わかりません。情報を間違って入力しましたが、認証コードは通過することを要求するものですか?

監査専門家：鄭州軽工業大学教授鄭元凡

インターネットを閲覧していると、下の図のような人間と機械による検証プロセスに遭遇することがよくあります。このプロセスでは、Web ページのコンテンツにアクセスするためにボックスをクリックする必要があります。

reCHAPTCHA 人間と機械の検証ダイアログボックスソース丨wiki

上記の操作プロセスは、Web サイトのセキュリティを保護するために設定された検証です。結局のところ、ウェブサイトの登録、ログイン、クーポン収集、投票などのアプリケーションシナリオはすべて、マシン（プログラムスクリプト）によってスワイプされ、さまざまな損失を引き起こすリスクがあります。

しかし、ウェブサイトを訪問している「主体」が実在の人物（人間）であるかどうかを、たった 1 回のクリックで知ることができるのでしょうか?このようなずさんな検証方法で、本当に人間と機械を区別できるのでしょうか?

認証コードをクリックする方法

まず、Google Chrome 開発者ツールウィンドウでウェブサイトの情報の一部を見てみましょう。キーボードの F12 ファンクションキーを押して、下の図に示すように、開発者ツールウィンドウのネットワークパネルを開きます。ヒューマンマシン認証ボタンをクリックすると、左側にネットワーク送信データパケットが表示されます。

ウェブサイト Chrome 開発者ツールウィンドウネットワークパネル (ネットワークパネル) 出典: Google

おそらく、あなたはまだこれらの内容の意味を理解していないかもしれませんが、それは問題ではありません。これらは、ローカルブラウザーからリモート Web サイトサーバーに送信されるデータと考えてください。このデータは人間が見るためのものではなく、サーバーが見るためのものです。

これらの「文字化けしたコード」の情報を分析することで、サーバーは、それが実際の人間によって生成されたデータなのか、それとも単に自動化されたプログラムコードによって送信された要求データパケットなのかを判断し、オペレーターが人間なのか機械なのかを区別することができます。

Python言語で書かれたコースグラビングスクリプトのソース丨Bilibili

画面ウィンドウ内の小さな四角を「冗談で」クリックして「背後の Web ページに入る」だけだと思っているかもしれませんが、実際には、この操作によってデータパケットが生成され、サーバーに送信されます。
たとえば、ユーザーが確認コードをクリックすると、実際には暗号化された大量のデータが送信されます。暗号化されたデータは次のようになります。

1. ユーザー行動データ: ページの一時停止時間、ボタンのクリック、マウスの軌跡など。

2. 環境変数：ユーザーデバイス情報、ネットワーク情報、オペレーティングシステム情報など。

3. ブラウザフィンガープリント: リクエストヘッダー情報、IP アドレス (ネットワークカードの論理アドレス) 情報、MAC アドレス (ネットワークカードの物理アドレス) 情報、地理的位置情報、Cookie 情報などが含まれます。

リクエストヘッダーの内容

この改良された検証方法は、12306 Web サイトのように多数のパターンから対象オブジェクトを苦労して選択する必要がなくなるため、多くのユーザーにとって便利ですが、残念ながら、この検証方法は、識別タイプの検証コードと比較して、セキュリティの面で大幅に改善されていません。

これらのデータの暗号化はフロントエンドの js コードによって完了し、ブラウザに付属する開発者ツールを使用してパッケージをキャプチャすることで js コードを取得できます。つまり、理論的には、これらのコードをリバースエンジニアリングして暗号化ロジックを見つけ出し、リクエストデータを偽造することが可能です。一部の js コードは難読化されて読みにくくなりますが、さまざまな有力者が対策を講じ、js コードを復元するための難読化防止ツールを発明しました。

認証コードの登場以来、この対立は止まっていないと言えるでしょう。

検証コードの進化

検証コードの起源は 1997 年にまで遡ります。当時、Altavista の Lillybridge などのプログラマーが、ハッカーによるバックエンドへの侵入を防ぐために、歪んだ文字の検証コードを初めて作成しました。

