Почему капчи стали такими сложными / Хабр

Доказывать, что ты не робот, становится всё сложнее

В какой-то момент прошлого года постоянные требования от Google доказать, что я человек, начали казаться всё более агрессивными. Всё чаще за простой и немного чересчур милой кнопочкой «Я не робот» начали появляться требования доказать это – выбрав все светофоры, переходы или витрины в сетке изображений. Вскоре светофоры начали прятаться в листве, переходы искажаться и уходить за угол, а вывески магазинов стали размытыми и перешли на корейский язык. Есть что-то весьма разочаровывающее в неудачных попытках найти на изображении пожарный гидрант.

Эти тесты называются CAPTCHA – акроним от «полностью автоматического публичного теста Тьюринга, предназначенного для различения людей и компьютеров», и когда-то они уже доходили до подобной степени неразборчивости. В начале 2000-х простых изображений с текстом было достаточно, чтобы остановить большинство спам-ботов. Прошло десять лет, и после того, как компания Google купила программу у исследователей из Университета Карнеги-Меллона и использовала её для оцифровки в проекте Google Books, тексты приходилось всё сильнее искажать и скрывать, чтобы обгонять улучшающиеся программы оптического распознавания символов – те самые программы, которые помогали улучшать те самые люди, кому приходилось разгадывать все эти капчи.

Поскольку CAPTCHA – элегантный инструмент для тренировок ИИ, то любой придуманный тест может продержаться лишь некоторое время, что признают и его изобретатели. Со всеми этими исследователями, мошенниками, и простыми людьми, решающими миллиарды задачек на грани возможного для ИИ, в какой-то момент машины просто обязаны были нас обогнать. В 2014-м Google стравила между собой свой лучший алгоритм по разгадыванию самых искажённых текстов и людей: компьютер правильно распознал текст в 99,8% случаев, а люди всего в 33%.

После этого Google перешла на NoCaptcha ReCaptcha, наблюдающую за поведением людей и собирающую их данные, что позволяет некоторым из них пройти дальше просто по клику на кнопке «Я не робот», а другим выдаёт задачи на поиск изображений, которые мы сегодня и наблюдаем. Но машины снова настигают нас. Все эти навесы, которые могут быть или не быть витринами магазинов – это заключительная стадия гонки вооружений людей и машин.

Язон Полакис, профессор информатики в Университете Иллинойса в Чикаго лично отвечает за недавнее усложнение капчи. В 2016-м он опубликовал работу, в которой использовал готовые программы распознавания изображений, включая собственный поиск по изображением от Google, чтобы решать капчи с точностью в 70%. Другие исследователи справлялись с распознаванием аудио капчи от Google при помощи программ по распознаванию речи от самой же компании.

Машинное обучение уже не хуже людей справляется с распознаванием простых текстов, изображений и голоса, говорит Полакис. Алгоритмы, возможно, даже делают это уже лучше: «Мы дошли до момента, когда усложнение задач для софта приводит к тому, что задачи становятся чрезмерно сложными для людей. Нам нужна альтернатива, но чёткого плана пока нет».

Литература по капчам переполнена фальстартами и странными попытками найти что-то кроме текста и изображений, с чем хорошо справляются все люди и плохо справляются машины. Исследователи пробовали предлагать пользователям сортировать изображения людей по выражению лиц, полу и этнической принадлежности (можете представить, как это прошло). Были предложения организовать капчи с викторинами, капчи на основе колыбельных, распространённых в тех местах, где, как предполагается, вырос пользователь. Такие капчи с культурной привязкой нацелены не только на роботов, но и на людей из других стран, решающих капчи за копейки. Люди пытались загнать алгоритмы распознавания изображений в тупик, предлагая пользователю опознать, например, свинью, но при этом рисованную и в солнечных очках. Исследователи изучали такие варианты, как предложить пользователям распознать объекты в мешанине калейдоскопа. В одном из интересных вариантов в 2010-м исследователи предложили использовать капчу для сортировки древних петроглифов – компьютеры плохо справляются с распознаванием скетчей или изображений оленей на стенах пещер.

Недавно были попытки разработать игровые капчи, где пользователю нужно вращать объекты на определённые углы или передвигать кусочки головоломки, причём инструкции по решению капчи давались не в виде текста, а в виде символов, или же подразумевались по контексту игрового поля.

Надежда на то, что люди поймут логику загадки, а компьютеры без чётких инструкций споткнутся. Другие исследователи пытались использовать факт наличия у людей тел, и применяли камеры устройств или дополненную реальность для интерактивного подтверждения наличия человека.

Со многими из этих тестов проблема не в том, что роботы слишком умные, а в том, что люди плохо с ними справляются. И дело не в том, что люди тупые; они просто очень сильно различаются по языку, культуре и опыту. Избавившись от всего этого, чтобы сделать тест, который может пройти любой человек без тренировки и долгих размышлений, мы остаёмся с такими грубыми задачами, как распознавание изображений – а это именно то, с чем хорошо справится специально заточенный под это ИИ.

«Тесты ограничены возможностями человека, — говорит Полакис. – Дело не только в физических возможностях – нужно найти что-то межкультурное, межъязыковое. Нужна задача, которая хорошо работает с человеком из Греции, с человеком из Чикаго, с человеком из Южной Африки, Ирана и Австралии одновременно.

И она не должна зависеть от культурных нюансов и различий. Нужна задача, с которой хорошо справляется средний человек, она не должно быть ограничено определённой подгруппой людей, и она должна быть трудной для компьютера. Всё это сильно ограничивает выбор вариантов. А ещё это должно быть что-то, с чем люди справляются быстро, и что не сильно раздражает».

Попытки решения этих загадок с размытыми картинками быстро переводят человека на философские рельсы: есть ли какое-то универсальное человеческое качество, которое можно продемонстрировать машине, и которое машина не может имитировать? Что значит – быть человеком?

