19年前,验证码正式出现在人们眼中,起初验证码的目的是为难机器人,这些机器人本质上是一行行自动运行的计算机代码。这些代码可以在不同的网站注册海量账户。之后,机器人账户便可以四处发布垃圾信息、自动刷票、甚至攻击网站。
人工审核很难能快过重复运行的代码,所以网站需要一个有效的方法来识别机器人和真人。验证码成了一个理想方案。
随着科技的发展,验证码的验证方式也在不断迭代,从最初的文本验证码到知识型验证码到行为轨迹验证码,验证码的复杂程度不断提升,攻防效果也不断提升,但用户面对日益复杂的验证码也开始质疑验证码的合理性——“验证码的出现其实不仅仅想为难机器人,更想为难人类吧”。
此外,2012年的一项调查报告显示,超过90%的人都认为使用这些验证码有点困难或是非常困难,虽然能理解验证码的出现是为了对抗机器流量,但奇奇怪怪的验证码让不少用户血压飙升,且对于老年人而言,验证码更是一道无法逾越的“坎儿”。
不仅用户反感,网站也对验证码非常头痛。一项研究邀请了210位参与者,超过一半的人需要输入两次甚至两次以上验证码才能输入正确。
为了解决引起众怒的验证码,验证码厂商们也在不断摸索更安全、更便捷的验证码方式。于是,智能无感验证出现了。
然而,当验证码变得更智能的同时,黑灰产也在AI技术的加持下掌握了更多围绕验证码的识别破解办法。
因此,这也在倒逼验证码厂商探索更为智能、更为人性化的验证码服务,顶象第五代验证码的出现正是为了解决这一难题。
顶象第五代验证码的“先见”
谈及为何选择此时推出第五代验证码,顶象业务安全专家沈嘉迪表示出于以下两方面的考虑:
第一是数字时代业务安全需求。
数字化转型已经成为国家推动经济社会发展的重要战略手段,亦成为数字经济时代社会基座的重要组成。而各行业企业纷纷从底层的IT基础设施数字化转型入手,构建以云计算技术为承载,融合大数据、人工智能、区块链等新一代数字技术于一体的云平台底座。各企业纷纷引入新技术、新流程来突破传统业务领域的瓶颈,以迎合当前数字经济时代背景下的市场环境。但与此同时,恶意数据爬虫、自动化垃圾注册、自动化撞库扫号、营销活动脚本作弊等业务安全问题已严重威胁到企业及用户的利益。
第二是黑灰产破解手段不断升级,攻防对抗难度增加。
黑灰产造成的恶意数据爬虫、自动化垃圾注册、自动化撞库扫号、营销活动脚本作弊等业务安全问题也已严重威胁到企业及用户的利益,当前各类验证码工具的防控能力也随着黑灰产对此研究的深入而逐步下降,这就对验证码的防控能力升级的效率提出了更高的要求。
沈嘉迪也指出,此次第五代验证码一个突出的特性是加入了行业风险全面感知能力和实时风险对抗能力,恰好能有效地解决这些问题。
这两大特性则来自于顶象自身能力的沉淀——顶象防御云。
顶象防御云基于多年实战经验和技术产品,拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案,具有情报、感知、分析、策略、防护、处置的能力,提供模块化配置和弹性扩容,助企业快速、高效、低成本构建自主可控的业务安全体系。
“云”作为业务安全经验的沉淀和决策依据的大脑,提供实时更新的业务安全情报、反欺诈相关的风险数据、具体业务场景的防御策略;“端”主要是在全链路多环节的业务交互中,提供安全工具和平台,利用云上的经验,实时识别到业务风险,并及时进行防御和处置。
“相比第四代验证码,第五代验证码集成了防御云的云端感知能力,打通上下游防控链路,链接各行业的“信息孤岛",从而赋予了新一代验证码根据风险动态实现自我升级迭代的能力,具备在线对抗能力。”沈嘉迪表示。
同时,第五代验证码也延续了第四代验证码的适老化需求。不仅对视觉验证码进行了大幅视觉优化,并提供语音验证码供选择,还支持键盘快捷键实现语音验证码的重新播放、切换等操作。同时,无感验证还提供视觉验证与短信验证的组合呈现,让操作者选择适合的验证方式。
除此之外,顶象还为用户定制了专属皮肤,内容涉及电商、航空、出行、互联网、二次元等,用户在使用顶象第五代验证码服务时,可根据需要定制专属个性化皮肤,提升用户使用体验。
无感验证是未来趋势
“至少在很长一段时间内,无感验证将是大势所趋”。提到验证码的未来发展趋势时,沈嘉迪如是说。
在他看来,未来验证码的核心目标不会变,防控能力和用户能力依旧是验证码厂商们需要重点关注的内容之一,信息获取会向云端进行延展,更多的通过同行业或跨行业的协同对抗能力,进一步提升防控能力,增强攻防对抗的灵活性。
在用户体验层面,则会继续在无感验证方向不断优化提升,降低对正常用户的打扰。
在无感验证的产品设计层面,需扩充更多的无感判断要素,包括设备环境、网络信息、历史验证行为等等,同时,无感验证既可以在验证码内作为内部判断模式,也可以与决策引擎进行联动。
而不久前,苹果官宣iOS 16 将加入自动验证功能,也力证了无感验证将是未来趋势这一观点。