路易斯·馮·安、Manuel Blum、Nicholas J.Hopper以及IBM的John Langford所提出。卡內基梅隆大學曾試圖申請此詞使其成為註冊商標[1], 但該申請於2008年4月21日被拒絕[2]。一種常用的CAPTCHA測試是讓用戶輸入一個扭曲變形的圖片上所顯示的文字或數字,扭曲變形是為了避免被光學字元識別之類的電腦程式自動辨識出圖片上的文數字而失去效果。由於這個測試是由電腦來考人類,而不是標準圖靈測試中那樣由人類來考電腦,人們有時稱CAPTCHA是一種反向圖靈測試。

為了無法看到圖像的身心障礙者,替代的方法是改用語音讀出文數字,為了防止語音辨識分析聲音,聲音的內容會有雜音或仍可以被人類接受的變聲

根據CAPTCHA測試的定義,產生驗證碼圖片的演算法必須公開,即使該演算法可能有專利保護。這樣做是證明想破解就需要解決一個不同的人工智能難題,而非僅靠發現原來的(秘密)演算法,而後者可以用逆向工程等途徑得到。

運用

CAPTCHA技術廣泛用於網站的留言板以及註冊帳號。許多網站為了防止有人利用電腦程式大量在留言板上張貼廣告或其他垃圾訊息,因此會放置CAPTCHA要求留言者必需輸入圖片上所顯示的文數字或是算術題才可完成留言。而一些網絡上的交易系統(例如:訂票系統、網絡銀行)為了避免被電腦程式以暴力破解大量嘗試交易也會有CAPTCHA的機制。

相關的技術有:

  • reCAPTCHA:是利用CAPTCHA技術來幫助典籍數碼化的進行。
  • SolveMedia,captcha.tw[3] :等廣告聯播網利用驗證碼展示廣告。

破解

一些曾經或者正在使用中的驗證碼系統已被破解。這包括Yahoo驗證碼的一個早期版本 EZ-Gimpy[4]、PayPal[5]、LiveJournal和phpBB使用的驗證碼、很多金融機構(主要是銀行)使用的網銀驗證碼[6]以及很多其他網站使用的驗證碼[7][8][9]

俄羅斯的一個黑客組織使用一個自動辨識軟件在2006年破解了Yahoo的CAPTCHA。準確率大概是15%,但是攻擊者可以每天嘗試10萬次,相對來說成本很低。[10]而在2008年,Google的CAPTCHA也被俄羅斯黑客所破解。攻擊者使用兩台不同的電腦來調整破解行程,可能是用第二台電腦學習第一台對CAPTCHA的破解,或者是對成效進行監視[11]

也有一種類似分散式的人工辨識方法,多用於在自動化執行程式防止被反自動化機制攔截,如遊戲自動外掛等,就是通過將需要驗證的圖片等數據轉發到有人值勤的終端,由其他人類代為辨識回答後再把答案轉發回驗證傳送端回答。[12][13]Gmail郵箱註冊驗證系統的破解可能即是經由此方法[14]。已經有專門的公司提供專門的人員辨識服務。[15]

也有一些使用新演算法和AI結合的方式用於破解。[16]

參考文獻

  1. ^ Computer Literacy Tests: Are You Human?. 時代雜誌. [2008-06-12]. (原始內容存檔於2009-04-30). The Carnegie Mellon team came back with the CAPTCHA. (It stands for "completely automated public Turing test to tell computers and humans apart"; no, the acronym doesn't really fit.) The point of the CAPTCHA is that reading those swirly letters is something that computers aren't very good at. 
  2. ^ Latest Status of CAPTCHA Trademark Application. USPTO. 2008-04-21 [2008-12-21]. (原始內容存檔於2012-04-23). 
  3. ^ 歡樂驗證碼. captcha.tw. (原始內容存檔於2013-10-14). 
  4. ^ Greg, Mori,; Malik, Jitendra英語Jitendra Malik. Breaking a Visual CAPTCHA. Simon Fraser University. [2008-12-21]. (原始內容存檔於2019-03-23). 
  5. ^ Kluever, Kurt. Breaking the PayPal CAPTCHA. Kloover.com. 2008-05-12 [2008-12-21]. (原始內容存檔於2018-07-12). 
  6. ^ Li, Shujun; Syed Amier Haider Shah, Muhammad Asad Usman Khan, Syed Ali Khayam, Ahmad-Reza Sadeghi and Roland Schmitz. Breaking e-Banking CAPTCHAs. Proceedings of 26th Annual Computer Security Applications Conference (ACSAC 2010). New York, NY, USA: ACM: 171–180. 2010 [2012-05-20]. doi:10.1145/1920261.1920288. (原始內容存檔於2016-03-13). 
  7. ^ Kluever, Kurt. Breaking ASP Security Image Generator. Kloover.com. 2008-02-28 [2008-12-21]. (原始內容存檔於2017-12-21). 
  8. ^ Hocevar, Sam. PWNtcha - captcha decoder. Sam.zoy.org. [2008-12-21]. (原始內容存檔於2005-09-11). 
  9. ^ Sergei, Kruglov. Defeating of some weak CAPTCHAs. Captcha.ru. [2008-12-21]. (原始內容存檔於2021-04-17). 
  10. ^ Yahoo! CAPTCHA Cracked.. 0x000000 - THE HACKER WEBZINE. 2006 [2008-02-27]. (原始內容存檔於2013-07-19). 
  11. ^ Google's CAPTCHA busted in recent spammer tactics. Websense Security Labs. 2008-02-22 [2008-02-27]. (原始內容存檔於2008-02-28). 
  12. ^ 解析驗證碼人工破解內幕!什麼是打碼任務頁面存檔備份,存於互聯網檔案館) 打碼任務(captcha human bypass project)
  13. ^ 關於打碼內幕 互聯網檔案館存檔,存檔日期2016-03-05.
  14. ^ [1]頁面存檔備份,存於互聯網檔案館) Brad Taylor稱垃圾資訊傳送者採用了原始的"人肉破解",即花錢僱傭了大量來自第三世界的廉價勞動者,讓他們逐個對進行 CAPTCHA系統進行人手破解。
  15. ^ 验证码识别和代答题远程人工打码/软件识别云平台-知码网. (原始內容存檔於2016-03-04). 
  16. ^ Ye Wang, etc. An optimized system to solve text-based CAPTCHA頁面存檔備份,存於互聯網檔案館)[Ye Wang, etc. An optimized system to solve text-based CAPTCHA]