验证安全2.0时代：极验验证码评测

*本文属“WitAwards 2016年度安全评选”专题报道，未经许可禁止转载

验证码的英文是CAPTCHA，其全称为Completely Automated Public Turing test to tell Computers and Humans Apart，翻译过来就是全自动区分计算机和人类的公开图灵测试。 可见验证码的存在是为了区分人和机器的操作行为，从而进行分类管理。从应用方面来看，验证码可以杜绝撞库攻击，暴力注册，垃圾评论，非法爬虫，刷票投票和恶意抢购等行为。从出发点来看，验证码对改善互联网环境有着不可磨灭的功劳。但是，实际情况却事与愿违。

验证码的设计是人能理解而机器无法理解的图像含义，但是随着OCR技术的发展，传统验证码已经严重影响用户体验，并且有些传统验证码还存在相关安全问题。在互联网飞速发展的今天，传统验证码与当今的互联网思维背道而驰，人们需要新的验证码机制来解决这个问题。

在这些问题下，极验验证孕育而生了。

极验（geetest.com）是基于SaaS的云端验证安全产品，致力引领验证安全2.0的技术革命，研究出“行为式验证”技术，彻底解决了传统码式验证“不安全、真实用户识别困难、机动性差”等问题，既保障了网站的安全，又让用户轻松通过验证。

它的操作非常简单，用户只要拖动滑块将一块拼图放到图片中合适的位置，验证过程就算完成了，但是在背后却有诸多技术的支持和复杂的算法来区分人和机器的行为。

产品分析

窗口设计

极验验证主要有以下四大验证设计。在设计上，极验已经可以满足绝大部分应用环境。

浮动式

嵌入式

弹出式

移动端

部署架构

极验验证在GitHub上开启了多个Demon项目，用户可以快速搭建本地使用。目前Demo支持语言如下。

PHP—极验官方项目 Java—极验官方项目 Csharp—极验官方项目 Python—极验官方项目 Node—极验官方项目 Asp—第三方开发者 Ruby—第三方开发者 VB—第三方开发者

极验除了基础的首次验证以外，还提供了安全保障的二次验证。就算极验的服务器受到宕机，也有相对应方案的宕机二次验证接口。

除了基础的WEB页面开发文档外，极验官方还提供了iOS和Android应用的开发文档。

极验官方也推出了相关的建站插件，这样用户可以很方便的在自己的网站上使用极验的验证码。

目前支持的建站插件如下：

Discuz WordPress phpwind 蝉知企业门户系统

总结下来，极验的部署架构如下图所示。

后台功能

与传统的验证码相比，极验有着诸多不同，其中之一就是流量查看。在后台，用户可以随时查看验证的数据统计图。

也可以设置阈值，来提高验证码的安全系数。

企业用户可以在后台自定义验证码的图片。

其它解析

我们来看看极验和传统的验证码，除了行为操作不同，还有哪些不一样。极验的逻辑就是在验证环节融入了 “生物特征学”，利用机器学习的方式，通过对用户鼠标移动轨迹等操作行为的分析，来区分开人和机器。

极验验证服务器目前每天要处理来自7万多个网站的上亿次验证，这么多数据都在训练极验验证的人工智能模型。它就像是一个用于分辨人与机器行为的AlphaGo。极验主要是采取了三层技术防线来区分人和机器的行为。

第一层：包含语意逻辑的图像加密技术

和传统验证码不同，极验的图片精美，清晰。但是在后台，极验会对图片进行相应的加密和语意逻辑处理。

加密后的图片在机器程序看来是混乱模糊的，同时加入语意逻辑进行混淆，我们人类可以轻松的进行判断，而机器程序就要大费周折了。当然单一的图像加密并不十分安全，这也是传统验证码的弊端所在。

第二层：人机行为检测

极验的技术核心则是行为式验证技术。极验在大量数据的基础上，利用机器学习，数据挖掘等技术手段，对人和机器程序的特征进行分析，建立了多维度的人机特征检测模型。

人和机器程序在网络世界的行为是具有很大差别的，机器程序很难完全模拟人类的行为完成拖动滑块这个过程。同时极验还会采集一些显性特征和随机特征进行分析，这就加大了机器程序模拟人类行为的难度。

第三层：实时更新的安全防御库

最后，极验在云端构建的验证云引擎会进行迅速的迭代更新。

我们将深度学习应用到安全验证中，在云端建立了自主学习特征的神经网络模型，通过实时的数据分析以及学习，一旦有可疑行为出现，就可以迅速的进行全网更新。

实际表明，能够进行快速更新和提高防御能力的验证码才是最安全的验证码。

目前的极验验证的基础版本只对如下数据进行了收集，不会对网站的隐私信息进行任何侵犯。

当前网站的网址 本次验证拖动时用户的轨迹。 本次验证时所处的浏览器平台 本次拖动时用户的IP及验证时间

传统的后端验证码有个十分严重的安全缺陷，就是存在人工打码的情况。人工在前期耍取大量的验证码并且存储下来，以便在后期继续使用。

而极验主要采取失效控制和referer绑定控制来针对人工打码的情况。验证模块在生成一次验证事件后，如果在一定的时间内没有被交互验证，那么会自动失效。

人工打码肯定要自建页面，那么它的页面和id在极验后台绑定的referer不一致，极验也判定为验证不通过。

极验除了基本的前端验证外，还采取了安全保障的后端验证。整个验证过程主要分为两次。根据极验官方说明，极验的服务器每天都会接受到1.5亿次左右的验证，并且还有宕机二次验证接口和后备服务器。