Может, наша человечность измеряется не тем, как мы выполняем задачи, а тем, как мы ведём себя, продвигаясь сквозь мир – или, в данном случае, сквозь интернет. Игровые капчи, видеокапчи, любые капчи, которые вы сможете придумать, в итоге будут взломаны, говорит Шуман Госмахумдер [Shuman Ghosemajumder], занимавшийся в Google борьбой с автоматизацией кликов, а потом ставший технологическим директором компании по распознаванию роботов Shape Security.

Он склоняется в сторону «постоянной авторизации» вместо отдельных тестов – к наблюдению за поведением пользователя и поиску признаков автоматизации. «Реальный человек не очень хорошо контролирует моторику, и не может двигать мышь одинаковым образом много раз во время нескольких взаимодействий, даже если будет пытаться сделать это», — говорит Госмахумдер. Робот будет взаимодействовать со страницей, не двигая мышью, или двигая её очень точно, а в действиях человека будет наблюдаться «энтропия», которую сложно подделать, говорит Госмахумдер.

Собственная команда Google, занимающаяся капчей, работает в сходном направлении. Последняя версия reCaptcha v3, выход которой был объявлен в конце прошлого года, использует «адаптивный анализ рисков» для оценки трафика по подозрительности; владельцы сайтов могут предлагать подозрительным пользователям задачи вроде ввода пароля или двухфакторной авторизации. В Google не сообщают, какие факторы учитываются при оценках, кроме того, что компания оценивает, как выглядит на сайте «хороший трафик», и использует эту информацию для фильтрации «плохого трафика», согласно Сай Кормаи [Cy Khormaee], менеджеру продукта из команды CAPTCHA. Исследователи в области безопасности говорят, что это, вероятно, смесь куков, атрибутов браузера, закономерностей трафика и других факторов. Один недостаток новой модели распознавания роботов состоит в том, что навигация в вебе при попытках минимизации наблюдений за пользователем может стать немного раздражающей, поскольку такие вещи, как VPN и расширения, затрудняющие отслеживание пользователя, могут отметить вас, как подозрительного.

Аарон Маленфант [Aaron Malenfant], ведущий инженер команды CAPTCHA в Google, говорит, что сдвиг в сторону от тестов Тьюринга должен помочь обойти соревнование, которое люди всё время проигрывают. «Чем больше мы будем вкладываться в машинное обучение, тем сложнее эти задачи будут становиться для людей, и, в частности, поэтому мы запустили CAPTCHA V3 – чтобы опередить эту кривую». Маленфант говорит, что через 5-10 лет задачи в капче вообще не будут иметь смысла. Большая часть веба будет зависеть от постоянного скрытого теста Тьюринга, работающего на фоне.

В своей книге «Самый человечный человек» Брайан Кристиан [Brian Christian] принимает участие в тесте Тьюринга в качестве подсадной утки и понимает, что очень сложно доказать свою человечность в беседах. С другой стороны разработчики ботов обнаружили, что эти тесты легко пройти, не притворяясь красноречивым или интеллектуальным собеседником, а отвечая на вопросы при помощи нелогичных шуток, делая опечатки, или, как в случае бота, выигравшего соревнование Тьюринга в 2014-м, заявляя, что ты – 13-летний украинский мальчик, плохо говорящий по-английски. Ведь человеку свойственно ошибаться. Возможно, что такое будущее ждёт и капчу, самый распространённый тест Тьюринга в мире – новая гонка вооружений будет создавать не роботов, превосходящих людей в сортировке изображений и разборе текста, а роботов, делающих ошибки, промахивающихся по кнопкам, отвлекающимся и переключающим вкладки. «Думаю, народ начинает понимать, что есть области применения для симуляции среднего пользователя-человека… или тупых людей», — говорит Госмахумдер.

Капчи могут сохраниться и в этом мире. В 2017-м Amazon зарегистрировала патент на схему, в которой используются оптические иллюзии и логические задачки, с которыми тяжело справляться людям. Этот тест называется «тест Тьюринга через ошибку», и единственный способ пройти его – дать неверный ответ.

Капча CAPTCHA как обратный тест тьюринга виды капч и способ…

Привет, мой друг, тебе интересно узнать все про капча, тогда с вдохновением прочти до конца. Для того чтобы лучше понимать что такое капча,captcha,обратный тест тьюринга , настоятельно рекомендую прочитать все из категории Модели и методы исследований

Искаженная строка smwm

CAPTCHA (от англ. Completely Automated Public Turing test to tell Computers and Humans Apart — полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей) — компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Термин появился в 2000 году, в Рунете устоялось название капча . Основная идея теста: предложить пользователю такую задачу, которую с легкостью может решить человек, но которую несоизмеримо сложнее решить компьютеру. CAPTCHA — это товарный знак университета Карнеги — Меллона, разработавшего тест. По состоянию на 2013 г., примерно 320 миллионов капч вводится каждый день пользователями во всем мире^.

Варианты реализации

В наиболее распространенном варианте капчи пользователь вводит символы, изображенные на рисунке (зачастую с добавлением помех или полупрозрачности). По общепринятым нормам доступности интернета для людей со слабым зрением, такая капча должна дополняться вариантом, основанным на распознавании речи (аудио-капча).

Могут также применяться другие плохо алгоритмизуемые задачи: например, узнать, что находится на картинке, отметить все картинки с кошками или ответить на вопрос, связанный со знаниями или менталитетом людей (например, «висит груша, нельзя скушать»). Тем не менее, стандартом стало именно распознавание символов : оно не привязано ни к какой культуре (основная помеха — слабое зрение), работает даже на мобильных браузерах, и пользователь со стажем быстро опознает картинку как капчу.

HTML5 позволяет усложнить задачу роботам за счет использования элементa Canvas. В этом случае с сервера загружается не картинка, а набор точек (или алгоритм прорисовки), по которым браузер прорисовывает картинку.

