IT干货网

人机身份验证AI测试

shasha 2022年03月04日 DevOps 159 0

AI破解了人机身份验证测试,成功率还不低

你应该有过这种经历:登录某个网站时,手速稍微快点,网站就会弹出一个窗口,让你输入一些东西,或者点击人机身份验证,以证明你是个人类。

这种测试名叫“CAPTCHA”,全称是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)。CAPTCHA测试可以把计算机和人类区分开来,以保护网站不受机器攻击,是现代网络安全的必要组成部分,已使用了20多年。

然而现在,机器学习有可能要撼动CAPTCHA测试在网络安全中的霸主地位了。

人工智能公司Vicarious开发了一种新型生成式组成模型,称为Recursive Cortical Network(RCN),并将神经科学的一些见解引入生成式组成模型框架中,以模拟人类的“常识”。近日,该公司将他们的研究论文发表在《科学》杂志上,详细介绍了他们是如何训练出RCN来战胜CAPTCHA测试的。

图片来源:Vicarious

那么,RCN的成绩如何呢?

Vicarious公司发表在《科学》杂志上的论文表示,RCN在谷歌推出的网络机器人识别工具reCAPTAs上的准确率达到66.6%(字符级准确率可达94.3%);在CAPTCHA生成器BotDetect上的准确率为64.4%;在Yahoo上是57.4%;在PayPal上是57.1%;均高于CAPTCHA测试曾被证实的1%通过率(关于1%通过率可参考George, D., Lehrach, W.等人今年发表在《科学》杂志的一篇论文《A generative vision model that trains with high data-efficiency and breaks text-based CAPTCHAs》)。要知道,由于CAPTCHA测试的难度,人类的准确率也只是接近87%。

Vicarious公司的研究人员表示,虽然RCN使用了很少的训练示例达到了很高的精度,但机器学习模型还需要更多地向人类视觉智能学习。

不过,该模型的应用范围仍然很窄,它无法对其识别的字符进行任何操作,比如将字符翻译成其他语言等。

研究人员认为,该模型是有一定深远意义的,“从少数例子中学习和扩展的能力是人类智慧的标志”,“在前往通用人工智能的道路上可能很重要”。

同时,研究人员补充道:“网站应该采取更有力的机制来阻止机器入侵

国内使用reCaptcha验证码的完整教程

reCaptcha是Google公司的验证码服务,方便快捷,改变了传统验证码需要输入n位失真字符的特点。reCaptcha在使用的时候是这样的:


只需要点一下复选框,Google会收集一些鼠标轨迹、网络信息、浏览器信息等等,依靠后端的神经网络判断是机器还是人,绝大多数验证会一键通过,无需像传统验证码一样。个人感觉比Geetest要好一些。

但是reCaptcha使用了google.com的域名,这个域名在国内是被墙的,如果使用可以用Nginx配置反向代理,本文的教程无需自行配置,我们直接使用Google官方的反向代理。

获取代码():首先要有Google账号,登录账号并进入这里:IT虾米网

在register a new site表单里填写验证名(随便命名)、域名(你要使用reCaptcha 的域),type选择v2,下面的钩钩打上,然后Register即可注册。

接着打开你刚刚创建的验证,找到Keys,记住你的site-key和select

接着可以在客户端和服务端部署了。

客户端部署代码:

在你要添加reCaptcha的页面添加script标签:

<script src=’//recaptcha.net/recaptcha/api.js’></script>

接着在你要显示reCaptcha验证框的地方添加div容器:

<div class=”g-recaptcha” data-sitekey=”【此处添加你的site-key】”></div>

这样就完成了客户端的部署。

服务端部署代码:

服务端只需要将客户端点击验证码后传回的g-recaptcha-response值和ip以及secret传给Google的API:IT虾米网  即可

对应的参数如下表(使用GET方式传参):

secret (必须) 你的secret
response (必须) 客户端获取到的 g-recaptcha-response
remoteip 客户端的ip

接口返回的是json数据,其中success字段为true时,表示验证通过。如果验证未通过,error-codes字段会以数组的形式给出错误说明。

 阿里智能验证控件

极验 3.0 验证安全系统

https://www.geetest.com/first_page/


评论关闭
IT干货网

微信公众号号:IT虾米 (左侧二维码扫一扫)欢迎添加!

基于云的全链路性能测试理念与产品实践