驗證安全2.0時代:極驗驗證碼評測

*本文屬「WitAwards 2016年度安全評選」專題報導，未經許可禁止轉載

驗證碼的英文是CAPTCHA，其全稱為Completely Automated Public Turing test to tell Computers and Humans Apart，翻譯過來就是全自動區分計算機和人類的公開圖靈測試。

可見驗證碼的存在是為了區分人和機器的操作行為，從而進行分類管理。從應用方面來看，驗證碼可以杜絕撞庫攻擊，暴力註冊，垃圾評論，非法爬蟲，刷票投票和惡意搶購等行為。從出發點來看，驗證碼對改善網際網路環境有著不可磨滅的功勞。但是，實際情況卻事與願違。

驗證碼的設計是人能理解而機器無法理解的圖像含義，但是隨著OCR技術的發展，傳統驗證碼已經嚴重影響用戶體驗，並且有些傳統驗證碼還存在相關安全問題。在網際網路飛速發展的今天，傳統驗證碼與當今的網際網路思維背道而馳，人們需要新的驗證碼機制來解決這個問題。

在這些問題下，極驗驗證孕育而生了。

極驗（geetest.com）是基於SaaS的雲端驗證安全產品，致力引領驗證安全2.0的技術革命，研究出「行為式驗證」技術，徹底解決了傳統碼式驗證「不安全、真實用戶識別困難、機動性差」等問題，既保障了網站的安全，又讓用戶輕鬆通過驗證。

它的操作非常簡單，用戶只要拖動滑塊將一塊拼圖放到圖片中合適的位置，驗證過程就算完成了，但是在背後卻有諸多技術的支持和複雜的算法來區分人和機器的行為。

產品分析窗口設計

極驗驗證主要有以下四大驗證設計。在設計上，極驗已經可以滿足絕大部分應用環境。

浮動式

嵌入式

彈出式

移動端

部署架構

極驗驗證在GitHub上開啟了多個Demon項目，用戶可以快速搭建本地使用。目前Demo支持語言如下。

PHP—極驗官方項目

Java—極驗官方項目

Csharp—極驗官方項目

Python—極驗官方項目

Node—極驗官方項目

Asp—第三方開發者

Ruby—第三方開發者

VB—第三方開發者

極驗除了基礎的首次驗證以外，還提供了安全保障的二次驗證。就算極驗的伺服器受到宕機，也有相對應方案的宕機二次驗證接口。

除了基礎的WEB頁面開發文檔外，極驗官方還提供了iOS和Android應用的開發文檔。

極驗官方也推出了相關的建站插件，這樣用戶可以很方便的在自己的網站上使用極驗的驗證碼。

目前支持的建站插件如下：

Discuz

WordPress

phpwind

蟬知企業門戶系統

總結下來，極驗的部署架構如下圖所示。

後臺功能

與傳統的驗證碼相比，極驗有著諸多不同，其中之一就是流量查看。在後臺，用戶可以隨時查看驗證的數據統計圖。

也可以設置閾值，來提高驗證碼的安全係數。

企業用戶可以在後臺自定義驗證碼的圖片。

其它解析

我們來看看極驗和傳統的驗證碼，除了行為操作不同，還有哪些不一樣。極驗的邏輯就是在驗證環節融入了 「生物特徵學」，利用機器學習的方式，通過對用戶滑鼠移動軌跡等操作行為的分析，來區分開人和機器。

極驗驗證伺服器目前每天要處理來自7萬多個網站的上億次驗證，這麼多數據都在訓練極驗驗證的人工智慧模型。它就像是一個用於分辨人與機器行為的AlphaGo。極驗主要是採取了三層技術防線來區分人和機器的行為。

第一層：包含語意邏輯的圖像加密技術

和傳統驗證碼不同，極驗的圖片精美，清晰。但是在後臺，極驗會對圖片進行相應的加密和語意邏輯處理。

加密後的圖片在機器程序看來是混亂模糊的，同時加入語意邏輯進行混淆，我們人類可以輕鬆的進行判斷，而機器程序就要大費周折了。當然單一的圖像加密並不十分安全，這也是傳統驗證碼的弊端所在。

