geetest_logo

前言:为了更好地帮助客户解决黑产破解问题,极验一直以来都在不断探索与创新,寻求更安全、更便捷的验证形式,以此有效区分真人和机器行为。在探寻的过程中相继推出了滑动拼图验证、无感验证这类用户体验较好的验证形式,同时也推出了空间推理、图标点选这类安全等级更高的验证形式


然而,不管是哪种验证形式,都将面临被破解的威胁。也有用户会疑惑:为什么用了一点即过验证会被攻击,需要切换更高难度的验证形式?


为了帮助客户解惑,寻找验证形式与实际业务场景之间最佳的安全策略,我们将通过本文与大家分享一些运营经验:如何在不同业务场景下,选择合适的验证形式?


极验行为验八大验证形式


目前,极验为用户提供8种安全与体验兼备的验证形式。在判断完风险后,极验会根据用户风险情况弹出不同验证形式,同时系统管理后台支持随时配置验证形式,配置即生效。通过多种验证形式灵活切换,增加黑产破解成本。


接下来,我们来一一介绍极验的8种验证形式,以及具体场景应该选择哪一种验证形式。


(1)一点即过验证



一点即过验证兼顾安全与体验,属于用户体验最佳的验证形式。极验的风控策略技术要求当配置一点即过与其他验证形式的组合时,一般默认开启体验优先的策略模式,体验优先模式下对于无风险用户优先分配一点即过保障用户体验。


也就是说如果是可信用户,在验证时前端不会弹出任何验证形式,他们只需要轻轻一点即可通过验证,平均耗时不足1秒;如果是可疑用户则会弹出其他安全指数更高的形式验证。同时,如需安全优先可关闭体验优先按钮,关闭后所有请求不再分配一点即过,将根据风险等级分配不同对抗强度的验证。


相较其他验证类型,一点即过验证无需验证用户的答案,由于黑产工具与技术的日益提升,该种验证形式可能遭到黑产攻击。为了实现用户体验与业务安全的最佳平衡,我们推出了其他更有针对性的验证码组合策略。


(2)滑动拼图验证



“拖动滑块完成拼图”,简单的操作过程使滑动拼图验证成为了国内当前最主流的验证形式。自2012年极验开启了验证码「行为式变革」,滑动拼图验证这种通过判断鼠标移动轨迹的行为式验证早已成为新时代互联网产品在验证场景的不二选择,成为千万家网站应用认可的人机识别SaaS服务。在业务状态一切正常的情况下,考虑到用户的使用体验,客户一般会选择使用滑块拼图的验证形式。


滑动拼图验证当前在国内网站和APP上使用得最为广泛,因此黑产针对这一验证形式的研究和攻击也更加深入和频繁。


一般情况下,滑动拼图验证就可以有效地拦截异常用户;当黑产通过遍历图片资源、研发图片识别模型等更暴力的方式对此类验证形式进行破解时,极验会根据黑产的攻击形态灵活应对,这时便需要对黑产的暴力动作进行更深层次的防御,即更换验证安全等级更高的验证形式。


(3)图文点选验证




图标、文字点选验证和接下来的语序点选、九宫格验证都属于识图点击类验证。用户根据提示框的题目依次点击图片上相应的图标/文字/图片。这类点击类验证除了携带答案的语义之外,图标点选验证还可以进一步通过图集类别模板的更新避免被黑产的自动识别模型所识别。


前文中我们提到任何一种验证形式都面临着被破解的威胁,这种验证形式在面临威胁时可以实现独有的图集数量热更,通过针对业务场景做快速更新让黑产行为无效。因此,图标点选验证码也是行为验4.0所有验证码类型中安全指数最高的形式。


以Y游戏为例,在举办周年庆活动时验证码数据出现异常高峰,经分析判定当日黑产正试图攻击该验证码对应场景的短信接口。在了解具体情况后,我们立马更换验证形式为安全防御能力最佳的图标点选验证并及时做了针对性的图集更新。通过下方数据我们能很明显地看出图标点选验证对异常数据拦截的效果。


(4)语序点选验证



语序点选验证,通常使用我们日常生活中常见的一些固定词组作为题目,需要用户按照正确的语序依次点击,例如上图所示的“演员表”。由于语序点选验证需结合人为判断逻辑,在防御黑产上会有一定的效果,但是也可能因不同用户对词组的理解而导致答案的正确率。


(5)九宫格验证



九宫格验证,指用户根据提示框中的文字或图案点选所有满足条件的图片。随着AIGC文生图大模型的日益成熟,极验也在技术前沿探索,并将新技术进一步应用到人机对抗领域的九宫格验证中。



如上图所示的“水果”就由SD(Stable Diffusion)模型生成,SD 技术也是人机识别模型的一次重大创新,通过引入稳定扩散技术,结合生成对抗网络,实现了高度复杂、真实感强的验证码图片生成,有效地提高了验证码系统的安全性、响应效率和用户体验,为验证码系统带来了革命性的变化。目前,极验在不断探索 AIGC 与验证码结合的艺术创作,未来我们可以看到更多由AI自动生成的九宫格验证。


(6)消消乐验证 



消消乐验证,一种创新性的验证码形式,顾名思义融入了“消消乐”游戏的玩法,将最常见的益智小游戏与验证码结合。用户需要点击两次图标、使三个相同的图标连成一条线,即可通过验证。