Классифиувция капч

Существующие капчи разделяют на три категории: текстовые, графические и аудио/видео. Ниже мы рассмотрим, как генерируются различные капчи и какие успехи сейчас есть с их обходом.

На Рис. 1 сведены в табличное представление примеры капч для различных подходов.

Рис. 1. Способы защиты капчи

1.1.1. Полые символы

В случае стратегии создания капчи «полые символы» для формирования каждого символа используются контурные линии.

Рис. 2. Полая капча

Такие символы трудно сегментировать, но они легко видны людям. К сожалению, этот механизм не так безопасен, как ожидалось. В исследованиях Гао сверточная нейронная сеть успешно распознает от 36% до 89% изображений (в зависимости от типа искажений и обучающей выборки).

1.1.2. Перекрытие символов

Объединение и перекрытие символов (англ. сrowing characters together, CCT) усложняют сегментацию, но при этом также снижает удобство для чтения пользователем. То есть и сами люди не всегда успешно могут обойти такую капчу.

Рис. 3. Перекрытие и CCT

Исследователям из Китая и Пакистана удалось взломать CTT с вероятностью от 27.1% до 53.2% .

1.1.3. Фоновые шумы

Рис. 4. Фоновые шумы

Google’s reCAPTCHA, использующая изображения из Street View, ломается в 96% случаев .

1.1.4. Двухуровневая структура

Двухуровневая структура представляет собой вертикальную комбинацию двух горизонтальных капч, что усложняет сегментацию изображения.

Рис. 5. Двухуровневая структура

Гао предложил подход к сегментации для разделения изображения капчи как по вертикали, так и по горизонтали, и добился успеха в 44. 6% (9 с на изображение), используя сверточную нейронную сеть.

1.2. Капча-изображение

1.2.1. Капча на основе отбора

В случае капчи на основе отбора пользователи должны выбрать правильные ответы в соответствии с подсказкой для капчи, основанной на выборе. Это самая простая форма капчи на основе изображений. Например, нужно выделить среди предъявленных изображений все машины, все дорожные знаки, все светофоры.

Рис. 6. Различные примеры капчи на основе отбора

Голль предложила использовать метод опорных векторов (SVM) для различения изображений кошек и собак в капче Asirra с вероятностью успешного распознавания 82.7%.

Команда Гао использовала OpenCV для обнаружения лиц во FR-CAPTCHA. Удалось получить вероятность обнаружения от 8% до 42% с обработкой изображения менее, чем за 14 секунд. FaceDCAPTCH была распознана с вероятностью 48% в среднем за 6.2 секунды.

Сотрудники Колумбийского университета обошли reCAPTCHA и Facebook CAPTCHA с вероятностью 70. 78% и 83.5% соответственно.

1.2.2. Капча на основе кликов

В 2008 году Ричард Чоу с коллегами впервые предложили капчу, основанную на кликах. Она требует от пользователей нажимать на символы, находящиеся на сложном фоне в соответствии с подсказкой, как показано на Рис. 7.

Рис. 7. Капчи на основе кликов

Такие кликовые капчи имеют два защитных механизма: антивыявление и антираспознавание. Правильное распознавание символов с развитием машинного обучения уже не является сложной задачей. Поэтому почти все механизмы защиты ориентированы на то, чтобы помешать злоумышленникам правильно выявить символы.

1.2.3. Капча на основе перетаскивания

Капча на основе перетаскивания определяет, является ли пользователь человеком, через трек мыши, скорость перемещения указателя и время отклика.

Рис. 8. Капча на основе перетаскивания

Пользователям необходимо повернуть изображение предмета так, чтобы он находился в естественном положении. Например, перевернуть изображение стола так, чтобы он оказался на ножках. Это просто для человека, но трудно для ботов.

1.3. Аудио/видеокапчи

1.3.1 Аудиокапча

Эта капча обычно рассматривается как альтернатива зрительной в случае пользователей с ослабленным зрением. Слушателям предлагается выполнить задание исходя из того, что они услышали, например, определить конкретный звук, например, звук колокольчика или фортепиано .

Рис. 9. Аудиокапча

Существует еще один тип капчи на основе аудио, в котором от пользователей требуется не просто слушать, а произносить. Например, Гао предложил звуковую капчу (Рис. 9), в которой пользователь должен зачитать предложение, выбираемое случайным образом из книги . Сгенерированный аудиофайл анализируется, чтобы определить, является ли пользователь человеком.

Но и аудиокапча взламывается: ученые из Стэнфордского университета научились взламывать аудиокапчу с вероятностью 75%.

1.3.2 Видеокапча

В видеокапче пользователям предоставляется видеофайл, и они должны выбрать предложение, которое описывает движение человека на видео.

Рис. 10. Сводная таблица. Типы капч

Японские исследователи использовали решение на базе HMM (скрытой марковской модели) и получили точность 31.75%.

Способы прохождения капчи роботом

Использование уязвимостей

Уязвимость в CAPTCHA

Предположим, картинка с цифрами 1234 вызывается кодом.

Вместо того, чтобы проходить капчу, компьютер считывает URL и вводит ответ 1234.

При недостаточной квалификации веб-программиста робот может выдать ответ, не проходя тест. Например, по какой-либо информации, содержащейся на странице, компьютер сам, без вмешательства человека, способен правильно ответить на вопрос, на который предположительно мог бы ответить только человек. Либо человек проходит тест один раз, а компьютер фабрикует множество запросов с тем же ответом.

Угадывание

Применяется в первую очередь для «нетрадиционных» капчей с небольшим количеством вариантов ответа (1000 и меньше). Робот посылает случайные ответы; некоторые из них оказываются верными.

Использование баз данных

Данный подход эффективен, когда вопросы подготавливаются администратором, а не генерируются автоматикой. С помощью баз данных можно пройти многие нетрадиционные варианты капчи: например, отметить все картинки с кошками.

