后量子時代密碼將非常復(fù)雜 現(xiàn)有密碼體系會全部崩潰

Chrome 瀏覽器的用戶對于下面這個框框應(yīng)該不陌生：

當(dāng)你勾選方框，谷歌會根據(jù)風(fēng)險分析引擎判定瀏覽網(wǎng)頁的到底 “是不是人”。這是一種簡潔又相對有效的人機識別方式，作用是把一些機器爬蟲篩掉。

“在網(wǎng)上，沒有人知道你是一條狗。”這是互聯(lián)網(wǎng)剛剛開始進入大眾市場的一句經(jīng)典宣言，現(xiàn)在大數(shù)據(jù)的加持下，這個結(jié)論可能被動搖了，但是對于網(wǎng)頁和應(yīng)用的所有者來說，他們很多時候都無法識別網(wǎng)絡(luò)的另一端到底是機器還是人。

21 歲天才少年的創(chuàng)舉

最早遭遇這個問題的是雅虎。2000 年，雅虎郵箱是當(dāng)時的當(dāng)紅炸子雞，弄潮兒人手一個，是信息收發(fā)的主流方式。一些黑產(chǎn)盯上了這個渠道，用機器注冊了大量的馬甲郵箱，用于發(fā)垃圾郵件、網(wǎng)絡(luò)詐騙。一個時年 21 歲的、還在 CMU 上學(xué)的天才少年路易斯 · 馮 · 安給雅虎設(shè)計了一套人機驗證方案，就是最初的字符驗證碼。

當(dāng)時，圖像識別對于計算機是個挑戰(zhàn)，對人類而言卻是小菜一碟，通過這種方式，驗證碼可以輕松地把黑產(chǎn)攔截在門外。驗證碼從此變成了一種身份認(rèn)證標(biāo)配，被廣泛使用在各種網(wǎng)站上，發(fā)明者路易斯 · 馮 · 安在計算機行業(yè)聲名鵲起。

隨著 OCR、計算機視覺技術(shù)的發(fā)展，計算機在圖像識別上的能力升級，單純基于字符的驗證碼被爆破了。為了給機器制造一點麻煩，安全人員采用了各種辦法去 “弄臟”字符，包括字體變形、扭曲、翻轉(zhuǎn)等等。在這個過程中，路易斯 · 馮 · 安還做了一件創(chuàng)舉，當(dāng)時有很多古書籍、舊報刊需要電子化，而很多古籍由于印刷質(zhì)量、保存狀況等原因，很多內(nèi)容是 OCR 無法識別的，路易斯 · 馮 · 安想，既然每天有很多人在電腦前識別一些電腦認(rèn)不出來的字符，能不能在做人機驗證的同時順便把古籍電子化把這個工作 “眾包”給網(wǎng)友?于是，文章開頭的 reCaptcha 也誕生了。

這是 reCaptcha 一個經(jīng)典的交互界面，兩個字符中其中一個是計算機能判別的，另一個是古籍上面掃描下來的無法識別的。用戶在輸入驗證碼的同時，順便也參與了古籍電子化工作。

2009 年，reCaptcha 被谷歌收購，如文章開頭展示的一樣，谷歌現(xiàn)在很多人機認(rèn)證的場景都是由 reCaptcha 在提供技術(shù)支持。

單純從技術(shù)攻防角度，基于字符的驗證方式早就被爆破了。無論是變形多厲害的字符，用圖像分割技術(shù)切到一定的顆粒度，采用卷積神經(jīng)網(wǎng)絡(luò)算法也能很準(zhǔn)確地識別出來。騰訊安全曾經(jīng)協(xié)助警方破獲過一個國內(nèi)的 “打碼”團伙，他們用 AI 對驗證碼進行爆破，爆破率最高可以達到 98%，剩余 2% 以用眾包的方式找人去解決。

我們網(wǎng)上看到的 “想做兼職嗎?動動手指就能賺錢”的短信，很多時候就是黑產(chǎn)團伙發(fā)的招募信息。一些三四線城市空閑時間很充裕的用戶坐在電腦前手動輸入一個個驗證碼，積攢到一定數(shù)量后，從中介手里拿到一定的報酬。據(jù)不完全統(tǒng)計，這個鏈條上有百萬級別的從業(yè)者。