第二層：人機行為檢測

極驗的技術核心則是行為式驗證技術。極驗在大量數據的基礎上，利用機器學習，數據挖掘等技術手段，對人和機器程序的特徵進行分析，建立了多維度的人機特徵檢測模型。

人和機器程序在網絡世界的行為是具有很大差別的，機器程序很難完全模擬人類的行為完成拖動滑塊這個過程。同時極驗還會採集一些顯性特徵和隨機特徵進行分析，這就加大了機器程序模擬人類行為的難度。

第三層：實時更新的安全防禦庫

最後，極驗在雲端構建的驗證雲引擎會進行迅速的迭代更新。

我們將深度學習應用到安全驗證中，在雲端建立了自主學習特徵的神經網絡模型，通過實時的數據分析以及學習，一旦有可疑行為出現，就可以迅速的進行全網更新。

實際表明，能夠進行快速更新和提高防禦能力的驗證碼才是最安全的驗證碼。

目前的極驗驗證的基礎版本只對如下數據進行了收集，不會對網站的隱私信息進行任何侵犯。

當前網站的網址

本次驗證拖動時用戶的軌跡。

本次驗證時所處的瀏覽器平臺

本次拖動時用戶的IP及驗證時間

傳統的後端驗證碼有個十分嚴重的安全缺陷，就是存在人工打碼的情況。人工在前期耍取大量的驗證碼並且存儲下來，以便在後期繼續使用。

而極驗主要採取失效控制和referer綁定控制來針對人工打碼的情況。驗證模塊在生成一次驗證事件後，如果在一定的時間內沒有被交互驗證，那麼會自動失效。

人工打碼肯定要自建頁面，那麼它的頁面和id在極驗後臺綁定的referer不一致，極驗也判定為驗證不通過。

極驗除了基本的前端驗證外，還採取了安全保障的後端驗證。整個驗證過程主要分為兩次。根據極驗官方說明，極驗的伺服器每天都會接受到1.5億次左右的驗證，並且還有宕機二次驗證接口和後備伺服器。

正常極驗驗證流程圖

宕機驗證流程圖

有防就會有攻，任何軟體都會有漏洞。我們不能阻止軟體出現漏洞，但是我們可以儘快的對漏洞進行修補。極驗的安全相應速度也十分的快。在V2EX社區上，有人發表了一篇針對極驗驗證的破解思路，並且已經成功。

但是在幾個小時後，極驗官方團隊就立刻更新了JS庫，同時修補了相關漏洞。

產品發展建議

雖然極驗在設計之初已經足夠的安全和便捷，但是相對於其它驗證碼，極驗可以在現有的功能上繼續延伸。

去糟取精

 雖然極驗的安全響應速度十分快捷，並且破解十分困難，但是通過搜尋引擎搜索相關資料我們可以知道，極驗之前還是被少部分人破解過。

在寫針對極驗評測的時候，筆者也嘗試過在網上選擇相關打碼平臺。值得慶幸的是針對極驗的打碼平臺少之又少，找了半天也才發現一兩家。

通過和商家的溝通我們獲知，通過支付高昂的費用依然有破解極驗驗證碼的可能性，但是對於驗證碼來說，提高黑產的破解成本是一種打擊黑產的有效手段，畢竟沒有一種安全產品能夠做到絕對的安全，安全實際上是一種成本與收益的博弈。

傳統驗證碼雖然容易破解，但是可以作為輔助的驗證形式，極驗可以考慮在傳統的驗證碼上「去除糟粕，取出精華」。比如Google的驗證碼就採取了傳統驗證和新型驗證的相互結合。

增加驗證類型

極驗目前只提供了滑動驗證，但是隨著身份驗證系統的不斷發展，一個滑動驗證並不能滿足於全部用戶的需求。

Google發現驗證碼太過複雜，雖然機器無法識別，但是人類也沒辦法識別，於是加上了字符驗證碼和語音驗證碼兩個選擇。就目前來說，很多手機都支持指紋識別功能，LastPass的Android APP中就內置指紋驗證的方式。