Автоматическое распознавание

Очень слабая капча (на примере phpBB)

К верхнему изображению применяется отсечка по яркости (все, что темнее некоторого порога, становится черным, остальное — белое). Определяются границы символов, и каждый из них сравнивается с базой символов. Для разбора такой CAPTCHA не нужен даже OCR, поскольку в ней есть сразу несколько уязвимостей:

• Легкое отделение символов от фона с помощью цветового ключа.
• Легкое отделение символов друг от друга.
• Фиксированный и неискаженный шрифт.

После отсечки на буквах образуется случайный узор, поэтому нет стопроцентной гарантии, что все символы будут опознаны (в PWNtcha рейтинг этой CAPTCH’и — 99 %). Но оставшийся один процент совершенно не важен.

В новой линейке форума phpBB (3.x.x) по умолчанию используется усовершенствованная капча с использованием библиотеки GD.

Существуют программы (к примеру, PWNtcha), распознающие конкретные реализации капчи. Кроме того, существует возможность подключать модули из программ распознавания текста общего назначения (например, FineReader, OmniPage) в программы сторонних разработчиков для распознавания картинок капчи.

По отношению к автоматизированному распознаванию существуют понятия «слабая капча» и «сильная капча». В числе «слабостей» — фиксированный шрифт, фиксированное положение символов, отсутствие искажений, отделение символов от фона с использованием цветового ключа или размытия по Гауссу, легкое отделение символов друг от друга и т. д. Впрочем, иногда бывает, что сильная капча оказывается труднораспознаваемой и для человека. Изредка встречается капча, легко прочитываемая компьютером и с большими трудностями — человеком (например, с неконтрастной картинкой).

Если сгенерированная картинка оказалась нечитаемой, пользователь, как правило, имеет возможность получить новую. Прочная капча должна выдавать картинку с другим ответом^.

Многие нетрадиционные варианты капчи также на поверку оказались слабыми.

Распознавание чужими руками

Есть способ «распознавания», в соответствии с поговоркой «чужими руками жар загребать», использующий человеческий ресурс с высокопосещаемых сайтов. Робот скачивает капчу с нужного интернет-сервиса и предъявляет его посетителю этого сайта. Взамен посетитель этого сайта получает доступ к этому ресурсу, а робот узнает код, изображенный на картинке, и вводит его на «штурмуемом» сайте. Посетитель этогосайта может и не подозревать, что каждый просмотренный ресурс на этом сайте оборачивается регистрацией нового почтового ящика для рассылки спама.

Для защиты (не полной) от такого способа обхождения капчи сайт автоматически меняет капчу-картинку, если ответ на нее не ввели сразу (в течение небольшого промежутка времени), — регулярно каждый раз через определенный период времени, или при попытке начать запоздалый ввод ответа.

Есть также специализированные сайты для обмена или продажи капч.

Полезность капчи против спама

Капча сама по себе не может остановить спамеров (1000 распознаваний людьми стоят около 1 $). С другой стороны, этот метод защиты может создавать большие неудобства людям.

К тому же капчей злоупотребляют, например, файловые хостинги, что несет в массы сервисы по распознаванию капчи и делает ее еще более неэффективной.

Известные CAPTCHA-службы

reCAPTCHA — проект, использующий в роли рабочего элемента для ответов пользователей на капча-запрос неразборчивое для OCR слово, являющееся одним из множества искаженных фрагментов сканированных книг в дополнение к слову, сгенерированному компьютером. Этот сервис учитывает приемы использования и возможности программ оцифровки текста книг. Для надежности одно и то же слово предлагается нескольким пользователям различных сайтов. Когда разные пользователи одинаково ответили на CAPTCHA-запрос, предполагается, что они ввели правильное слово.

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart — полностью автоматизированный публичный тест Тьюринга для различия компьютеров и людей) — торговая марка Университет Карнеги-Меллона, компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Термин появился в 2000 году. Основная идея теста: предложить пользователю такую задачу, которую может решить человек, но которую крайне трудно научить решать компьютер. В основном это задачи на распознавание символов.

Алгоритм CAPTCHA-проверки

Кратко рассмотрим алгоритм CAPTCHA-проверки посетителя, сделав упор на защиту от уязвимостей, не связанных с собственно распознаванием картинки:

Пользователь заходит на защищаемую страницу, мы создаем для него сессию. Лучше всего, если эту сессию будет создавать сама CAPTCHA-картинка (вернее, скрипт, которые ее выдает).

Скрипт генерирует случайный текст, записывает его в сессию и выдает картинку с этим текстом посетителю. Потом, при проверке, ответ, введенный посетителем, сравнивается с эталоном, сохраненным в этой сессии.

Важно, чтобы закодированный текст никак не вычислялся из данных, передаваемых браузеру. К примеру, плоха идея хранить текст не в сессии на сервере, а передавать его (пусть даже в кодированном виде) аргументом (через адресную строку или cookie) скрипту-картинке, с тем, чтобы скрипт текст раскодировал и выдал соответствующее изображение — угадать принцип кодирования не так сложно, на самом деле. Потом, если на сервере этот текст не хранится, а передается с запросами, его вполне можно подменить.

Если случайный текст будет генерироваться не при выдаче картинки, а при выдаче страницы с формой, появляется опасность, что бот сделает несколько запросов к скрипту картинки, чтобы получить несколько вариантов одного и того же текста (если картинка выдается со случайными искажениями — то есть разная от раза к разу, хотя и с одним и тем же закодированным текстом). Распознать текст, если есть несколько его вариантов, гораздо проще.

Генерация кода самой картинкой позволяет реализовать функцию «получить другой код, если этот плохо читается пользователем» — будет достаточно обновить только картинку.

Распространенной ошибкой является то, что при проверке правильности введенного текста его просто берут из сессии и сравнивают с ответом посетителя. Проблема в том, что злоумышленник может подсунуть нам номер несуществующей сессии и ввести пустой проверочный текст. И этот пустой текст будет равен пустому тексту из несуществующей сессии — все, заслон пройден.

