現在,越來越多的工作我們都在網上完成了。當你登陸應用時,在輸入你的用戶名和密碼外,往往還會有一些數字、圖片或圖形要求用戶進行輸入驗證。大多數的人並不理解這個輸入的數碼到底有什麼作用,本期引石老王的白話安全,就為大家講一下這些驗證方式的作用,為您解讀,它憑什麼可以保證你的登陸安全。
跟著引石老王學安全,大家一定對安全已經有了一定的意識,在人們登陸應用時,既然已經輸入了自己的用戶登陸名和密碼,為何還要輸入這個驗證碼呢?
細心一些的用戶會發現,在網站應用的初期,當用戶登陸時並沒有驗證方式的設置,往往一個用戶名和密碼就可以登陸應用。而隨著計算機技術的發展,驗證的方式才逐步出現在網站登陸的頁面上。從起初數字驗證到圖形驗證,發展到現在的滑塊驗證,驗證的方式變得越來越複雜化。從這一點來看,隨著技術的發展,黑客攻擊能力也在逐步加強,驗證的方式也必須變得越來越複雜才可以抵抗黑客的攻擊。
那這些驗證碼的作用是什麼呢?驗證碼可以有效地防止黑客針對某一特定用戶,使用計算機程序進行不停登陸嘗試等惡意或暴力行為。
比如,中鐵公司的12306購票網剛剛上線時,就曾遭遇黑客的惡意刷票行為,或者,為了增加用戶的登陸或點擊率,使用惡意程序進行登陸刷點擊率等,這些惡意風險都是一個應用網站需要預防的。登陸驗證主要是用來分辨這種登陸行為是人的行為還是機器程序的行為,以杜絕惡意登陸的發生。
即使如此,在實際應用中,數字或簡單圖形的驗證都是黑客可以攻破的,所以目前更多的網站採用了滑塊驗證。滑塊驗證方式與圖形、數字驗證最大的區別是它面向的是過程而不是結果。
之前的數字或圖形驗證碼只關心用戶登陸時給出的答案對不對,而不關心這個答案是人做出來的還是機器做出來的。而滑塊驗證碼實際上關心的並不是用戶能不能將滑塊拖到正確的位置,而是用戶在拖動滑塊的過程中表現得像不像一個人。
這個也是引石老王曾經講過的,在大數據下的行為識別風控。目前,行為識別技術已經被廣泛使用,當然它的成熟度也一定時依靠應用後臺人工智能技術對大數據強大的分析能力。
畢竟黑客使用的都是程序語言來進行,說白了就是使用機器進行破解,而對於這種基於行為風控的驗證技術來講,由於應用後臺對登陸用戶的行為進行捕捉分析,它的破解難度就會大大提高,畢竟對於機器來講,要和人一樣靈活還是不可能的。
引石老王:從事信息安全工作20年,國內首批商業密碼從業人員,國家商業密碼應用的參與者與見證者。專注物聯網、人工智能技術的反劫持防禦與信息安全反黑,為您解讀當下科技創新與發展,推薦最佳的反劫持主動防禦技術。歡迎關注交流。
關注引石老王,評論安全熱點,解讀安全風險,歡迎您留言探討,期待與您的互動,共同交流!
閱讀更多 引石老王 的文章