極驗可以考慮增加更多的驗證模式來應對這個複雜的網絡環境，比如語音驗證，二維碼驗證，生物識別驗證等等。極驗也在不斷的探索適應新型身份識別的驗證方式，做好驗證安全。

市場分析企業背景

武漢極意網絡科技有限公司於2012年10月24日在工商登記註冊，註冊資本為102萬元人民幣。2012年12月，極驗獲得了天使灣的種子投。

在2014年10月，極驗曾獲得IDG資本的A輪投資。今年2月，極驗獲得2400萬美元B輪融資，由紅杉資本領投、IDG跟投。

極驗驗證的創始人吳淵：原是武漢大學的老師，主要進行測繪遙感方面的研究，包含計算機視覺識別的內容。

極驗驗證CTO張振宇：原是武漢大學的學生，畢業前就接觸過極驗驗證這個項目，畢業後先在華為工作了一段時間就跟從武大辭職出來的吳淵一起正式投入該項目。

產品定位

極驗目前的用戶數量已經超過七萬家，付費用戶數已經超過了三千家，像鬥魚TV，熊貓TV，新浪，寶寶樹等都在使用極驗的驗證安全防護。由此可見，極驗的主要利潤獲取還在2B這個產業鏈上。

首先是通過免費的2B模式和安全便利的驗證設計帶動起良好用戶口碑和免費的流量，然後再根據其免費流量定點投放廣告獲取利潤，同時針對2B企業制度專門的驗證設計來獲取回報。

在免費模式下達到收支平衡對很多初創企業都是一種挑戰。但是根據極驗目前的用戶數據和企業年報來看，極驗已經越過這個瓶頸。

發展前景

極驗的獨特競爭力主要表現在安全，便捷和部署簡單。

安全：極驗通過分析用戶拖動驗證的行為軌跡（不僅是正確位置的匹配）、設備指紋、網絡環境等一系列綜合因素來阻止惡意程序的訪問，更加保障驗證安全。

便捷：用戶只需要像玩小遊戲一樣，輕輕拖動滑鼠即可在1.82秒內完成驗證。同傳統的字符驗證碼相比，用戶不再需要面對眼花繚亂的驗證碼，用戶活躍度大大提高。

部署簡單：網站只需幾行代碼或者一個插件就可以將極驗部署在自己的產品或者網站上，並且隨時可以在後臺查看驗證數據。

極驗擁有較好的用戶口碑，良性的發展和先進的驗證碼技術。在這些優勢條件下，極驗在針對2B的安全市場上已經獲得了一席之地。

接下來極驗可以依託於這個口碑和自己的用戶群體，再發展其它擅長的領域，比如Saas版Database等。同時在海外，Saas類型的驗證碼產業也還在發展，海外的驗證碼市場對於目前的極驗來說或許是一個不錯的發展選擇。

WitAwards年度安全評選火熱報名中

由FreeBuf主辦的FIT 2017（2017 FreeBuf網際網路安全創新大會）將於2016年12月28日-29日在上海陸家嘴上海國際會議中心召開。

與FIT 2017大會並行的WitAwards 2016，作為一年一度的網際網路創新安全評選盛典和FIT 大會的重頭戲之一，自然備受業界關注

WitAwards 2016網際網路安全年度評選，旨在發掘全年卓越的安全產品和傑出人物；給予在2016年為安全行業做出貢獻的個人、團隊及產品以掌聲和肯定；為超過100款安全產品的創新和努力，及行業的專業精神全情投入喝彩。

參選獎項報名

不同獎項的參與報名通道現已開啟，9月15日-10月31日，針對以上四大獎項，任何人都可以進行線上報名，或以為他人及其產品提名的形式參與WitAwards 2016評選。FIT官方會對報名和提名的項目進行初步審核。

行業評委申請

自古高手出民間，尤其在安全領域更是藏龍臥虎。

本屆WitAwards年度網際網路安全評選，特邀「懂安全」的你擔當我們的行業評委，也相信你能夠代表業界同行評選出最專業最優秀的獎項。

入選行業評委，將獲得FIT 2017大會門票。

點擊閱讀原文，參與WitAwards2016

*本文原創作者： ArthurKiller，本文屬FreeBuf專題報導，未經許可禁止轉載