Важно очищать сессию после каждой проверки (неважно, успешной или нет). Не стоит полагаться на то, что при обновлении страницы скрипт картинки сгенерит новый текст — бот может просто не запрашивать картинку, а вводить один и тот же ответ, который в самом начале прочитал и сообщил боту сам злоумышленник.

Если вы обратите внимание на эти моменты, ваша CAPTCHA будет защищена от ботов, не использующих распознавание.

Альтернативные способы защиты

Альтернативные способы защиты от ботов можно разделить на две части: те, которые требуют от посетителя каких-то действий, и те, которые этого не требуют. Эффективность этих способов зависит как от сложности создания алгоритма распознавания, так и от распространенности того или иного решения, ведь связываться со взломом даже примитивно, но необычно защищенного сайта средней популярности, скорее всего, не станут.

Существует множество идей CAPTCHA-защиты, отличающихся от классического варианта «введите код, изображенный на картинке». Их можно также разделить на две основные части: задачи, обращающиеся к «рефлексам» пользователя (на узнавание-распознавание), и задачи, обращающиеся к его логике (вопросы, задачи). Первые приятнее для пользователя, т. к. не заставляют его думать.

Аудио-CAPTCHA

Аудио-CAPTCHA предлагает пользователю прослушать некую фразу и затем ввести ее. Обычно фраза состоит из проговариваемых цифр, как правило, с варьируемой тональностью, паузами и фоновыми шумами. Преимущество у аудио-CAPTCHA в том, что на такой вопрос сможет ответить пользователь с нарушениями зрения. Недостатки – посетитель должен иметь на компьютере оборудование для воспроизведения звука; распознавание речи – не настолько сложная задача, поэтому степень защищенности такого решения, как правило, невысока. К тому же реализация звуковых искажений довольно требовательна к квалификации программиста и ресурсам сервера. Это ведет к тому, что аудио-CAPTCHA применяется довольно редко и только как альтернатива для слепых пользователей.

Математические примеры

Некоторым может показаться, что вопрос «сколько будет 23+75» может быть хорошим решением, т. к. «боту надо будет еще догадаться, что числа следует не только распознать, но и сложить». При здравом же рассуждении видно, что какую-то защиту это решение может обеспечить только в силу своей новизны и малой распространенности. В самом деле, что-что, а складывать и вычитать числа компьютер умеет гораздо лучше человека. А вот для самого человека проведение в уме математических действий (особенно если цифр в числах не 1−2, а больше) будет утомительным и сложным. Сумму же одно-двузначных чисел можно угадать и перебором со сравнительно небольшим количеством попыток. Таким образом, в математических примерах как способе защиты от ботов смысла нет никакого, наличествует даже ухудшение защищенности.

Текстовые задачи

Человеку задается вопрос или загадка, на который он должен дать ответ. Ответ нужно либо выбрать из списка, либо ввести в поле. Посколько при выборе из списка вероятность дать правильный ответ наугад довольно велика (1/n, где n – количество вариантов), обычно пользователя заставляют ответить на ряд вопросов, ибо вероятность угадать правильные ответы на несколько вопросов будет произведением вероятностей ответить на каждый из них. Т. е., к примеру, 1/5 * 1/6 * 1/4 = 1/120.

Преимущества: проверка доступна для людей с нарушениями зрения, а также для тех, кто пользуются клиентами, не отображающими изображения.

Недостатки:

• Пользователь должен быть хорошо знаком с языком, на котором задаются вопросы (а зачастую и с реалиями и менталитетом коренных носителей языка).
• Если используются готовые вопросы, то их количество, очевидно, конечно, так что злоумышленник может составить базу вопросов с ответами.

Можно пытаться комбинировать текстовую задачу с задачей на распознавание, к примеру «введите первую, третью и четвертую буквы из предложенной надписи», но это экстенсивный путь, ведущий к, скорее всего, кажущемуся увеличению сложности прохождения теста ботом.

Распознавание предметов

Здесь пользователя просят узнать изображенные на картинке предметы (людей, животных). Ему либо показывают предмет и просят ввести его название (или выбрать его из списка), либо, наоборот, пишут название, а из нескольких предложенных предметов просят выбрать запрошенный (запрошенные). Детали реализации могут варьироваться для уменьшения вероятности угадать наобум, указывать требуемые предметы могут попросить в определенном порядке и т.д.

Реализация, где именно картинки являются ответами на вопрос («укажите всех кошек») в противоположность «что изображено на картинке» представляется более перспективной, т. к. меньше напрягает пользователя, не требует раздумывать над синонимами при вводе ответа вручную и не требует проводить утомительный поиск среди текстовых вариантов ответа.

Преимущества: пользователю может быть легче отличить кошку от собаки, чем различить, к примеру, сильно искаженные и зашумленные буквы «N» и «H». Боту же, напротив, буквы, как более простые образы, различить будет проще.

Недостатки:

• Пользователю должны быть знакомы объекты и их названия.
• База картинок должна быть довольно значительной, чтобы было невозможно распознавание через сравнение с эталонами. Либо нужно будет озаботиться хорошими алгоритмами искажения или даже генерации картинок.

Тест Тьюринга через ошибку

В 2017-м Amazon зарегистрировала патент на схему, в которой используются оптические иллюзии и логические задачки, с которыми тяжело справляться людям. Этот тест называется «тест Тьюринга через ошибку», и единственный способ пройти его – дать неверный ответ.

