最近,网易易盾正式对外发布了推理拼图验证码。用户只需要拖动需要交换的2个图块,复原出图片,即可完成验证。点击在线体验推理拼图验证码
背后,网易易盾则通过图片完整性以及生物行为轨迹,校验出进行该操作的是否为正常用户。
一切看似简单,但网易易盾在验证安全上的保障却一点也不简单。这篇文章就来说道说道推理拼图验证码是怎么来的?网易易盾在安全上都下了哪些功夫,以及一些取舍是如何平衡的。
人能做、机器却做不了的结合点
验证码有很多种类型,简单的有需要手动输入的验证码、短信验证码等。后来,有人推出安全性和用户体验较好的行为式验证码,包括文字点选、图标点选、滑动拼图等。
那么推理拼图这种安全性更好、更有创意的验证码是怎么来的?当把这个问题抛给网易易盾实验室产品经理时,她和盘托出,给出了自己的思考“路径”。
有两个关键点。第一个点是,网易易盾不断追求领先的决心,因此每年都要推出新的产品形态,这是推动力。
验证码现在有很多形态,是不是足够好了?并不然,和客户沟通中,发现还是有不少客户在特定性场景下,希望有更高的安全性。因此,他们开始思考2个问题。哪些是人能做,且容易做,但机器却做不了的事情?这是第二点。
顺着人能做、机器却做不了的结合点去思考,发现有两块。一块是空间想象能力,另外一块是逻辑推理能力,这两块是机器无法做,或难以实现的能力。
经过评审,内部最终确定了往逻辑推理方向去走。
产品落地
拼图游戏(图来自网络)
方向有了,那如何落地呢?产品的目光落到了拼图游戏。
拼图游戏,本身就是一种智力游戏。给你一张原图,人通过模仿,能够把原图拼凑出来。那么,不给原始图片,只是给出一个打乱的图,人是否能依旧拼凑出来?答案,依旧为“是”。
如果这种形态的验证码能够落地,对于机器而言,就属于风骚走位了。因为机器是不具备独立的逻辑能力的,而且行为轨迹也不定向,破解难度大大增高。
兵马未动,“算法”先行。实际上,目光落到拼图游戏之前,算法做了很多尝试。比如说卡通人物五官的换脸。由于卡通人物的可爱、二次元等风格特征,不够通用化,不适合政企等较严肃的场景,所以首先被pass。
打地鼠游戏(图来自网络)
接着,算法又想到打地鼠游戏,于是模仿打地鼠,做游戏化验证码。他们在空间感上做了一些字幕,做立体物体让用户去识别。然而打地鼠的创意非常好,而且也有趣味性,但后来的评审中发现,打地鼠对资源消耗比较高,于是也暂停了。
经过不断尝试和筛选,入围的是拼图游戏。即,我们现在见到的推理拼图验证码。
简单的背后,是没那么简单
用户只需要拖动需要交换的2个图块,复原出图片,即可完成验证
这是前台我们所能看到的界面,看似简单,实际上却没那么简单。
首先是交互上,典型的问题是:到底是拖动好,还是点击好?设计的直觉认为点击好,像在玩连连看,能增加产品趣味。认为拖动好的,则也有自己认为的正当理由。相持不下,拿数据说话。于是,产品做了不同年龄、不同学历、不同性别、不同行业、不同机型……的调研,最终调查结果显示,80%的人选择了拖动。
推理拼图验证码对外宣传的一个重点是——对抗效果相比其他行为式验证码至少提高了5倍。5倍数字的背后,网易易盾实验室做了大量的取舍和平衡。
提高安全性,最直接的办法就是增加图片的复杂度,比如在底图上。然而这有“后遗症”,一是看起来不美观、不协调,二是用户体验不好,不光拦截了机器,也拦截了正常的用户。
但是,图片的复杂度必须加,否则很容易被黑灰产破解。如何平衡,把握好这个度是一个难题。经过多次尝试,网易易盾实验室的产品和技术认知到一个大原则:一个是底图必须要经过筛选,要有正常人可识别出来的正常物体,且必须是物体的主体,这对用户思考图片完整性有帮助。
基于这个原则,在体验上,为了解决图片复杂度带来的“后遗症”,易盾推理拼图验证码通过图像内容识别、视觉显著性分析等技术来挑选合适的底图,并决定可以进行交换的位置,从而使用户能够快速找到需要交换的图块来完成验证,保证流畅体验。
在安全性方面,网易易盾做了图像风格化、边缘检测以及其他自研的黑科技,对图块进行了特殊处理。使得网易易盾推理拼图的图块,在人的观感上是大致一体的,但从机器的角度来看,每张图片却是不一样的,无法通过图像内容恢复拼图。
由于行为轨迹不定向,相比其他类型的验证码,推理拼图验证码的对抗效果得以提升至少5倍。因此,特别适合安全等级高的应用场景,比如找回密码、账号解冻,以及和利益挂钩的免费领取商品等拉新场景。在语言支持上,推理拼图支持包括英、日、韩、泰、越南、法、俄、阿拉伯等22种在内的语言,也支持多终端部署,包括web、h5、ios、安卓、微信小程序等。
此外,为了让老用户能够免升级,自由切换业务不同类型的行为式验证码。易盾实验室的产品,还对架构进行了优化,使之能够兼容老的验证码架构,老用户不用重新部署也可以直接使用。
结束语
文章最后想说,看似简单的背后,是网易易盾追求完美和极致的匠心精神,是用数不清的评审会、讨论、咖啡、白天黑夜交织在一起的键盘噼里啪啦的敲打声等等,一点一滴打磨出来的。
除了推理拼图验证码外,当下易盾的行为式验证码家族还包括了智能无感知、滑动拼图、文字点选、图标点选、短信上行等验证方式,以及能帮企业降本增效的行为式验证码、短信验证码、号码认证的组合成的验证方案。
然而,做到这样仍然觉得还不够——网易易盾实验室的产品经理说,他们还将继续追求卓越,将更好的产品和更高的安全性带给客户。
相关阅读: