文章来自于公众号:数字化深度思考者
本文从lT安全角度,先不谈具体软件功能,以最简单的用户登录验证为例,看看软件是怎么逐渐玩复杂的!
一、最初的是简单的
最早的用户登录是这样子的,如下图,只要输入用户和密码即可登录系统!
人之初性本善,但是总有一些害群之马喜欢钻空找漏,很快有人马看出漏洞,那就是利用SQL注入欺骗系统,关于sql injection不细谈,参考链接。SQL注入攻击(Sql injection)是最初级最基本的防御。Sql注入漏洞填补上台,有些坏家伙又开始暴力破解,不断try 用户和密码,通常用户名称是可能容易获得,所以只要重复试密码即可,最简单就是利用黑客程序不断模拟,为应对暴力破解,于是程序员增加逻辑:3次登录失败后弾出必输验证码窗口,5次登录锁定用户,考虑永久锁定用户耽搁事情,有的系统增加锁定几分钟又自动解锁,而登录失败几次永久锁定,用户的额外工作就来了,申请解锁,lT运维也来了,帮助解锁!下图是多次登录失败后要求输入验证码(字母+数字)。你以为验证码就结束了吗?验证码经历了短信验证码、纯数字验证,数字+字母验证、语音验证码、图形验证码、奇葩问题验证码。
起初,验证采用数字字母验证,但有人很快找到漏洞,于是改用图片,又被发现漏洞,比如早期登录手机银行,刷脸论证即可,但是有大聪明发现刷脸可以用照片欺骗过去,于是静态验证转为动态验证,要求你眨巴眼睛晃动脑袋证明你是活人!社会本单纯,复杂的是人,一个本来很简单的问题开始复杂化!你以为动态验证就完了,随着Al技术的发展,如今日爆火的Deep seek,要知去年今日一度爆火的是Deep fake,砖家发现动态验证也可能用Al破解,于是仅仅一个登录,你得证明你不是Al!
比如上图大家都遇到过,就是动态滑动验证图片,你按要求滑过,系统提示你打败96%的用户,可能100%正确你就无法通过验证!贴一段研究机构的故事:
一家专注做账户安全和欺诈产品通过记录鼠标界面位置,展示了人机两种截然不同的移动轨迹:包括瞬间跳跃、直线移动和贝塞尔曲线:
可以看出,模拟生成的自动化Al程序通常会通过直接指定坐标的方式移动鼠标,导致不自然的轨迹,如瞬间跳跃或直线移动(1A)。
通过移动速度和加速度的分析比对,还可以发现机器人轨迹中的加速度通常接近于零,太过平滑,而人类不可能做到,这是识别人机的关键。因为人类日常点击鼠标时,随着手腕手指的发力,鼠标的移动轨迹会产生加速度变化。而自动化程序的鼠标移动通常是以恒定速度沿直线完成,加速度接近零,人类远不如Al完美!
玩着玩着,一个简单的登录步骤就越搞越复杂了!
随着人工智能技术的迅猛发展,机器人不仅能执行点击任务,还能逐渐通过复杂的算法模仿人类行为,智能识别用户操作,防御与攻击相互推动,像一场无休止的猫鼠游戏。每一步都要求防御系统不断进化,以应对愈加精巧的对抗性AI。等级保护2.0和网络安全法
当然,由于2B企业大部分软件核心功能在企业内部,企业本身有三防(防火墙、防病毒、防入侵)体系,一般只允许企业内部员工或授权的第三方使用,同2C应用直接暴露在公众面前不同(2C本来就是面向全社会消费者),因此,2B可以在安全和便利适当作出平衡,毕竟,安全也是需要成本代价的!!👁👁
本文从登录这个单一动作谈从简单到复杂,登录毕竟代表是最关键的第一道安全防护;大道至简,如何从复杂回归简单?例如利用Al分析,到期前3天智能提醒用户修改密码,用户短信验证智能式自助修改密码等,在保障安全前提下,随地随意办公!
