再见了，打码平台：对抗打码平台的验证码思路 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
再见了，打码平台：对抗打码平台的验证码思路
共596973人围观
，发现 39 个不明物体
*本文原创作者：idapro，本文属FreeBuf原创奖励计划，未经许可禁止转载
某日，一朋友深夜微信上问我，如果打码平台盯上了你，你该咋整？
政治正确的回答方式是：加强风控策略，多维度判断使用者意图，减低对验证码的依赖。
显然这不是我或者朋友真正想要的，现在不少企业面对打码平台有时候束手无策，只能放弃对验证码的依赖，我觉着有点可惜。
我们先来回顾一下，验证码的学名是啥？图灵测试。图灵测试的目的是为了区分人与机器，而打码平台的加入使得这个过程立即无效——打码平台上活跃的对象还真是人。但这样就没辙了么？No。
这“人”与“人”之间是有差别的。我们仔细想想，我们加入验证码的目的其实除了图灵测试之外还有一个重要的潜在期望——我需要知道你的确是你。
绝大部分需要部署验证码的地方其实都有具体和人或行为关联的信息，例如登录、下单、领券、支付等；少数部分信息可能和人没有那么强的关联，比如搜索、匿名评论等。可无论如何，验证码是对一个具体的动作进行“人”机识别需要时才产生的。这里指的“人”是某些信息本身的拥有者。
我们看看过去的验证码都有什么类型：
这个太简单了，不再举例。
顺便吐槽一下，就算是个简单的字符型验证码，很多人却设计的像狗屎，这其中包括了一些安全公司或具有安全属性的产品。基本的字符黏连、形变都没有，光用夸张的混淆色、噪点，一个二值化就如同裸体相亲一样让人一见长短，实在垃圾。
2、短信验证码
这种类型的验证码分为两种（用户主动发送和用户被动接收），通常用在多因素认证中。
被动接受型的验证码对于验证码发起方（服务器）来说成本很高（短信收费）。有些情况下，短信验证码本身就是需要被保护的对象（短信轰炸）。
主动发送型验证码对于用户体验极差（需要用户进行大量操作，用户需要为你的风控策略付费），除非这项业务已被垄断（例如某购票系统），否则老板几乎不会同意你这么做的。
况且这两种验证码都有收码平台可以无缝覆盖，单纯用作图灵测试没啥意义。
3、问答验证码
这是一个大类，包括百度贴吧的看拼音选汉字的验证码、12306的看文字选图片验证码、Google norecaptcha的二次图片验证，或者网上爆料出来叫你展开傅里叶级数统统都是问答型验证码的一种。
这种验证码的前身是题库，题库本身存在中容易被穷举的弊端。其他“高级”问答型验证码的安全性，则除了依赖计算机视觉功能受限外，还依赖于人类的认识活动无法被机器模拟的大前提。
对于打码平台来说，问答型验证码还是轻而易举的（你要是用高数题作验证码算我没说）。
4、行为验证码
常见的有Google norecaptcha第一次验证或者常见的一些拖动型的验证码。这些验证码每个都声称自己用了什么机器学习、大数据分析、人类行为建模等等一大堆听起来就很牛逼的技术。
5、语音验证码
语音验证码大多属于无障碍设施的一种，为的是视障人士也能正常通过验证，后来演化成对抗猫池的方向之一（需要接听来电）。之前还出现过Google recaptcha被Google自己的语音识别API干翻的趣事，这里也不再一一展开。
上面这些验证码呢，应该基本覆盖了日常能见到的绝大部分场景，也是打码平台或者收码平台存活下去的基础。
大家有没有发现，这些验证码有一个共同的特点：上下文无关。
这里我们定义一个概念：上下文无关验证码。
上下文无关验证码是一个问题与答案或规律一一对应的集合，对于任意给定问题，一定能通过问题本身得出答案。
