Google以為費力打造的No Captcha會大獲好評，但是網絡安全公司Shield Square在昨天發布博客表示，No Captcha存在安全漏洞，會被機器用戶巧妙的避開。而且早在本月初，No Captcha剛剛推出之時，網絡安全專家Egor Homakov也已提出了相同的觀點。 “人類用戶”更加容易的證明自己是個人 No CAPTCHA無效時會轉到圖片識別 名字又長又拗口，還是先來科普一下。被替代的CAPTCHA，是一種驗證碼識別系統，基于全自動區分計算機和人類的圖靈測試原理（程序必須能生成并評價人類能很容易通過但計算機卻通不過的測試），要求用戶在驗證碼框中識別出一些變型扭曲的文本數字，在驗證框中正確的輸入。經常出現的形式是一些人類還能“依稀閱讀”的污損扭曲的字符，甚至包括識別3D圖片以及區分貓和狗。這些文字難辨識，圖片難懂，用戶體驗比較不佳，人類用戶“費力識別”，而機器卻很少能通過。 Google當然沒有停止研發的腳步，在一年半的時間內著力解決這個問題。當研究團隊發現能夠教會計算機讀懂CAPTCHA系統的晦澀文字，并且準確率竟然高達99.8%，Google也慌了，這也就意味著CAPTCHA的漏洞會被黑客輕易破解。于是Google順勢推出升級版的No CAPTCHA reCAPTCHA，并且官方宣稱其安全性有很大的提升。 這便是驗證“我不是機器人”的復選框 No CAPTCHA可以讓“人類用戶”更加容易的證明自己是個人，而讓“機器用戶”經過更多的審查判斷其身份。該系統只提供了一個復選框，用戶勾選“我不是機器人”之后，系統算法便利用“風險分析引擎”，根據用戶在該網站的一系列行為，判斷用戶是否為人類，并過濾掉任何容易識別為人類的用戶。 絕大多數正常的人類用戶都只是看到一個復選標記，單擊這個復選標記，便已經通過了測試，順暢訪問網站；而機器用戶會被算法判定為“不是”，被要求點擊正確的圖片選項判斷用戶是否為人類。 此外，Google也明白用戶對驗證碼的苦惱，新的No Captcha系統的算法僅僅只需要用戶驗證一次，在下一次訪問網站時，便無需任何驗證，因為系統會自動檢驗用戶cookies。除非你是定時清理cookies狂魔，那么你每一次訪問都必須通過這種無聊的“我不是機器人”驗證。 機器用戶：防我？沒門 Shield Square公司表示，Google對于cookies的高度依賴，存在不小的安全隱患。 因為對于機器用戶來說，一旦第一次通過驗證，它們會通過OCR識別，特意留下相關的訪問cookies的證據，把自己偽裝的更像是人類用戶。這些“故意制造”的cookies便會成為今機器用戶今后正常訪問的通行證，所以說機器人也不需要任何的驗證碼了。 當No Captcha系統無法識別到用戶的歷史瀏覽行為，例如用戶一直使用的是“無痕瀏覽模式”，Google就會搬出傳統的Captcha驗證碼檢測，但是這些已經被機器用戶攻破了。 除此之外，Homakov和Shield Square都發現No Captcha系統在防止“點擊劫持”等黑客手法時，存在一定的安全隱患。這一手法通過網站跳轉，讓用戶幫助黑客識別出驗證碼。 不過針對這一點，Google表示新的No Captcha驗證系統擁有機器學習的能力。同Google搜索引擎一樣，No Captcha會在一次次辨別人類用戶和機器的過程中，變得更加智能聰明。也就是說，的確目前存在安全隱患，但是Google的海量用戶基數保證了這項問題會在極短的時間內解決。 對此，Homakov和Shield Square表示，Google這樣的做法只能稱是與互聯網黑客的“貓鼠競賽游戲”。如果機器變聰明的速度更快，Google就很難區分人和機器，究竟誰能在這一場驗證碼的戰爭中獲勝也不得而知。 No Captcha：真的做不到啊 有專家表示，新推出的No Captcha算法的確比曾經的Captcha系統要先進，但是客觀些說，這基本沒有什么價值。Google希望No Captcha能夠成為自己防衛“黑客用戶”的銀色子彈，但是No Captcha真的做不到啊。 某位評論家表示，犧牲掉用戶流暢的用戶體驗，來為獲得更好的網絡防衛，Google耗費大力氣開發的No Captcha不值得那么多的努力。目前看來，No Captcha系統足夠成熟可靠仍是要等待不短的時間。   來源：中關村在線