验证码是一个简单和有用的方法用于网络管理员对用户进行身份验证。现在这是一个很简单的恶意软件作者和垃圾邮件发送者和有用的方式来做这种肮脏的工作。
验证码——的全自动区分计算机和人类的图灵测试——是一个好主意的一天。你给了用户一个混淆的字符字符串,然后让他们解码和类型的字符串来得到一个电子邮件帐户,社交网络帐户或访问在一个在线论坛上发表评论。没什么大惊小怪(尽管用户理由抱怨的区别1(一)和l(小写字母l)很难看到许多字体),当然也没有弄乱从Web管理员的观点。
这是验证码从相对模糊的安全措施完善卡耐基梅隆大学的研究人员于2000年由大多数主要的Web部署2007年电子邮件网站和其他网站。等网站雅虎邮件,谷歌的Gmail和微软的Hotmail所有使用的,对于这个问题,继续使用验证码,以确保只有人类,不是机器人,可以得到帐户或帖子。
那些日子已经一去不复返。
2008年1月,雅虎邮箱的验证码破解。Gmail是撕开了4月。Hotmail顶级了突然同月。
然后事情变得糟糕。
现在网上的程序(不,我们不会告诉你哪里),自动化验证码攻击。你不需要有任何破解能力。所有你需要的是一个渴望垃圾邮件传播,使匿名在线攻击你的敌人,传播恶意软件,或者一般来说,是一个在线的混蛋。
不仅仅是免费电子邮件网站可以承受,。
的创始人约翰•纳格尔SiteTruth,一个网站,试图识别虚假的企业和他们的网站,写了5月下旬在本网站,垃圾邮件在流行的在线分类广告服务克雷格列表“多年来一直是小麻烦…今年,垃圾邮件发送者开始赢得并接管。”
Craigslist试图“阻止垃圾邮件检查重复提交,”纳格尔解释说。“他们检查过度文章从一个IP地址。他们要求用户注册一个有效的电子邮件地址。他们加入了一个验证码停止自动发布工具。和用户可以标记帖子他们识别为垃圾邮件。”
根据纳格尔,打蜡讽刺,“现在已经出现了一些商业产品批量发帖克服这些小障碍。一个工具叫CL汽车发布工具就是这样的一个产品。它不仅帖子自动Craigslist,它有内置的策略来克服每个Craigslist反垃圾邮件机制。”It's not the only one. There are, he added, "other desktop software products [such as] AdBomber and Ad Master. For spammers preferring a service-oriented approach, there's ItsYourPost." The result? "The defenses of Craigslist have been overrun. Some categories on Craigslist have become over 90% spam. The personals sections were the first to go, then the services categories, and more recently, the job postings."
当然,你不需要支付任何东西。现在有免费的网上验证码饼干。
Craigslist是反击。组织现在使用电话验证一些广告。饼干,作为回报,正在研究的一种方法打破Craigslist的电话防御。与作战成本越来越大,很难看出Craigslist,这一直是一项免费服务,可以继续生存no-visible-means-of-revenue模型。
它不是,Craigslist的情况表明,恶意电子邮件是来自破碎的验证码安全的唯一问题。信息库的高级分析师保罗•伍德英国的电子邮件安全公司,说,“信息库已经开始看到垃圾邮件发送者利用其他技术的例子,一旦他们绕过谷歌验证码和Hotmail——例如,使用谷歌文档创建垃圾邮件内容,包括垃圾邮件中的链接,逃避传统的反垃圾邮件技术,依靠在url识别已知的垃圾邮件域。”
社交网络用户也从CAPTCHA-compromised网站受到攻击,安全研究部经理斯蒂芬Chenette说Websense安全实验室。
“新一代不使用电子邮件交流,“Chenette解释道。“相反,他们使用社交网络,他们不太关心暴露他们的个人信息在社交网络上或博客文章,而不是发送电子邮件。发生了什么是,攻击者创建一个公共的博客自己或设立一个帐户;他可以使用这些发布恶意链接。利用社区的人的信任,他使用僵尸网络等传播。”
因为社交网络提供这样的一个“巨大的攻击表面”和“用户不认为自己是脆弱的一样经验丰富的电子邮件或即时通讯用户,“他们特别容易利用,Chenette说。
另一个新的攻击向量来自CAPTCHA的崩溃:快速创建假网站。Chenette表示,这些网站把内容从合法网站通过复制和粘贴来最大化他们的搜索引擎优化和声誉迅速获得观众。
“名声都是恶意攻击者的愤怒。从搜索引擎的角度来看,重要的内容。恶意攻击者将网站的内容并将它嵌入到他们的网站上,这给了他们一个高搜索引擎排名,这给了他们一个更高的声誉,“Chenette说。“我们已经看到很多最近。当然,搜索引擎中毒很老,但是现在名声网站(如Digg)使用验证码成为了目标。”
所有这些问题,所有这些新的方法来攻击用户通过电子邮件和社交网络和博客,有希望验证码吗?
不,不是真的。
“我认为现在我对这的看法是,当前验证码系统的时间肯定不多了;已经没有以前那么有效,”Wood说。“真正的客户已经越来越难以成功地使用它们,和他们继续从垃圾邮件发送者面临越来越大的压力。”
Chenette更进一步:“验证码已经打破了过去的一年半。这项技术已不是发展。他们有一点困难,但黑客程序,可以很容易地把它们。这工作与打印和音频验证码。所有这些都被打破或另一种方式。”
Chenette说这是一个“根本问题没有简单的答案。”After all, "harder CAPTCHA solutions mean harder problems for people as well." And he believes that "the idea behind CAPTCHA may need to be part of a solution."
Chenette不期望一个放之四海而皆准的解决方案将会出现,然而。“每个站点必须选择自己的答案。金融行业网站,例如,将更加困难比一个免费的社交网站,”他说。
木希望看到验证码很快取代。“我希望看到一些网站引进新的技术来取代现有的验证码模式,可能最早在明年初,也许涉及三维空间知觉、等一个由SpamFizzle,”他说。
如果失败的,总是有验证码的使用量子随机数发生器的服务。至少你知道你的数学微积分…对吧?
这个故事,“验证码是怎么垃圾”最初发表的《计算机世界》 。