中文站

对抗效果提高5倍,网易易盾在推理拼图验证码上都做了哪些打磨?

最近,网易易盾正式对外发布了推理拼图验证码。用户只需要拖动需要交换的2个图块,复原出图片,即可完成验证。点击在线体验推理拼图验证码

背后,网易易盾则通过图片完整性以及生物行为轨迹,校验出进行该操作的是否为正常用户。

一切看似简单,但网易易盾在验证安全上的保障却一点也不简单。这篇文章就来说道说道推理拼图验证码是怎么来的?网易易盾在安全上都下了哪些功夫,以及一些取舍是如何平衡的。

人能做、机器却做不了的结合点

验证码有很多种类型,简单的有需要手动输入的验证码、短信验证码等。后来,有人推出安全性和用户体验较好的行为式验证码,包括文字点选、图标点选、滑动拼图等。

那么推理拼图这种安全性更好、更有创意的验证码是怎么来的?当把这个问题抛给网易易盾实验室产品经理时,她和盘托出,给出了自己的思考“路径”。

有两个关键点。第一个点是,网易易盾不断追求领先的决心,因此每年都要推出新的产品形态,这是推动力。

验证码现在有很多形态,是不是足够好了?并不然,和客户沟通中,发现还是有不少客户在特定性场景下,希望有更高的安全性。因此,他们开始思考2个问题。哪些是人能做,且容易做,但机器却做不了的事情?这是第二点。

顺着人能做、机器却做不了的结合点去思考,发现有两块。一块是空间想象能力,另外一块是逻辑推理能力,这两块是机器无法做,或难以实现的能力。

经过评审,内部最终确定了往逻辑推理方向去走。

产品落地


拼图游戏(图来自网络)

方向有了,那如何落地呢?产品的目光落到了拼图游戏。

拼图游戏,本身就是一种智力游戏。给你一张原图,人通过模仿,能够把原图拼凑出来。那么,不给原始图片,只是给出一个打乱的图,人是否能依旧拼凑出来?答案,依旧为“是”。

如果这种形态的验证码能够落地,对于机器而言,就属于风骚走位了。因为机器是不具备独立的逻辑能力的,而且行为轨迹也不定向,破解难度大大增高。

兵马未动,“算法”先行。实际上,目光落到拼图游戏之前,算法做了很多尝试。比如说卡通人物五官的换脸。由于卡通人物的可爱、二次元等风格特征,不够通用化,不适合政企等较严肃的场景,所以首先被Pass。


打地鼠游戏(图来自网络)  

接着,算法又想到打地鼠游戏,于是模仿打地鼠,做游戏化验证码。他们在空间感上做了一些字幕,做立体物体让用户去识别。然而打地鼠的创意非常好,而且也有趣味性,但后来的评审中发现,打地鼠对资源消耗比较高,于是也暂停了。

经过不断尝试和筛选,入围的是拼图游戏。即,我们现在见到的推理拼图验证码。

简单的背后,是没那么简单


用户只需要拖动需要交换的2个图块,复原出图片,即可完成验证

这是前台我们所能看到的界面,看似简单,实际上却没那么简单。

首先是交互上,典型的问题是:到底是拖动好,还是点击好?设计的直觉认为点击好,像在玩连连看,能增加产品趣味。认为拖动好的,则也有自己认为的正当理由。相持不下,拿数据说话。于是,产品做了不同年龄、不同学历、不同性别、不同行业、不同机型……的调研,最终调查结果显示,80%的人选择了拖动。

推理拼图验证码对外宣传的一个重点是——对抗效果相比其他行为式验证码至少提高了5倍。5倍数字的背后,网易易盾实验室做了大量的取舍和平衡。

提高安全性,最直接的办法就是增加图片的复杂度,比如在底图上。然而这有“后遗症”,一是看起来不美观、不协调,二是用户体验不好,不光拦截了机器,也拦截了正常的用户。

但是,图片的复杂度必须加,否则很容易被黑灰产破解。如何平衡,把握好这个度是一个难题。经过多次尝试,网易易盾实验室的产品和技术认知到一个大原则:一个是底图必须要经过筛选,要有正常人可识别出来的正常物体,且必须是物体的主体,这对用户思考图片完整性有帮助。

基于这个原则,在体验上,为了解决图片复杂度带来的“后遗症”,易盾推理拼图验证码通过图像内容识别、视觉显著性分析等技术来挑选合适的底图,并决定可以进行交换的位置,从而使用户能够快速找到需要交换的图块来完成验证,保证流畅体验。

在安全性方面,网易易盾做了图像风格化、边缘检测以及其他自研的黑科技,对图块进行了特殊处理。使得网易易盾推理拼图的图块,在人的观感上是大致一体的,但从机器的角度来看,每张图片却是不一样的,无法通过图像内容恢复拼图。

由于行为轨迹不定向,相比其他类型的验证码,推理拼图验证码的对抗效果得以提升至少5倍。因此,特别适合安全等级高的应用场景,比如找回密码、账号解冻,以及和利益挂钩的免费领取商品等拉新场景。在语言支持上,推理拼图支持包括英、日、韩、泰、越南、法、俄、阿拉伯等22种在内的语言,也支持多终端部署,包括Web、H5、iOS、安卓、微信小程序等。

此外,为了让老用户能够免升级,自由切换业务不同类型的行为式验证码。易盾实验室的产品,还对架构进行了优化,使之能够兼容老的验证码架构,老用户不用重新部署也可以直接使用。

结束语

文章最后想说,看似简单的背后,是网易易盾追求完美和极致的匠心精神,是用数不清的评审会、讨论、咖啡、白天黑夜交织在一起的键盘噼里啪啦的敲打声等等,一点一滴打磨出来的。

除了推理拼图验证码外,当下易盾的行为式验证码家族还包括了智能无感知、滑动拼图、文字点选、图标点选、短信上行等验证方式,以及能帮企业降本增效的行为式验证码、短信验证码号码认证的组合成的验证方案。

然而,做到这样仍然觉得还不够——网易易盾实验室的产品经理说,他们还将继续追求卓越,将更好的产品和更高的安全性带给客户。

相关阅读:

网易易盾推出推理拼图验证码 行为式验证码家族再添一员

滑动拼图验证码的原理

网易易盾上线图标点选验证码,尤适出海企业