Методы обхода капчи

1. использование особенностей реализации CAPTCHA и их слабые места;

2. распознавание через системы распознования(OCR (Optical Character Recognition — оптическое распознавание символов )) и запуск с помощью виртуального драйвера

3. использование сторонних сервисов где реальные люди за доли цеентов вручную разгадвают капчи

См. также

• Тест Тьюринга
• распознаваине изображений

Пожалуйста, пиши комментарии, если ты обнаружил что-то неправильное или если ты желаешь поделиться дополнительной информацией про капча Надеюсь, что теперь ты понял что такое капча,captcha,обратный тест тьюринга и для чего все это нужно, а если не понял, или есть замечания, то нестесняся пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятельно рекомендую изучить всю информацию из категории Модели и методы исследований

9 альтернатив капче, которые не испортят ваш UX

CAPTCHA это аббревиатура от английских слов «Completely Automatic Public Turing Test to Tell Computers and Humans Apart», что означает — полностью автоматический тест Тьюринга для различения компьютеров и людей. Название содержит сразу и функции и основную цель: автоматический тест, который выявляет настоящих пользователей и устраняет злых роботов, которые распространяют спам и удаляют нужные материалы.

С 2000 года капча — это что-то раздражающее, при этом очень надежное. Но сегодня это уже не так (по крайней мере «надежная» часть). Один стар-ап из Сан Франциско утверждает, что изобрел алгоритм, который может взломать капчу с 90% результатом. Алгоритм Google Maps по распознаванию адреса, привлек взлом капчи с 99,8% точностью. Роботы могут победить.

Автоматические капчи проваливаются практически везде, нарушая процесс работы пользователя, например, во время покупок онлайн, банковских переводов или отправки сообщений.

К тому же, нужда и желание обезопасить свою онлайн-жизнь растет. Изучение анонимности в сети соглашается с тем, что пользователи хотят приватности, и готовы сделать что-нибудь, что бы не закончить, как этот парень. Поэтому, сейчас аутентификация пользователя, с совершенно необходимой, и в тоже время устаревшей капчей — доказанный источник сильного разочарования, особенно для тех, кто в UX. Такие капчи могут означать провал UX. Уменьшают поток пользователей, и даже более того, могут быть просто невозможны в использовании людьми с нарушением здоровья или проблемами со зрением. Это должно быть решено.

Капча, как предмет искусства

Важный, но мало обсуждаемый вопрос, это как подойти к решению такой веб-дилеммы. В то время, как некоторые фокусируются в основном на том, что не так с системой, мы предпочтем путь Уинстона Черчилля, который однажды написал: «Пессимист видит трудности при каждой возможности, оптимист в каждой трудности видит возможности.». Если бы он реинкарнировался в UX дизайнера, бывший премьер-министр Великобритании и лауреат Нобелевской премии по литературе, наверняка использовал бы этот подход с рациональным позитивом, подчеркивая хорошо-разработанную победу пользователю.

Подстегиваемые нуждой в альтернативе, чтобы изменить текст капчи в UX и повысить безопасность, люди по всему миру много работали, руководствуясь принципом Черчилля, чтобы создать более эффективные, простые, лучше выглядящие или даже забавные капчи.

С тех пор, как Гарри Каспаров сыграл с Deep Blue, было совершено множество попыток перехитрить роботов. И эта борьба за достойные меры веб безопасности (читай: которым не наплевать на пользователя) продолжается.

Вот 9 альтернатив капче для лучшего UX

1. Милая капча

Милая капча смело превращает текст в более интересную (хорошо, немного слащавую) игру.

Сопоставлять категории и предметы требует человеческого разума, и привносит веселья чему-то ужасному (капче, конечно). Такая капча может быть отличным вариантом для некоторых, но, определенно не для всех сайтов. Можно представить себе портфолио, детские сайты или игры, которые только выиграют от этого. Это вряд ли подойдет более серьезным компаниям. Кроме того, они проблемы не решают. Конечно, их пройти легче, чем неприятный закодированный текст классической капчи. Но пользователям все также придется расшифровывать картинку или работать с изображениями.

2. Игровая капча

Попадите в список проверенных людей. Вы же человек, правда?

Как показано на видео, игровая капча использует сходный с милой капчей принцип проверки. Их игры могут быть действительно приятной функцией для некоторых сайтов. В любом случае, более интересный способ, чтобы доказать свою человечность (робот бы точно перепутал такси с едой).

3. Биометрическая безопасность

Использовать данные, которые связаны с вашей ДНК для обычной онлайн проверки может быть очень эффективно… и немного жутко.

У ваших девайсов наверняка есть камера и интеллектуальный экран/трекпад, и разработчики хотят повлиять на уровень безопасности. Что может отражать вас больше, чем ваши глаза, лицо или отпечатки пальцев, верно? Доступ к вашему телу очень сильно ограничит спамеров при создании учетных записей электронной почты. Это захватывающая разработка, но все же есть обоснованные опасения о краже, которая переходит на другой уровень с данными ДНК. А именно, когда кто-то крадет ваш пароль, вы создаете новый. Если кто-то украдет вашу сетчатку или отпечатки пальцев… ужасно.

4. Подтверждение по СМС

Двух — ступенчатая аутентификация эффективна против взломов, однако требует второго устройства, с не всегда хорошим UX.

Безопасность мобильных приложений, особенно игровых, пытается не отставать от массы, опираясь в основном на телефоны пользователей, а не на традиционные пароли и ID. Одна статья даже предрекает смерть паролей в игровых приложениях из-за этого нового тренда. Это может быть сигналом большого изменения в безопасности (учитывая, что у каждого пользователя есть телефон).

Подтверждение по СМС с помощью привлечения личных девайсов, привязанных только к аккаунту, решает вопрос с хакерами. Это также сигнализирует о возможности для большей персональности в процессе обеспечения безопасности с сообщениями, которые могут обращаться к некоторым пользователям.

5. Капча, в зависимости от активности пользователя

Некоторые капчи труднее расшифровать, чем другие. Подобная капча будет легкой для тех, кто ведет себя как реальный человек.

