Zmierzch CAPTCHA coraz bliższy? Decaptcha ze Stanfordu rozwiązuje zdecydowaną większość testów

Trójka badaczy ze Stanford University znalazła sposób na poradzenie sobie z większością tekstowych CAPTCHA stosowanych dziś w Sieci. W swoim artykule „Text-based CAPTCHA Strengths and Weaknesses” przedstawiają najlepsze strategie przeciwko rozmaitym utrudnieniom, uniemożliwiającym zwykłym systemom OCR odczytanie kodów. Ich skuteczność jest na tyle duża, że wkrótce wydawcy witryn będą mieli dylemat – czy uczynić CAPTCHA jeszcze trudniejszymi do odczytania, tak by nikt już ich nie był w stanie rozwiązać, włącznie z ludźmi, czy też znaleźć inny sposób na identyfikowanie botów.

Completely Automated Public Turing test to tell Computers and Humans Apart – to zmora internautów, w pocie czoła próbujących odczytać zdeformowane i zamazane literki, by uzyskać dostęp do webowych usług. W założeniu chronić ma ona portale internetowe czy fora dyskusyjne przed spambotami, ale wielu krytyków tego rozwiązania wskazuje na fakt, że algorytmy botów są coraz lepsze, dostępna im moc obliczeniowa coraz większa, a ludzie czytają coraz mniej tekstu, który jest podawany im w coraz lepszej jakości. Wniosek jest zabawny – przyjść może czas, w którym rozwiązanie testu CAPTCHA będzie dowodziło, że nie jesteś człowiekiem, bo żaden człowiek nie byłby w stanie odczytać nic tak zamazanego.

A co na to Elie Bursztein, Matthieu Martin i John C. Mitchell ze Stanfordu? Piszą: „jako nasz wkład w ulepszenie systematycznej oceny i projektowania wizualnych testów CAPTCHA, oceniliśmy rozmaite zautomatyzowane metody radzenia sobie ze spotykanymi w rzeczywistości testami, oraz z testem syntetycznym, stworzonym poprzez różnicowanie istotnych własności w granicach potencjalnie akceptowalnych dla ludzkich użytkowników”.

Zbadano więc najlepsze techniki antysegmentacyjne i najlepsze techniki utrudniające rozpoznawanie w najpopularniejszych witrynach. Na tej podstawie powstało narzędzie Decaptcha, które oczyszcza obraz i manipuluje zdeformowanymi symbolami tak, by ich rozpoznanie dla OCR-u było już łatwe. Efekt działania Decaptchy przekroczył oczekiwania – spośród 15 zbadanych witryn, 13 z nich okazało się całkiem podatnymi na zautomatyzowane przechodzenie testów. Jedynie reCaptcha i system Google'a okazały się odporne, ale jak podkreślają autorzy badania, udało się osiągnąć pewne zrozumienie, dlaczego tak jest.

Zdaniem ekspertów, najlepsze wyniki przynoszą testy CAPTCHA, które korzystają z losowej długości ciągów, efektywne jest także deformowanie tekstu za pomocą macierzy deformacji. Bezużyteczne jest zaś stosowanie skomplikowanego tła, dziwacznych zestawów znaków, czy przekreślanie tekstów cienkimi liniami.

Jak na razie CAPTCHA wydaje się więc pobita, ale jeszcze nie pokonana – wciąż są metody pozwalające skutecznie zabezpieczyć usługi webowe przez botami. Co jednak, gdy zamiast botów hakerzy wykorzystają farmy Hindusów, całymi godzinami rozwiązujących testy na stronach WWW, za groszowe wynagrodzenia? Pomysłów na zabezpieczenie stron przed takimi użytkownikami badacze nie przedstawili.

Z całym artykułem można zapoznać się pod adresem cdn.ly.tl/publications/text-based-captcha-strengths-and-weaknesses.pdf.

źródło: pcworld.com

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

6 skomentuj »

Komentarze

#1 Ole 2011-11-04 12:08:48 0
Większość problemów z botami rozwiązuje po prostu dobry, aktualny filtr banowanych adresów. Bez żadnej captchy i innego utrudniania. Jest też skuteczny przeciwko hindusom :)
IP: 217.172.244.[...] Mozilla/5.0 (X11; Linux x86_64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
#2 Akoow8eat6u 2011-11-04 12:20:29 0
@Ole: są takie black-listy? Kto je uaktualnia i jak szybko?

A nie wystarczą jakieś proste zadania w stylu: ile wynosi pierwiastek kwadratowy z 9, jaka jest najdłuższa rzeka w kraju albo jakie zwierzątko widzisz na obrazku obok małpki? Oczywiście w języku adekwatnym do strony i w postaci graficznej, żeby Hindusom trudniej było wpisać to do translatora Google'a.
IP: 212.87.14.[...] Mozilla/5.0 (X11; Linux i686) AppleWebKit/534.26+ (KHTML, like Gecko) Version/5.0 Safari/534.26+ Debian/sid/experimental (3.0.4-1) Epiphany/3.0.4
#3 jajajaj 2011-11-04 13:08:37 0
@Akoow8eat6u: już dziś na pytanie ile wynosi pierwiastek kwadratowy z 9 sporo ludzi odpowiada "a co to jest pierwiastek" a że społeczeństwo coraz bardziej wychowuje się na MTV niedługo pytania o zwierzęta będą się kończyły podobnie.

Moim zdaniem należało by iść w kierunku black list ale takiej zautomatyzowanej, gdzie podłączasz swój serwis do centralnego systemu i ten może globalnie wychwytywać spamerów praktycznie po kilku wysłanych wiadomościach.
IP: 95.143.242.[...] Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.4 Safari/535.7
#4 Ole 2011-11-04 13:16:01 0
@Akoow8eat6u: wszystkie listy filtrujące spam mailowy bo zazwyczaj jak ip spamuje to maksymalnie (możesz robić zapytania do spamhaus), świetna lista http://sblam.com/blacklist.txt i całe rozwiązanie jako takie.
IP: 217.172.244.[...] Mozilla/5.0 (X11; Linux x86_64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
#5 spamer 2011-11-04 15:36:11 0
nie zartujcie sobie :-) ze zmiennym ip i tysiacami kont email nie mam zadnych problemow z stopforumspam.com, sblam itp wynalazkami :-) pytanie - odpowiedz sa skuteczne ale na krotka mete az ktos raz do centralnej bazy nie doda odpowiedzi :-)
IP: 83.9.230.[...] Opera/9.80 (Windows NT 6.1; U; pl) Presto/2.9.168 Version/11.52
#6 Splitfire^® 2011-11-24 10:43:48 0
Co jednak, gdy zamiast botów hakerzy wykorzystają farmy Hindusów

Hahahahaa
IP: 78.133.207.[...] Mozilla/5.0 (Windows NT 5.1; rv:8.0.1) Gecko/20100101 Firefox/8.0.1

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.