同学们，划线部分是重点，打码平台要考啊！！！
用通俗一点的话说，就是任意的验证码都是完全独立和与具体场景的上下文无关的。比如说，我的这个验证码既可以在登录场景中能用到，也能在下单场景上使用，无论是对A用户还是对B用户，同样的验证码也能适用。甚至说，你把验证码随便截个图发给IM上的好友，他立马知道什么意思。某购票系统的验证码变态吧，但是你试试看把他截个图别人能答不能答？
既然验证码的应用有场景性，也有具体的上下文，那我们以前都没用到几个“参数”，我们是不是可以考虑用它一下？
我们再定义一个概念：上下文相关验证码。
上下文相关验证码是一个上下文、一个问题与一个答案对应的三元组，对于任意给定问题，能且仅能在具体上下文下得到对应答案。
这里的问题设计是有技巧的，它需要满足一个条件：上下文包含的内容中存在用户不愿或不宜公开的信息，且该信息服务器知晓。
用一句话来形容一下这一类的验证码：就算截图发给基友，他也不能给出正确答案。
怎么，这样的形容很模糊，不够形象？那我举个具体的例子，场景是登录。
以前，当一个人的登录行为遇到风控策略时，往往会在输入账号密码的同时输入验证码。
现在，我们把验证码输入策略稍稍往后推一步——在用户提交完账号和密码后要求输入这样一个验证码：
我们设想一下，如果机器或打码平台需要识别出这个验证码要满足什么条件：
1、做题者需要是人，或具有相当精度的OCR工具（OCR识别几乎不能有错）；
2、做题者需要知道这个提交者的账号和密码明文；
那么，这样一样来，先不说打码平台如果能实现后费用必须各种增加，光这第二点就会把打码者和攻击者之间的利益约束消灭：既然我已经知道了账号密码，要你攻击者何用？而对于做题者即是提交者来说，这样的设计不会带来什么问题。
我们显然可以推测——攻击者自身无法通过OCR识别这个验证码的话，也不愿意将这种类型的验证码往外众包。否则，打码平台或者打码者可以开展大型的黑吃黑活动（如果界面上有水印，做题者还知道这个验证码的来源），攻击者的风险与收益不再成比例，自然也没有人愿意搞事儿了。
除了登录场景之外，我们在下单、领券、加好友等等的时候也可以应用类似的策略：
1、请选择下图中您手机号【没有/有】包含的数字。
2、请选择下图中您地址中【包含/不包含】的【省份/县市/具体地址】。
3、请选择下图中您获取优惠券名称中【包含/不包含】的汉字。
4、请选择您要添加的好友名称。
可惜的是，这个验证码部署成本很高。因为它不在像之前的验证码一样，能够做到“一次设计处处可用”。上下文相关验证码则必须对具体场景的上下文设计一个具体策略，这点和风控与业务的高耦合很像。部分大厂也部署了类似的策略，只不过他们更多的把它定义为“安全验证”。
本文只是抛了块砖，希望给大家在设计验证码的时候可以有一个新的思路。标题可能有些夸张，还请海涵。
*本文原创作者：idapro，本文属FreeBuf原创奖励计划，未经许可禁止转载
看似很美好
但规则策略依赖于手工制定，黑产完全可以一一破解。1、请选择下图中您手机号【没有/有】包含的数字。直接给打码平台提供手机号中含有的数字，对于黑产来说毫无风险2、请选择下图中您地址中【包含/不包含】的【省份/县市/具体地址】。为打码平台提供地址 关键部分打马赛克3、请选择下图中您获取优惠券名称中【包含/不包含】的汉字。为打码平台提供优惠券名称4、请选择您要添加的好友名称。为打码平台提供要添加的好友名称 ，其中一位到两位用*代替至于用户名和密码中出现或者未出现的字符 直接提供所有出的字符 乱序输出即可实际上图的验证码中只提供了三个字符用作校验，A K E 其中的组合只有几种AKEAKEAK AEKE完全不需要使用打码平台，直接尝试都有1/7的几率成功，对于自动化脚本而言多尝试几次并没有太大的问题。