В ответ на проблемы UX традиционной капчи, такая капча задает вопрос: «Сколько будет стоит отказ пользователя вашей компании?». Ее адаптивная аутентификация отслеживает активность пользователей. Например, пользователь, который ведет себя как спам-робот получит сложную капчу, а пользователь, который больше напоминает человека, более простую. Умная и простая, но при этом все та же капча.

6. Метод ловушки

Скрытые поля обманывают роботов при заполнении того, чего обычные пользователи не видят. Я использовал это на Digital Telepathy в некоторых проектах с успехом.

Метод ловушки пытается полностью покончить с прерыванием рабочего процесса пользователя, как делают все остальные капчи. Он отсеивает ботов, обманывая их авто-заполнением. Поскольку эти поля невидимы обычным пользователям, риск совсем небольшой. Проблемы возникают из-за браузеров, когда они сами авто-заполняют иноформацию без предупреждения пользователя (да, да, Safari, я о тебе), и когда роботы более продвинутые.

7. Математическая капча

Оказывается, спам-боты не так уж сильны в математике. Простые вопросы, типа этих, могут помочь вычислить спамеров, сохраняя UX на уровне.

Разработчики выяснили, что подобные математические вопросы могут быть одними из самых эффективных вариантов для определения реальных пользователей. С этим плагином WordPress — математическая капча, можно выбрать, когда ваша капча будет активирована, а также несколько интересных форматов, которые можно применить. Например, можно выбрать простую математическую задачу или очень сложную, а также задачу со словами.

8. Взаимодоверяющая капча

Как быстро вы разглядите птицу на этой картинке? Вот настолько быстро эта капча может работать!

Это еще одно распознавание человека на основе изображения. Это дает 96% точности, что очень неплохо, к тому же работает в два раза быстрее, чем классическая капча. Взаимодоверяющая капча действует по такому принципу: показывает около девяти картинок и затем спрашивает три вопроса об этих картинках. Например, когда я первый раз попробовал, у меня спросили: «Найдите среди картинок напиток, деньги и космос». После того, как я успешно нашел их, мне сказали, что я хомосапиенс. Ура!

9. NoCAPTCHA от reCAPTCHA

Во-первых, Google создал алгоритм, который может взломать капчу. Теперь они меняют систему, путем отслеживания ваших данных. Удивленны?

NoCAPTCHA чуть больше года. Это следующий шаг от reCAPTCHA от Google. На самом деле, это копает канаву всему замыслу капчи.

Их решение? Показатели. Отслеживание данных пользователя покажет, человек он или нет, и просто предложит отметить это галочкой. UX в том, что NoCAPTCHA просит вас отметить галочку в поле «Я не робот». После этого — все, готово. Быстрый вариант еще проще. Он покажет вам изображение, скажем, кошки. Затем панель с изображениями под картинкой кошки. Нужно будет найти все картинки, связанные с кошкой (котята, тигры, львы, подумать только!) и тогда он поймет, да, вы человек.

Очевидность — лучшее решение

Открытая Аутентификация (OAuth) работает со сторонними организациями (думаю, Facebook, LinkedIn, Twitter), и проверяет вашу личность с помощью существующего профиля, который требует проверки подлинности, например, с помощью капчи, при самом первом использовании им вами. Результатом OAuth, как известно разработчикам, является «безопасный доступ», и наблюдается тенденция к распространению.

Разработчики, как те, кто создает альтернативы капче, обращают веб разочарования в дизайн возможности. Это указывает на более оптимистичную эпоху UX. Дизайнеры, с другой стороны, всегда ищут способы сократить помехи на сайтах и приложениях. От веселья, людей и проверочных тестов, до компаний, которые превращают свои 404 экраны в игры, мы видим разумность и легкость (признак хорошего дизайна), а также внедрение новых технологий, связанных с нашей ДНК, что делает аутентификацию и навигацию более естественной.

Современные потребители (и продукты) создают функции, которые плохо выглядят или работают. Функции, которые когда-то были ненадежными, становятся более интуитивными, красивыми и запоминающимися. Но даже если капча улучшается, мир по прежнему полон дизайнерских проблем, которые представляют множество возможностей для улучшения.

Настройка капчи — База знаний uCoz

Настройка капчи

1. Типы капчи 
2. Как подключить reCAPTCHA (для сайтов с подключённым доменом)
3. Как отключить капчу

Типы капчи

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart – полностью автоматизированный публичный тест Тьюринга, позволяющий различать компьютеры и людей). Капча затрудняет выполнение автоматических действий: авторегистрация, ввод данных, спам и др.

Конструктор сайтов uCoz предоставляет пять видов капчи на выбор:

• Стандартный, Простой, Сложный, Арифметический и reCAPTCHA.

Для изменения и выбора типа капчи авторизуйтесь в Панели управления (http://ваш сайт/admin) — Настройки — Системные — Код безопасности (капча). Выберите оптимальный вид капчи и сохраните.

• Если у вас на сайте мало спама, вам подойдет Стандартный, Простой или Арифметический вид капчи.
• Если у вас на сайте мало спама и активность пользователей не подразумевает частого введения капчи, вам подойдет Сложный вид капчи.
• Если на сайте много спама или наблюдается его резкое увеличение, вам нужно выбрать reCAPTCHA.

Как подключить

reCAPTCHA (для сайтов с подключённым доменом)

При наличии подключенного домена к сайту необходимо обязательно получить и установить свои ключи! 
Для получения ключей перейдите по ссылке в Панели управления (Настройки — Системные — Код безопасности (капча) — reCAPTCHA) получить API-ключи.

Управление ключами ReCaptcha API

Регистрация сайта

В поле “Ярлык” введите текст названия для вашего сайта, под каким именем будут выданы эти ключи. Введенное название в данном поле,  будет отображаться в списке сайтов, к которым подключена reCAPTCHA.

Так же важный этап, в пункте «Тип reCAPTCHA», выбрать «reCAPTCHA v2», если выберите 3 версию, она у вас на сайте работать не будет.

