什么是最安全的验证码系统？

Question

人工智能已经成为一个真正的安全威胁，一些机器人使用先进的算法可以解决甚至最扭曲的CAPTCHAS文本的高精度。

假设我正在开发一个表单，一些重要的银行业务需要实现最高级别的安全性，那么我应该使用的最安全的CAPTCHA系统是什么。

实际上，我并不是在寻求特定的产品推荐，我也不关心CAPTCHA的可用性，只是最安全的概念(不过，如果有一些实现的例子，我不会抱怨)

谢谢:)

Answer 1

最安全的是非常主观的。就连谷歌的Captcha系统也因热情而被打破，一个例子也是其中之一。把Captcha看作是一种减速，以阻止人们付出很大的努力去打破它。如果你的速度足够好的话.由受信任的公司维护，定期更新，并可使用。我知道你说忽略可用性，但人的因素不能忽视。

Answer 2

我质疑你的前提。在没有Captcha的情况下，适当实现的站点应该是安全的。一旦您完成了所需的适当级别的安全性，添加captcha只应该被看作是防止机器人提交表单或采取某些操作的一种方便。换句话说，无论是机器人执行操作，还是一个人执行操作，都不应该对安全性产生任何影响。例如，如果您担心机器人试图强行强制用户的登录凭据，则应该在防火墙级别阻止这些尝试，并且/或在X次尝试之后将帐户锁定一定时间。这就是为什么您很少在登录屏幕上看到Captchas的原因。

使用Captchas的价值在于，未经身份验证的用户可以执行在某处写入数据的操作，或者提供不希望被滥用的免费工具。例如匿名评论帖子、注册免费帐户、发送匿名消息、查询一组免费数据等等。在这些场景中使用Captchas的原因是为了让管理员更容易涉猎“垃圾”，防止系统被滥用，但一般来说，垃圾或滥用本身不应该引起安全问题。

Answer 3

信息安全涉及风险分析。

这种理解的一部分是，没有任何系统是安全的到处，一直。同样的情况也适用于CAPTCHA系统。

CAPTCHA系统旨在阻止(而不是停止)自动化脚本/机器人。正如你在AI中提到的，要想找到挑战用户的方法来确定他们是机器人还是真正的人类，就变得更加困难了。

我认为最好的方法是使用图片匹配系统，并对其进行定制。例如，如果我有一个关于视频游戏“半条命2”的网站，我可能希望选择与它相关的图片，看看用户是否能够正确地选择包括Alyx (游戏中的一个角色)在内的所有图片。这做了两件事：

• 攻击必须专门为网站设计(由于独特的图像)。
• 开发人员必须找到可靠的方法，不仅要选择一个映像，而且要选择所有的映像。

另一个值得关注的领域是那些有残疾的人类用户，如视力障碍，无法区分相似颜色的人，使用屏幕阅读器等。

随着技术的进步，CAPTCHA系统必须不断更新。在多大程度上平衡可访问性和安全性是一个重要因素。有些系统比其他系统安全得多，但阻止人类用户访问这些系统。