正常极验验证流程图

宕机验证流程图

有防就会有攻，任何软件都会有漏洞。我们不能阻止软件出现漏洞，但是我们可以尽快的对漏洞进行修补。极验的安全相应速度也十分的快。在V2EX社区上，有人发表了一篇针对极验验证的破解思路，并且已经成功。

但是在几个小时后，极验官方团队就立刻更新了JS库，同时修补了相关漏洞。

产品发展建议

虽然极验在设计之初已经足够的安全和便捷，但是相对于其它验证码，极验可以在现有的功能上继续延伸。

去糟取精

虽然极验的安全响应速度十分快捷，并且破解十分困难，但是通过搜索引擎搜索相关资料我们可以知道，极验之前还是被少部分人破解过。

在写针对极验评测的时候，笔者也尝试过在网上选择相关打码平台。值得庆幸的是针对极验的打码平台少之又少，找了半天也才发现一两家。

通过和商家的沟通我们获知，通过支付高昂的费用依然有破解极验验证码的可能性，但是对于验证码来说，提高黑产的破解成本是一种打击黑产的有效手段，毕竟没有一种安全产品能够做到绝对的安全，安全实际上是一种成本与收益的博弈。

传统验证码虽然容易破解，但是可以作为辅助的验证形式，极验可以考虑在传统的验证码上“去除糟粕，取出精华”。比如Google的验证码就采取了传统验证和新型验证的相互结合。

增加验证类型

极验目前只提供了滑动验证，但是随着身份验证系统的不断发展，一个滑动验证并不能满足于全部用户的需求。

Google发现验证码太过复杂，虽然机器无法识别，但是人类也没办法识别，于是加上了字符验证码和语音验证码两个选择。就目前来说，很多手机都支持指纹识别功能，LastPass的Android APP中就内置指纹验证的方式。

极验可以考虑增加更多的验证模式来应对这个复杂的网络环境，比如语音验证，二维码验证，生物识别验证等等。极验也在不断的探索适应新型身份识别的验证方式，做好验证安全。

市场分析

企业背景

武汉极意网络科技有限公司于2012年10月24日在工商登记注册，注册资本为102万元人民币。2012年12月，极验获得了天使湾的种子投。

在2014年10月，极验曾获得IDG资本的A轮投资。今年2月，极验获得2400万美元B轮融资，由红杉资本领投、IDG跟投。

极验验证的创始人吴渊：原是武汉大学的老师，主要进行测绘遥感方面的研究，包含计算机视觉识别的内容。 极验验证CTO张振宇：原是武汉大学的学生，毕业前就接触过极验验证这个项目，毕业后先在华为工作了一段时间就跟从武大辞职出来的吴渊一起正式投入该项目。

产品定位

极验目前的用户数量已经超过七万家，付费用户数已经超过了三千家，像斗鱼TV，熊猫TV，新浪，宝宝树等都在使用极验的验证安全防护。由此可见，极验的主要利润获取还在2B这个产业链上。

首先是通过免费的2B模式和安全便利的验证设计带动起良好用户口碑和免费的流量，然后再根据其免费流量定点投放广告获取利润，同时针对2B企业制度专门的验证设计来获取回报。

在免费模式下达到收支平衡对很多初创企业都是一种挑战。但是根据极验目前的用户数据和企业年报来看，极验已经越过这个瓶颈。

发展前景

极验的独特竞争力主要表现在安全，便捷和部署简单。

安全：极验通过分析用户拖动验证的行为轨迹（不仅是正确位置的匹配）、设备指纹、网络环境等一系列综合因素来阻止恶意程序的访问，更加保障验证安全。 便捷：用户只需要像玩小游戏一样，轻轻拖动鼠标即可在1.82秒内完成验证。同传统的字符验证码相比，用户不再需要面对眼花缭乱的验证码，用户活跃度大大提高。 部署简单：网站只需几行代码或者一个插件就可以将极验部署在自己的产品或者网站上，并且随时可以在后台查看验证数据。

极验拥有较好的用户口碑，良性的发展和先进的验证码技术。在这些优势条件下，极验在针对2B的安全市场上已经获得了一席之地。

接下来极验可以依托于这个口碑和自己的用户群体，再发展其它擅长的领域，比如Saas版Database等。同时在海外，Saas类型的验证码产业也还在发展，海外的验证码市场对于目前的极验来说或许是一个不错的发展选择。

WitAwards年度安全评选火热报名中

由FreeBuf主办的FIT 2017（2017 FreeBuf互联网安全创新大会）将于2016年12月28日-29日在上海陆家嘴上海国际会议中心召开。

与FIT 2017大会并行的WitAwards 2016，作为一年一度的互联网创新安全评选盛典和FIT 大会的重头戏之一，自然备受业界关注

WitAwards 2016互联网安全年度评选，旨在发掘全年卓越的安全产品和杰出人物；给予在2016年为安全行业做出贡献的个人、团队及产品以掌声和肯定；为超过100款安全产品的创新和努力，及行业的专业精神全情投入喝彩。

参选奖项报名

不同奖项的参与报名通道现已开启，9月15日-10月31日，针对以上四大奖项，任何人都可以进行线上报名，或以为他人及其产品提名的形式参与WitAwards 2016评选。FIT官方会对报名和提名的项目进行初步审核。

行业评委申请

自古高手出民间，尤其在安全领域更是藏龙卧虎。

本届WitAwards年度互联网安全评选，特邀“懂安全”的你担当我们的行业评委，也相信你能够代表业界同行评选出最专业最优秀的奖项。

入选行业评委，将获得FIT 2017大会门票。

*本文原创作者： ArthurKiller，本文属FreeBuf专题报道，未经许可禁止转载