2018-12-05 19:40:01
新攻击可能会使网站安全验证码过时

新攻击可能会使网站安全验证码过时.jpg

研究人员已经创建了新的人工智能,可以为最广泛使用的网站安全系统之一拼写终结。

基于深度学习方法的新算法是迄今为止验证码安全和认证系统最有效的解决方案,能够击败用于保护世界上大多数最受欢迎网站的文本验证码方案。

基于文本的验证码使用混杂的字母和数字,以及其他安全功能,如遮挡线,以区分人和恶意自动计算机程序。它依赖于人们发现比机器更容易破译角色。

该解算器由英国兰开斯特大学,西北大学和中国北京大学的计算机科学家开发,具有比以前的验证码攻击系统更高的精度,能够成功破解先前攻击系统失败的验证码版本。

求解器也非常高效。它可以通过使用台式PC在0.05秒内解决验证码。

它的工作原理是使用一种称为“生成性对抗性网络”(GAN)的技术。这涉及教授验证码生成器程序以生成大量与真正的验证码无法区分的训练验证码。然后将这些用于快速训练求解器,然后根据真实验证码对其进行细化和测试。

通过使用机器学习的自动验证码生成器,研究人员或将成为攻击者,能够显着减少查找和手动标记验证码以培训其软件所需的工作量和时间。它只需要500个真正的验证码,而不是通常需要数百万才能有效地训练攻击程序。

以前的验证码求解器特定于一个特定的验证码变体。以前的机器学习攻击系统需要大量人力来构建,需要大量手动标记验证码来训练系统。通过验证码中使用的安全功能的微小变化,它们也很容易被淘汰。

由于新的求解器几乎不需要人为参与,因此可以轻松地重建它以定位新的或修改过的验证码方案。

该计划在33个验证码计划上进行了测试,其中11个被世界上许多最受欢迎的网站使用 - 包括eBay,维基百科和微软。

兰卡斯特大学计算与通信学院高级讲师,该研究的共同作者郑望博士说:“这是第一次使用基于GAN的方法来构建解算器。我们的工作表明了安全特性目前基于文本的验证码方案所采用的方法在深度学习方法下特别容易受到攻击。

“我们首次表明,对手可以用很少的努力快速发动对基于文本的新验证码方案的攻击。这很可怕,因为这意味着许多网站的首次安全防御不再可靠。这意味着验证码开辟了一个巨大的安全漏洞,可以通过多种方式利用攻击来利用。

该作品的主要学生作者叶桂新先生说:“它允许对手发起对服务的攻击,例如拒绝服务攻击或花费垃圾邮件或钓鱼信息,窃取个人数据甚至伪造用户身份。对于大多数文本验证码方案,我们的方法成功率很高,网站应该放弃验证码。“

研究人员认为,网站应该考虑使用多层安全性的替代措施,例如用户的使用模式,设备位置甚至生物识别信息。

该研究发表在多媒体多伦多ACM计算机与通信安全(CCS)2018年会议上发表的文章“又一文本验证解算器:基于生成性对抗网络的方法”中。

猜您喜欢的其它内容