话说楼主没试过淘宝的验证码吗？会让用户选最近买过的商品。。。 :mrgreen:
账号和密码明文，这个应该改一改，改成密码密文，服务器端还要校验你的明文密码值，难道还要裸奔吗？
假设在登录处，验证码提示：请输入您用户名/密码的第a、b、c、d位
这样会不会好点，既用到上下文相关的敏感信息，又不会导致可能的信息泄露风险
用户用lastpass这种密码管理器，自己也不知道密码的，咋办？
必须您当前尚未登录。
必须（保密）
关注我们 分享每日精选文章大家好，谁熟悉手机验证码机制，可否提供给一个给app发送手机验证号的方案。
如题。谢谢。
以下是问题补充：
：我公司专业106验证码接口专门短信行业 咨询
qq 电 杭州童烨
这个简单，你得先申请一个短信网关接口。
1. 服务器端程序生成一个随机数字（即验证码），并将手机号，验证码保存到你自己的数据库。
2. 服务器程序验证码消息发送给短信网关，这样用户就收到短信验证码了。
3. 这样，提交时用你自己的数据记录校验就成。
可惜关电脑了，以前做过的项目中有用到过。就是用的人家的接口。把手机号和你生成的验证码通过代码如http工具类啥调用那个接口，就会把验证码发到手机上。你可以百度手机短信接口试试看
MOB好像有个免费短信验证码SDK.看看能不能符合你的需求.
付费买一个可以发短信的账号！会提供api，你往api上面发就行了，具体验证码自己生成，自己存起来。
app调用服务器的接口，传手机号。
服务器调用发短信接口，发验证码(并放进session)，传手机号。
该手机会收到验证码。
app回填验证码。
收到，感谢！
生成验证码，填手机号，短信网管发送验证码，确认验证码，保存验证手机号，返回验证结果。(手机可以获取号码的就不用填手机号
我这几天刚也是做了手机短信验证码这块：给你共享一下吧。 在线演示:http://www.yuntongxun.com/ability/toVoiceVerifyCode Demo下载：http://docs.yuntongxun.com/index.php/Demo%E4%B8%8B%E8%BD%BD
不过我是做的网站PHP方式的。【Web安全】浅谈Web安全验证码 | 绿盟科技博客
两步邮件订阅，方便获取文章
欢迎订阅！现在已有3 815个朋友订阅了。
在后续邮件的尾部，您可以退订及修改订阅内容。
选择订阅组：您好，美团众包收不到验证码怎么回事，还登不上。_百度知道
您好，美团众包收不到验证码怎么回事，还登不上。
我有更好的答案
如果今日已超过次数请明天再尝试.手机在境外使用或使用境外手机　　解决方法：受手机服务运营商业务影响：打开手机安全软件，暂时关闭拦截功能。　5.周围的人可以正常使用：　1.获取次数超限　　解决方法，然后再次尝试获取验证码手机收不到短信验证码。　2.手机安全软件拦截（针对已安装安全软件的智能手机用户）　　解决方法，手机在境外使用或使用境外手机都无法接收验证码，建议更换手机尝试，可能是以下原因导致。　3.短信网关拥堵或出现异常　　解决方法：短信网关拥堵或出现异常时会导致已发送的短信出现延时或丢失的情况，建议过段时间再尝试获取。　4：每天只能获取三次验证码，但自己始终收不到　　解决方法：可能是手机本身的原因
中国电信，世界触手可及
主营：宽带、手机、充值缴费
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。复旦大学肖仰华：12306的验证码已不再安全