(7)五子棋验证



五子棋验证,与消消乐验证相似,将“五子棋”小游戏的玩法融入验证形式的设计,用户需要点击两次图标、使五个颜色相同的棋子连成一条线,即可通过验证。


上述两种验证形式,因为游戏元素的引入使得验证过程更加直观,与点选类验证形式相比这两种验证形式增强了趣味性,用户体验感也有所提升。另一方面,图案每次生成具有随机性,完成验证需要“思考”,一定程度上增加了验证难度,安全性比一点即过和滑动拼图形式更高,可以有效预防常见的验证码攻击。


(8)空间推理验证



空间推理验证考验了用户的空间推理能力和理解能力,需要结合提示标题的所有信息,判断出符合要求的物体。如上图所示,按照标题的要求,第一步需要先找到“绿色圆柱体”,第二步需要筛选出“相同大小”的物体,第三步定位“圆锥”,因此选择正确答案。


该验证形式收集用户行为轨迹信息和设备信息作为人机判别依据,用户根据图片的问题提示点选相应的物体,由于图片空间形态的多样性和复杂性,可以显著的降低机器识别的概率。


然而,空间推理验证考察目标多种能力,考虑用户使用体验,在行为验4.0中已将验证形式进行了优化,目前空间推理验证形式只存在于行为验3.0产品版本。


如何选择不同的验证形式


最安全的选择:图标点击类验证


由于验证码本质自带一层答案的语义,能够天然地区分出真人和机器脚本,因此更换验证形式是阻止拦截机器脚本最直接的手段。此前,我们分享过黑产攻防道系列之黑产破解验证的两种方式:验证码图片资源遍历和图像识别模型。


点击链接阅读相关文章:

【黑产攻防道01】如何应对黑产进行验证图片资源遍历

【黑产攻防道02】如何对抗黑产的图像识别模型


从安全对抗角度来说,识图点击类验证(图标点击、文字点击、语序点击、九宫格点击)安全性最高,可以实现图集数量热更而避免被遍历穷举破解,而点击类验证中的图标点击可以进一步通过图集类别模板的更新避免被模型识别,同时也不受国内外语义的限制。


而非识图点击类验证(消消乐、五子棋等)受制于形式问题,无法实现图集数量和图集模板的更新,所以对抗效果上相较于识图点击类验证会弱一点。


将这些验证形式映射到实际的客户业务场景中,出于安全角度,极验建议客户统一使用识图点击类验证(图标点击、文字点击、语序点击、九宫格点击),以便留出更多的对抗拦截空间。


若是客户因种种因素影响无法实现上述方案,极验建议:在涉及到安全问题矛盾突出场景或容易遭受成本损失如短信场景使用图标点击类验证;而在其他需要用户体验至上的一些场景可以采用其他验证(如滑动拼图验证),必要时再切换难度更高的点选类验证。


如何让一点即过和滑动验证更安全


(1)一点即过验证


回到开头“为什么用了一点即过验证会被攻击,需要更换更高难度的验证”这个问题,很多客户为了提升用户体验,更倾向于选择一点即过验证。但一点即过本质上不存在答案校验(滑动需要拼对滑块,图标需要识图点击),而是作为一种风险检测和环境信息异常与否的判断。


这些风险判断和检测结果的标签可以作为有效的依据,提供给业务侧参考,或作为其他验证形式弹出的依据。极验在该阶段不会直接拦截处理,需要业务对标签结果进行处理,否则单凭一点即过难以实现对机器脚本的拦截(如需对已知问题进行强制拦截也可联系极验客服团队处理)。


因此,在追求零摩擦的一些场景之外,极验强烈推荐采用UI图形验证或者组合验证,以提升用户的验证体验。随着黑产对抗策略的不断调整,验证方的防御策略也必须具备高度的灵活性,以确保对新型威胁的迅速应对和用户账户的全面安全保护。


(2)滑动拼图验证


同时,部分客户也遇到过滑动验证遭到攻击、需要切换难度更高的图标点选类验证的情况。这是由于滑动受制于验证形式的原因,从模型破解的角度来说,黑产可以通过识别阴影位置计算缺口,再模拟轨迹将滑块拖动到缺口位置。而图标点选类的对抗,对于模型识别和穷举破解更具有针对性。

如果客户因体验问题需要使用滑动验证,建议业务方结合极验的风险检测标签进一步在业务层面做处理,例如对异常请求进行抛错/返回假数据/降权等业务措施。


结语:随着卷积神经网络和深度学习技术的高速发展,验证码的识别能力得到显著的提升,准确率更高、效果也更好。目前,极验的第四代行为式验证为客户提供7种安全与体验兼备的验证形式(空间推理为极验3.0产品),在AI技术的加持下,未来有望研发出更多兼顾安全与体验的验证形式。


作为网络安全的第一道屏障,验证码无疑是黑产致富路上最大的绊脚石,因此黑产围绕识别与破解验证码的攻击从未停息。当然,极验第四代行为式验证也并不是验证码攻防战的终点。随着攻防博弈的不断升级,黑产进化与迭代的速度明显加快,与此同时,针对黑产攻防技术的对抗周期也在不断缩短。


面对更加精细化、定制化的黑产攻击,极验作为全国市场最大的验证码服务商,只为提供当下最好的验证码方案与服务而不断探索与努力,用最领先的技术去挑战行业最本质的难题,守护全球36万企业的业务安全与稳定。

Start your free trial
Over 320,000 websites and mobile apps worldwide are protected by GeeTest captcha