今天因为碰到网站恶意用户注册的问题,看了一下注册过程中验证码的资料,学到了一些新东西。
目前在很多网站的注册,发布信息页面,都会有一个称为验证码的图片,你需要正确填入验证码才能提交你的请求。这么做,是为了防止一些自动程序来自动的注册,发帖。因为这些程序发布的都是垃圾,广告信息。不仅增加了系统的负担,太多的垃圾信息还将正常的用户排斥在外。
在国内,针对这种验证码的攻防还不是很激烈,而在国外,却已经是如火如荼了。下面是hotmail注册时需要输入的验证码,看看,不要说机器,就是人也不容易分清楚。
其实正对这种情况,有个专用的名词:CATPCHA:Completely Automated Public Turing Test to Tell Computers and Humans Apart,全自动区分计算机和人类的图灵测试。图灵测试—计算机的先驱人物提出的一个测试—一个屋子里的计算机能和另一个屋子里的人一样回答人类测试者提出的问题,让测试者通过这些回答分辨不出两者中谁是机器。
目前卡内基-梅隆大学计算机科学教授Blum夫妇从事却正好相反:设计计算机无法通过而人可以通过的测试,这就是CATPCHA了。项目的主页就是www.captcha.net。Yahoo!就是在和他们合作。
有矛就有盾,专门破解captcha的人也有,在这里http://sam.zoy.org/pwntcha/,站长列出了一些他个人破解的一些captcha。呵呵,比较夸张,有些已经超出了我的相象,一些看起来很复杂captcha识别率已经很高了。另外,还有一些比较困难的,想hotmail,yahoo的。不过,hotmail的实在是难分清楚,我都不容易,还好,他们自己也意识到这个问题了,在注册页面,你可以只刷新验证码,找到一个容易一点的。
验证码也有一点新动向,hotmail居然可以用声音的方式,点击旁边的按钮,就可以听到比较大的噪声下,有人给你读出验证码,我是没听出来是什么,不过,这对那些色盲或者色弱人士来说是个不错的选择。另外,腾讯更BT,注册码居然是中文的,真正有中国特色。
针对我们的系统来说,单独的一套注册验证码体系是容易被人攻破,对于计算机程序来说,并不需要100%的成功率,只要达到10%的识别率,再加上全自动的程序高速运转,就可以注册很多垃圾用户名。
如果要防止验证码被攻破,需要多个手段同时出击,尽量降低自动程序的成功率
1,验证码系统经常更换,尽量采用独特字体或者手写字体。
2,采用汉字形式的验证码。
3,同时采用多套验证码体系,同时采用多种字体,随机使用,这样这样可以大大减少破解概率。
在服务器端验证中,每个验证码每使用一次就失效。当使用多套验证码体系时,自动程序收到验证码,不知道该采用何种破解方式,只能随机采取一种,然后再将破解出来的验证码,提交到服务器端进行测试。当返回失败信息,这个验证码已经失效,自动程序再尝试对这个验证码图案破解已经毫无意义,面对验证失败信息,自动程序不知道是破解方式不对,还是破解方式正确,系统的失败率造成的,这样就不能从中找出规律性的东西,必然大大降低破解概率
4,在服务器端进行动态IP限制,限制策略可多样化,例如:每小时每个IP只能注册若干用户,针对一些利用IP段来注册的情况,可以限制此IP段注册的速度。
下面是几个不错的链接:
Captcha:矛與盾的戰爭
http://william.cswiz.org/blog/archives/2005-03-18/captcha/
这位兄弟破解了很多的验证码
http://sam.zoy.org/pwntcha/
Breaking a Visual CAPTCHA
http://www.cs.berkeley.edu/~mori/gimpy/gimpy.html
Using AI to beat CAPTCHA and post comment spam
http://www.brains-n-brawn.com/default.aspx?vDir=aicaptcha
以理论的角度论对抗群发软件,兼论OCR
http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=968567
对付论坛群发软件的方法(050614最后更新)!!
http://bbs.dvbbs.net/dispbbs.asp?BoardID=8&ID=956875&replyID=1338064&skin=1
全文完·非狐外传@2005年6月28日
Trackback: http://tb.donews.net/TrackBack.aspx?PostId=447485