传统验证码可以说已经十分不安全。比如上图中拖拽验证码，已经可以通过自动化程序来破解。而且这样的破解程序也不需要什么高手才能做出来的，这里演示的是我实验室同学用来练手的破解项目。先通过图像处理算法找出方块的目标位置，由于方块区位特征明显，很容易找到。之后设计一个带参数刚体运动的轨迹模拟模型，参数随机化之后模拟真人的轨迹拖动，从而实现破解。
12306图形验证码
除了拖拽验证码，据说难倒了很多购票者的12306的验证码其实也可以被破解。12306的验证码本质上在做图片中的对象识别，因此可以利用已经相当成熟的ImageNet相关算法，而ImageNet相关算法对图片中的实体识别已经到达很高的准确率。
谷歌图形验证码
此外，就连谷歌图片验证码也可以通过类似的方法被破解。谷歌图片验证码识别的主要难度在其类型多样：有时是选择图片中招牌部分，有时是框出图上的汽车。但是对于每一类验证都是有相应的破解方法，特别是对于基于图片中物体识别的验证码，可以用类似ImageNet的相关算法破解。
如今，几乎所有的主流的传统验证码都已经被破解，传统的验证方式早已不安全。
未来属于基于语言认知的智能验证码
出路何在？我的观点很明确，那就是基于语言认知的人机区分，也就是考验机器语言认知能力的智能验证码，这将会是未来一段时间内的重要选择。
这类验证码的基本思路是，让机器去读一段文本，然后回答问题。有点类似语文里面的阅读理解。比如说让人或机器读这么一段文本：&某人从复旦大学哲学系毕业，现在是郑州大学公共学院的导师&，然后问&这个人的在职单位是什么？&人或机器需要点击包含答案的文本片段才能通过验证。这类验证本质上是在考验人或机器的文本理解能力。对于人而言极为简单，但是对于机器而言，这是很有难度的。比如刚才的例子，机器有可能回答复旦大学，也有可能回答郑州大学，但是我们都知道只有郑州大学是他的在职单位。机器要回答这个问题必须理解这段话讲的是什么，必须能够区分郑州大学和复旦大学一个是学习单位，一个是在职单位。换言之，机器必须具备像我们人一样的认知能力，才能破解这样的验证码。但是很遗憾，机器毕竟没有像人一样受过十几年的教育，也就无从具备这样的文本理解能力。当前机器在认知能力方面，尤其在语言认知方面，至少在未来一段时间窗口内还难以企及人类水平，可能再过二十年、三十年或许能达到这个水平，但是这是二、三十年之后的事情了。
我们来看看当前人工智能到底有什么问题。当前人工智能的问题集中表现在理解常识的能力和推理能力非常有限。什么叫常识？几乎所有人都知道，以至于大家都不说的知识，叫常识。比如说太阳是从东边升起的，人是会走但是不会飞的，鱼是会游但是不会走的，鸡是有两条腿，兔子是有四条腿的，类似于这样的知识，就叫常识。机器普遍缺乏这种常识，因为机器现在所学到的知识都是从文本里面学习来的，但是常识是人人都知道的，所以文本里不会被提及，那就意味着数据里不会存在，因此机器就无从学习。所以机器现在是普遍缺乏常识的。
我们再想想人为什么具有这种常识？人的常识是通过自身与世界的交互而产生的，我们从胚胎开始就在积累常识，就在感受时间的流逝，感受空间的存在。当你是一个很小的小朋友时你就知道调皮会挨打，所以你就在体验有因必有果。时间感、空间感、因果感，都是通过身体经年累月的体验而形成的。人类要想在短短几十年时间内，把这种通过体验而得到的知识以一种填鸭式地方式灌输给机器是很困难的。
另外一方面是推理能力有限。我曾经问过很多在线机器人：&奥巴马是白人吗？&，很多机器的回答都不准确。事实上，这些机器背后的知乎库中都存有&奥巴马是黑人&这样的事实，但是从&奥巴马是黑人&推理出&奥巴马不是白人&，对机器来说就非常困难。另一方面人类的推理是能够容忍很多异常的。比如说&有翅膀的鸟会飞&，大部分情况下是这样的，但是你也会发现一些特例，比如企鹅有翅膀不会飞，鸵鸟有翅膀也不会飞。机器只能胜任非黑即白的推理，异常容忍的推理对于机器而言仍很困难，但对于人而言确极为简单。这里提及的难题目前有一个不成熟的说法，被统称为AI-Complete问题，也就是说这些问题要等到机器智能达到人类水平的时候才能解决。这明显是个悖论，但从这一说法可以看出这类问题有多难。
