考證碼的宿世此生（此生篇）

看完《考證碼的宿世此生（宿世篇）》大概第一感到就是Winter is coming，互聯網的人機反抗到瞭最陰鬱的時候。柳暗花明又一村，最陰鬱的時候也是光亮馬上光降的時候——在傳統考證碼的末日新的反向圖靈測試機制浴火更生。

0×1考證碼的劃代尺度

在先容新的反向圖靈測試機制前，起首我們對考證碼舉行劃代比較。經由過程考證碼的劃代比較我們能更清晰新型考證碼的特征。

考證碼劃代的尺度是人機辨認進程中基於對人類常識的運用。

第一代：尺度考證碼

這一代考證碼是等於我們常見的圖形考證碼、語音考證碼，基於機械難以處置龐雜的盤算機視覺及語音辨認題目，而人類卻能夠輕松的辨認來辨別人類及機械。這一代考證碼開端應用瞭人類常識輕易解答，而盤算機難以解答的機制舉行人機斷定。

第二代：立異考證碼

第二代考證碼是基於第一代考證碼的焦點思惟（經由過程人類常識能夠解答，而盤算機難以解答的題目舉行人機斷定）而發生的立異的交互優化型考證碼。第二代考證碼基於第一代考證碼的焦點道理－－人機之間常識的差別，拓展出大批立異型考證碼。

如12306的考證碼也是對付傳統考證碼的一種立異：

第三代：蒙昧識型考證碼

第三代考證碼最大的特色是沒有再基於常識舉行人機斷定，而是基於人類固有的生物特點和操縱的情況信息綜合決議計劃，來斷定是人類照樣機械。蒙昧識型考證碼最大特色即無需人類思慮，從而沒有會打斷用戶操縱，進而供給更好的用戶體驗。

如Google的新版ReCaptcha:

阿裡巴巴的滑動考證：

0×2蒙昧識型考證碼的道理

Step 1：在Web前端周期性的對Javascript代碼舉行混雜和並更新加密算法，將弗成信的Web前端打形成可托的客戶端。在用戶舉行滑動操縱時，基於可托的客戶端收羅用戶操縱的行動信息和情況信息，將其加密後提交給後真個風控引擎；

Web前端由於代碼都是明文情勢的劇本說話，辦事端想要從客戶端獵取可托的數據一向面對源碼眼前，瞭無機密的困擾。給一個前端工程師充分的時光，好像Web前端真的是瞭無機密，以下圖：

而跟著攻防反抗的連續，平安的補鍋匠們總能找到鄙陋的辦法來舉行防備。Web前端固然沒有客戶端防備逆向和調試的平安強度，然則卻具有客戶端所沒有具有的hotpatch才能。

參考Map-Reduce的道理，單臺機械機能不可，把義務分配到多臺機械並發履行。假如單份Javascript混雜的強度弗成行，那末周期性的對Javascript代碼主動混雜。即使進擊者可以或許短時光的對Web前端舉行逆向，但逆向出來的功效短時間以後就會在辦事端掉效，那末也能極大的消費進擊者的本錢。

更恐怖的是喪盡天良的Google基於Javascript完整的完成一套假造機，焦點代碼應用字節碼完成。周期性的對字節碼格局更新逆向的本錢成多少級數遞增。

假如代碼邏輯沒有更新，僅僅反復的混雜原有邏輯，那末仍舊沒故意義。而對付一個Web的考證碼運用，焦點功效隻要兩部門：

事宜收羅模塊，收羅用戶的行動信息，此部門邏輯簡略，也沒法主動化更新代碼邏輯； 行動數據加密模塊，該部門的焦點是加密算法，好像代碼邏輯主動化更新變更有充足空間。

為瞭保證前真個可托，須要對加密算法舉行主動化更新，必需要有一個偉大的對稱加密算法可全集合能力包管代碼的主動化更新。而全部對稱加密算法都基於Feistel分組暗碼構造，基於Feistel分組暗碼構造能夠派生出無數的對稱加密算法，從而能夠派生出無數的的對稱加密算法。

以下圖，Festel分組構造的可逆性沒有請求加密的焦點函數F可逆，故能夠主動的天生隨意率性的F函數進而派生出無數對稱加密算法。

基於主動化的代碼更新及混雜機制從而保證全部Web代碼反抗逆向剖析和調試的強度，進而將弗成信的Web前端打形成可托的端。

Step 2：後續風控引擎會基於用戶操縱的行動特點、用戶情況信息、用戶對應的裝備指紋及其裝備信用綜合舉行決議計劃，斷定是不是須要對該次操縱舉行二次斷定大概是間接阻斷。

0×3蒙昧識型考證碼的長處

蒙昧識型考證碼有三大焦點長處，分離是用戶體驗，風險辨認，風險攔阻。

用戶體驗：

蒙昧識型考證碼針對大多半的用戶可以或許無需思慮，間接經由過程。沒有存在營業和流程的打斷，體驗流利，對用戶體驗的晉升無庸質疑。

風險辨認：

由於跟著機械進修的成長讓機械控制人類具有的常識也沒有再是難點，蒙昧識型考證碼沒有再基於常識來挑釁機械，而是基於人類的固有行動特點和操縱的情況信息綜合舉行風控決議計劃，進擊者難以批量的模仿出能夠誘騙風控引擎的一般人類的的操縱。

風險攔阻：

通俗的考證碼基於常識對機械提議挑釁，沒法做到對機械舉行阻斷。由於常識的挑釁還須要統籌人類的體驗，機械經由過程的幾率隻能做到無窮的下降而沒法清除。而蒙昧識型考證碼基於後真個風控決議計劃，能夠對分歧風險的操縱提出更高難度的考證碼甚至阻斷，有更大空間對風險舉行清除和攔阻。

>> 檢察更多類似文章