验证码防御

  网上银行可以有很多手段来抵御黑客攻击，比如使用ActiveX控件代替标准的文本框来输入账号和密码，可以使用USB接口的密码盘来进行数据加密和检测，或者使用一个客户端程序代替浏览器来登录网上银行。但这些是客户端技术，千千万万的黑客可以操着各种手术刀来解剖这些技术，从根本上说客户端技术是不可靠的。

  相对而言采用服务器端技术就比较安全了。比如发现密码连续错误3次即锁定账户，1天后才能登录；也可以使用验证码技术来很大程度的抵御枚举字典套取密码的攻击。

  现有一个新的网上银行，和旧网银差不多，但采用了验证码技术，用户登录时除了要输入账号和取款密码，浏览器还显示一个图片，里面显示了一些潦草的字符，用户需要辨认这些字符然后再输入进去，浏览器向服务器提交表单时会附加用户输入的验证码，服务器接受表单数据后除了校验账号和取款密码后，还要检查验证码是否输入正确，若登录信息校验失败，则服务器端则会提示重新登录，而且还生成包含随机内容的新的验证码，用户在次登录时又得重新识别新的验证码了。

  由于正确的验证码文本是保存在服务器上的，客户端的黑客程序不可能获得，验证码的内容是随机的，黑客程序也无法找到规律，只能辨认从服务器端发出的包含验证码的图片来获得验证码。这里就体现了电脑和人脑的差别了，人脑在图形识别方面远远超过了目前的电脑，服务器端使用一些技术生成的书写潦草，充满随机分布的杂点的图片，人脑是可以相当容易的识别的，但目前的电脑是难以识别的。黑客程序无法识别验证码，只能显示图片让黑客亲自辨认，这时每测试一次密码，黑客都得仔细辨认一下验证码图片，然后手工输入验证码文本。最多要输入一百万次，估计全世界没人会愿意进行这样的工作。这样验证码技术就有效的抵御了这种枚举字典测试密码的安全攻击。此时黑客会转而寻找其他方法，而大量的初级黑客会放弃攻击这个网站。

  验证码技术概念

  验证码技术利用了人脑和电脑之间的差别。

  大家都知道电脑和人脑是存在很大的差别的，电脑很胜任数值运算和精确的逻辑判断，很适合执行那些重复又重复的简单数据处理，但图像识别，模糊逻辑判断，学习和创新能力很差。而人脑正好相反，数值运算不行，但图像识别却很擅长。

  在验证码技术中，有一个很关键的过程就是需要从一个充满随机形状的图片中辨认出验证码文本，这个过程目前的电脑是难以实现的，而对人脑却能相当容易。

  采用电脑难于识别而人脑容易识别的图片，强迫人脑参与安全信息验证过程，就是验证码技术。这里包含验证码文本的图片是验证码媒介。仔细观察，我们可以知道这种验证码媒介具有电脑创建容易识别难的特点，因此类似的我们也可以采用合成语音等其他手段来作为验证码媒介。例如服务器提供一个类似QQ表情的图片，加上噪声，然后让用户判断选择这个图片的表情状态，是哭是笑还是流鼻血，这样也可以当作验证码。

  由于枚举字典安全攻击需要大数量的尝试猜测安全信息，其重复过程可能需要数万甚至数亿次，而验证码技术强迫了人脑参与每一次尝试猜测安全信息，人脑难以胜任长时间高频率的简单重复劳动，因此这就使得枚举字典安全攻击变得不可行，如此应用程序成功的防御了枚举字典安全攻击。