基于这些认识，我们提出并实现了一种基于知识图谱的验证码。我们有一个目前世界上最大的中文百科知识库CN-DBpedia。利用自有的知识库，自动生成自然语言问题，自动判定答案。所有的问题全是自动生成的，理论上可以生成数以亿计的问题。同时我们平台可以自动判定答案，但是机器是不知道答案的，机器必须通过理解才能知道答案。我们的验证码还具有交互友好的特性，只要轻轻一点就能通过验证。
那么我们的系统是如何知道答案的呢？其实在CN-DBpedia里存储的是2亿多的结构化事实，比如(复旦大学，所在地，上海)，基于这些结构化事实，我们通过深度学习模型自动生成自然语言问题，也就是说我们的系统在提问时是已经知道答案的。
如果要破解我们的验证码需要以下几个技术储备：
识别图片里面的文字以获取问题
理解文本以及问题，进而生成答案
使用一个成熟的涵盖数亿关系知识库的QA系统
因此，破解这个验证码至少比破解目前流行的图片验证码要难（上述第1步）。文本理解以及知识库上的QA(雷锋网注：特别是能回答数以亿计知识的QA)，是目前正在研究和探索的问题，还没有成熟的解决方案。因此，至少目前，在机器语言认知能力尚未达到人类水平之前，我们的验证码是难以破解的。
我们的核心技术是从知识库里面结构化知识自动生成自然语言问题。我们提出了基于生成对抗网络（GAN）的从结构化三元组生成自然语言问题的模型，从而实现问题的自动随机生成。理论上有数以亿计的候选问题空间，一个真实的用户是不会两次碰到相同的问题的，从而保证了验证的安全可靠。
同时，为了进一步提高验证的安全性，降低对于真实用户的验证门槛，提高对于机器验证的门槛，我们也考虑到了分级验证。如果是首次登录的普通用户，就采用简单的验证，如果是高频访问的账号就用复杂验证，比如说像淘宝的刷单，我们就可以通过组合验证的方式，将机器拒绝于门外。
组合验证实际上就是通过组合文本理解、图片识别、轨迹识别等不同验证码方式来增加机器破解的难度，从而实现更强的安全验证。
我们的验证码终极形式是常识验证。比如说：&上海GDP仅次于日本东京，问GDP第一的城市是谁？&答案应该是&东京&，回答这类问题本质上是在考验机器的常识理解能力。常识理解问题可以说是人工智能皇冠上的问题。
基于语言认知的智能验证码具有非常多的应用场景，包括电商平台防抢单、用户注册防僵尸、航旅春运防刷票、发表评论防水军、信息检索防爬取、论坛博客防撞库等等。不仅如此，这种验证码还有很多超越人机区分的未来商业应用价值：
阈下知觉广告（subliminal advertising）：阈下知觉是低于阈限的刺激所引起的行为反应。虽我们感觉不到，但却能在潜意识中形成记忆，引导之后决策。
众包数据标注： 验证码是用户登陆的必经之路，谷歌已经对接了图片分类问题实现图片样本的自动标注、物体识别等。
访问权限控制：类似于门卫，在加入某些小众群体的时候，能起到区分作用，只有知道特定群体知识的人才能回答验证进入系统。
时值2018年春季，智能手机市场，尤其是千元机领域，亦如这个变革的年代般，发生了翻天覆地的...
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
Copyright (C)
All rights reserved. 京ICP证060517号/京ICP备号 京公网安备76号
TechWeb公众号
机情秀公众号