出典: ifanr

現在でも、このタイプの検証コードは、一部の Web サイトの主な検証方法として使用されています。文字が過度に歪んでいると、モニターの前にいる人は、対象の物体を識別するために首を振ったり左右にひねったりしなければならないことがよくあります。

検証コードが実際にその名前を得たのは、2003 年にカーネギーメロン大学の Luis von Ahn のチームが「CAPTCHA」というプログラム概念を提案したときでした。 CAPTCHA は、「コンピュータと人間を区別するための完全に自動化された公開チューリングテスト」の略語です。その中国語の意味は、コンピューターと人間を区別するための完全に自動化された公開チューリングテストです。

CAPTCHA テストでは、コンピューターがユーザーが回答する質問を自動的に生成します。機械は CAPTCHA の質問に答えることができないため、論理的に言えば、質問に答えられるユーザーは人間であるとみなすことができます。

セキュリティ保護とクラッキング侵入の戦いが激化する中、認証コードの認識の難易度は高まり、その形式も多様化しています。誕生から現在に至るまで、検証コードには主に、SMS 検証コード、音声検証コード、グラフィック検証コード、質問検証コード、スライドおよびクリック検証コードなどがあります。

SMS認証コード

人々は携帯電話を使用して認証コードをチェックし、ログインすることができますが、プログラムやロボットがそのような自動操作を実行するのは複雑です。

出典: jhkjsms.com

音声認証コード

人間が電話に出て音声を聞く場合、音声認識ソフトウェアが音声を分析するのを防ぐために、音声の内容にノイズが混ざったり、人間が許容できる程度に音声が変更されたりすることがあります。

出典: cloud.juphoon.com

グラフィック検証コード

画像検証では、機械による認識を防ぐために、意図的に中心をぼかし、プログラム不可能なテキストを使用します。視覚障害のある人は音声認証を選択できます。

図に示すように、Image Turker と Audio Turker は、それぞれ画像と音声の検証コードを認識する人間を表しています。 authorize.net の画像キャプチャは最も簡単ですが、google.com の音声キャプチャは最も難しいです。

画像と音声の認証コードの人間認識精度出典: web.stanford.edu

質問確認コード

国内のウェブサイトでは、パターンをクリックする必要がある確認コードが最もイライラすることが多いです。「あなたが誰なのかを推測する」ゲーム形式の検証方法では、次のステップに進むことを諦めてしまうことがよくあります。

出典: www.12306.cn

確認コードをスライドしてクリックします

2014 年に、Google は新しい検証コードシステム NoCAPTCHA reCAPTCHA を開始しました。これが最初に紹介したシステムです。確認コードを入力する必要はありません。クリックするだけです。

2018年に、GoogleはreCAPTCHAをアップグレードしました。ユーザーは何もアクションを起こす必要すらありません。システムは、ユーザーがバックグラウンドでウェブサイトを閲覧する方法を分析し、リスクスコアリングを実行します。ユーザーの評価が低すぎる場合、Web サイトはユーザーに正当なユーザーであることを証明するための追加の手順を実行するよう要求します。

出典: 知乎

国内認証コードの特徴

中国でより一般的な検証方法は、知識不要の検証コードであり、優れたユーザーエクスペリエンス、高いリスク識別率、強力なリスク遮断能力という 3 つの大きな利点があります。

出典: Station B のスクリーンショット

出典: Baidu セキュリティ検証

優れたユーザーエクスペリエンス

ユーザーは考える必要がなく、体験は比較的スムーズです。

高いリスク特定率

機械学習の発展により、機械は人間の知識を獲得し、単純なグラフィック CAPTCHA も解読できるようになりました。しかし、知識フリーCAPTCHAは人間の行動特性や動作環境に基づいてリスクを総合的に評価するため、攻撃者が人間の行動を模倣することは困難です。

強力なリスク遮断能力

バックグラウンドで実行される評価ロジックは、ユーザーのリスク指数を決定し、疑わしい操作の程度に応じて難易度の異なる検証コードをプッシュしたり、操作を直接ブロックしてリスクを効果的に阻止したりすることができます。

この記事を読んだ後、認証コードについて何かを学び、Web サイトにアクセスするときに常にそれらの奇妙な認証コードに対処する必要がある理由を理解したと思います。