股價下跌。McWilliams 指出,2004 年約有五兆封的垃圾郵件,被寄到網 路使用者的電子郵件收件夾中,估計社會光是用來過濾垃圾郵件,所耗費 程式的攻擊〔02〕。驗證碼,英文為 Completely Automated Public Turing Test to tell Computers and Humans Apart,簡稱為 CAPTCHA;中文意 為「全自動區分電腦與人類的圖靈測試」。實作的方式很簡單,就是程式問 一個電腦答不出來,但人類答得出來的問題。
目前實際應用於網頁安全驗證的驗證碼種類,有數字、文字、語音、
邏輯、益智、圖像等。其中最常見到的是阿拉伯數字或英文字母之驗證碼,
兩者亦有合併之設計模式,謂之為文本型(text-based schemes)驗證碼。
由於文、數字本身的造形特性,一旦相連結在一起,就會產生其他類 似的英文字母或數字,而導致使用者無法辨識,像是字母 o 與數字 0、字
母 I 與數字 1、兩個字母 vv 與一個字母 w、一個字母 d 與兩個字母 cl 等等,
(如圖 1.1 及表 1.1 所示)〔03〕〔04〕。這些都容易讓使用者在視覺認知上產 生誤判,而導致驗證失敗。而近年來,由於文本型驗證碼被惡意自動化程 式的破解率提升,使得驗證碼設計者不得不設計出更扭曲、更變形的文本 型驗證碼,最後卻導致使用者無法清楚辨識這些過度扭曲與變形的文、數 字驗證碼;這已完全違背了當初驗證碼設計的初衷與良好的使用者經驗原 則。
表 1.1 YAHOO 使用之易混淆驗證碼
圖 1.1 文、數字相連在一起驗證碼
其他形式驗證碼,如語音型(audio schemes)驗證碼則是因應有視覺障 礙的族群所設計,但其答覆驗證的時間較長;邏輯型驗證碼(logical-based schemes)則要求使用者解答程式提問之問題,但這種驗證碼在題目理解上 會因使用者的學習背景、文化習俗、個人認知不同,而有不同答案;益智 型(instructive schemes)驗證碼則是考驗人類對題目理解力;圖像型驗 證碼(image-based schemes)是基於人類對於圖像形狀認知辨識上較電腦 卓越,所設計之圖形驗證碼。由於圖像型驗證碼的圖像背景、顏色等複雜 特性,較難被電腦機器辨識,相較其它驗證碼,較能區分出人類與惡意自 動化程式,是目前惡意自動化程式侵襲成功機率較低的類型,也逐漸成為 網路採用之驗證方式。惟現有的圖像型驗證碼仍有下列缺點或使用瓶頸,
需要克服或改善:
1. 需要龐大數量的圖片來建置圖像資料庫,儲存成本高,無法大規 模產生。
2. 比起文本型驗證碼,使用者需要花較多的時間來解讀驗證題目。
3. 不同國家對於圖片中物體所表達的意義之認知有所不同。
4. 圖片一旦固定樣式與背景,容易被 OCR (Optical Character Recognition)機器破解[05]。
本研究針對文本型及圖像型驗證碼的缺點與使用限制等問題,期望在 圖像型驗證碼的設計研究上,結合文本型及圖像型驗證碼的優異特性,並
改善其缺點與使用瓶頸,提出創新圖像驗證碼設計,以對網頁驗證之使用 進行本「Poker 圖像驗證碼」的驗證操作實驗。探索整體使用者通過「Poker 圖像驗證碼」之正確率及平均驗證操作時間,以及探索不同背景之使用者
第三節 研究限制
本研究為了驗證「Poker 圖像驗證碼」的使用性,而設計一個實驗網 頁供受測者上網測試,所獲得之正確率、平均操作時間及不同族群間之平 均操作時間差異情形,顯示略有差異,在普及於一般使用者上可能會略有 限制。
第四節 研究方法與流程
為達成本研究目的,本研究先採用文獻探討,探討驗證碼的起源、驗 證碼的類型、驗證碼的破解技術及其相關研究等,作為本研究在驗證碼之 探索基礎。本研究同時蒐集市面上現有之撲克牌種類,並分析各種撲克牌 之牌面圖樣設計,並且運用牌面同時具有數字、英文字、圖樣及色彩之多 符號特性,研究是否能被設計為圖像型驗證碼之可行性。並據以設計一套,
需要辨識牌面文數字與圖樣之雙層驗證「Poker 圖像驗證碼」。
為驗證所設計之「Poker 圖像驗證碼」的實際使用效果,本研究建置 一個簡易實驗用網頁,以撲克牌之牌面文數字及圖樣設計驗證碼,進行線 上實際測試。由不同背景之受測者,用自己熟悉的電子設備上網進行實測,
並由系統程式自動記錄使用者端操作「Poker 圖像驗證碼」之操作時間。
結束測試後,計算整體受測者通過此驗證碼之正確率,以及依據受測 者操作時間,計算不同族群之使用差異並分析其差異原因。接著本研究依 據此「Poker 圖像驗證碼」被破解成功機率,進行安全性分析。同時也召 開專家座談會,邀請光學檢測專家、資訊工程專家及網路軟體專家,進行 座談,以提供安全設計之改善建議。最後提出本研究結論與建議。
第五節 論文架構
本研究論文內容分為五大部分,每章節分別敘述如下:
第一章 緒論:闡述研究背景與動機、研究目的、研究限制與研究流程。
第二章 文獻探討:探索網頁驗證碼起源、類型及其相關研究,並了解