但黑產(chǎn)是一個典型的講究成本收益的 “生意”，好比我們隨處可見的家用大門機械鎖，其實就是有限的排列組合，只要是小偷精力無限，總有一天能試到一把鑰匙能打開。在驗證碼黑灰產(chǎn)也是一樣，AI 計算需要高性能的計算機、人工識別需要酬勞，都需要付出成本，目前在無利可圖的網(wǎng)站，字符驗證碼還是一種很流行的人機驗證方式。

獨樹一幟的 12306

“一輩子保持對生活和世界的新鮮感和好奇心，不斷探究身邊事物的本質(zhì)，虛懷若谷，格物致知，再加上那么一點點運氣，你就能通過 12306 的購票驗證了。”

這是一個關(guān)于 12306 的段子，看到的人都會會心一笑。

在驗證碼領(lǐng)域，12306 絕對是獨樹一幟的存在，它有著極高的安全系數(shù)，不僅有效地攔截住了機器人、各種自動化搶票助手，也把很多真人攔截在門外。

對大多數(shù)人來說，買火車票是低頻場景，一年可能買不了幾次;加之也沒有第二個渠道可以買，12306 會設(shè)置這樣的驗證碼環(huán)節(jié)，可能也是吃準(zhǔn)了這一點。但是對于絕大多數(shù)需要顧及用戶體驗的服務(wù)提供商來說，過分復(fù)雜的驗證碼會讓用戶流失，不可取。

目前應(yīng)用比較廣泛的幾種人機驗證方式，包括上文提過的字符驗證、圖像識別(例如 “點擊下圖中倒立的文字”)、滑塊驗證(例如 “拖動鼠標(biāo)完成拼圖”)等等。

滑塊是用戶體驗比較友好、同時安全系數(shù)也相對較高的一種認(rèn)證方式，因為它在圖像驗證的基礎(chǔ)上往前走了一步，基于采集用戶的行為數(shù)據(jù)、環(huán)境數(shù)據(jù)等等多維度來判斷用戶是人還是機器，例如人類拖動滑塊一般是先快后慢：先是快速拖到缺口附近，再在缺口附近進行精準(zhǔn)地校驗，并停留片刻釋放;機器的活動軌跡相對而言比較規(guī)則。

在網(wǎng)上搜索 “滑塊驗證碼”，有 N 個帖子是關(guān)于 “如何用 *** 破解滑塊驗證”的，很多已經(jīng)被證明有 60% 以上的識別率，但是識別成本也會比較高。又回到一個老生常談：沒有攻不破的系統(tǒng)。安全人員要做的事情，就是把攻擊門檻提高，讓黑產(chǎn)覺得投入產(chǎn)出比不值得而放棄。

易用優(yōu)先還是安全優(yōu)先，這是安全人員吾日三省吾身的問題。像票務(wù)網(wǎng)站、炒鞋、電商網(wǎng)站，這些網(wǎng)站的用戶賬號體系很有價值，對黑灰產(chǎn)而言是 “大戶人家”，這些網(wǎng)站在設(shè)置驗證碼的時候，安全性是首要考慮的。

在可見的未來，驗證碼還是一種行之有效的人機識別方式，安全人員和黑產(chǎn)在在驗證碼上的對抗還會持續(xù)。但我們可以稍微寬慰的是，現(xiàn)在市面上大部分驗證碼在實操層面上都是比較難以攻克的，一是單個驗證碼生命周期很短暫，很快會失效;第二個是驗證碼需要很強的圖片識別技術(shù)，而且有些圖片只能在前端瀏覽器、客戶端顯示出來，對于根本就沒有前端的服務(wù)器來說，用機器去跑腳本可能都看不到，也就無法解碼。

除了黑產(chǎn)之外，對于各種密碼、驗證碼來說，還有更大的對手。業(yè)界普遍承認(rèn)的一個事情，量子計算被開發(fā)出來了之后，現(xiàn)有的密碼體系和信任體系、網(wǎng)絡(luò)信任體系會全部崩潰，可能最難的密碼可能也只需要幾分鐘的時間就可以嘗試出來。但安全研究人員也認(rèn)為，后量子時代正常的密碼也可以設(shè)置得非常復(fù)雜，所有的計算機也可以基于量子計算去設(shè)計一套密碼，屆時也會有相應(yīng)的辦法能夠去保護安全。

關(guān)鍵詞： 量子 密碼 體系