В поле “Домены” введите адрес вашего сайта как показано на скриншоте выше под цифрой 3 (в примере показан другой сайт, вы вводите свой).

Галку на пункте “Отправлять владельцам оповещения” не снимайте, вы будете получать оповещения об ошибках настройки или увеличении подозрительного трафика. Нажмите на кнопку “Отправить”.

Добавление reCAPTCHA на сайт

После завершения регистрации вы переместитесь на страницу настроек. Вам понадобится первый пункт: Добавление reCAPTCHA на сайт — Ключи.

Вам понадобится только Ключ и Секретный ключ.

Для завершения настроек и вставки ключей перейдите в Панель управления (Настройки — Системные — Код безопасности (капча) — reCAPTCHA).

• В поле “Ключ” вставьте скопированное значение одноименного поля настроек reCAPTCHA.
• В поле “Секретный ключ” вставьте скопированное значение одноименного поля настроек reCAPTCHA.

Сохраните настройки.

Как отключить капчу

По умолчанию код безопасности (капча) не показывается при добавлении материалов, сообщений на форуме и комментариев для следующих групп пользователей: “Проверенные”, “Модераторы”, “Администраторы” и “Друзья сайта”. Для группы “Гости” невозможно отключить код безопасности.

Если вы хотите отключить капчу для группы “Пользователи” или подключить её для созданных вами групп, авторизуйтесь в Панели управления — Пользователи — Группы — Выберите нужную группу — Права — Разное — Не показывать код безопасности — Активируйте или деактивируйте настройку и сохраните.

В настройках расширения “Мини-чат” можно подключить или отключить показ кода безопасности для системной группы “Пользователи”.

Настройка капчи

Для чего придумали CAPTCHA

Данный термин начал использоваться еще в далеком 2000 году. Русскоязычный сегмент рынка использует русский вариант транскрипции – капча. Капча представляет собой тест, с помощью которого отфильтровываются боты. Вся суть капчи в том, что для живого человека выполнение теста не составит никаких проблем, в то время как компьютер пока что не научился выполнять подобные задачи. В большинстве случаев CAPTCHA находит применение в случае необходимости предотвращения автоматически созданных аккаунтов, размещения спам-сообщений на различных площадках.

 

Виды CAPTCHA

Сегодня представлено достаточно большое количество разновидностей капч:

Графическая.Пользователь, чтобы пройти тест, должен указать цифры, буквы и прочие символы, которые демонстрируются на искаженной картинке (делается это специально для того, чтобы усложнить задачу боту).

Звуковая.Заключается в распознавании текста, что звучит на аудио. Предназначен также для тех пользователей, которые имеют проблемы со зрением. Логическая капча. Предлагает исключить лишнее из предлагаемых слов или картинок.

Образная.Пользователь должен распознавать определенные образы.

Видео.Фон с символами двигаются.

 

Важность защиты от ботов

Чтобы сайт развивался и продвигался, оптимизаторам необходимо принимать целый пакет дополнительных мер, с помощью которых исключается возможность распознавания капч ботами.

1. Устранить уязвимости. Это можно сделать, используя скрипты.
2. Исключение возможности перебора. Бот может просто начать угадывать. Если в задаче имеется десять картинок, то есть 1024 варианта, один из которых окажется верным.
3. Исключить автоматическое распознавание. Сегодня созданы несколько сервисов, с помощью которых удается определить капчу. Если картинка не слишком сложная в графическом плане, то в большинстве случаев эти сервисы смогут распознать, что именно написано на капче.

 

Дополнительные методы обхода капчи

Роботы могут использовать повторный идентификатор пользовательской сессии; Восстановление необходимых символов на основе данных, имеющихся на странице; Сбор базы данных под различные варианты капч с помощью генераторов чисел и прочего.

 

 

Как работает CAPTCHA?

Классические CAPTCHA, которые до сих пор используются на некоторых веб-ресурсах, включают просьбу пользователей идентифицировать буквы. Буквы искажены, поэтому боты вряд ли смогут их идентифицировать. Чтобы пройти тест, пользователи должны интерпретировать искаженный текст, ввести правильные буквы в поле формы и отправить форму. Если буквы не совпадают, пользователям предлагается повторить попытку. Такие тесты распространены в формах входа в систему, формах регистрации учетной записи, онлайн-опросах и страницах оформления заказа в электронной коммерции.

Идея состоит в том, что компьютерная программа, такая как бот, не сможет интерпретировать искаженные буквы, в то время как человек, который привык видеть и интерпретировать буквы в самых разных контекстах — с разными шрифтами, разными почерками и т. Д. — обычно будет уметь их идентифицировать.

Лучшее, что могут сделать многие боты, — это ввести несколько случайных букв, что делает статистически маловероятным их прохождение теста. Таким образом, боты не проходят тест и не могут взаимодействовать с веб-сайтом или приложением, в то время как люди могут продолжать использовать его как обычно.

Продвинутые боты могут использовать машинное обучение для определения этих искаженных букв, поэтому такие тесты CAPTCHA заменяются более сложными. Google reCAPTCHA разработал ряд других тестов для отделения пользователей-людей от ботов.

 

Что такое reCAPTCHA?

reCAPTCHA — это бесплатная услуга, которую Google предлагает вместо традиционных CAPTCHA. Технология reCAPTCHA была разработана исследователями из Университета Карнеги-Меллона, а затем приобретена Google в 2009 году.

reCAPTCHA более продвинутый, чем типичные тесты CAPTCHA. Как и CAPTCHA, некоторые reCAPTCHA требуют, чтобы пользователи вводили изображения текста, которые компьютеры не могут расшифровать. В отличие от обычных CAPTCHA, reCAPTCHA получает текст из реальных изображений: изображения уличных адресов, текст из печатных книг, текст из старых газет и так далее.

Со временем Google расширил функциональность тестов reCAPTCHA, так что им больше не нужно полагаться на старый стиль определения размытого или искаженного текста. Другие типы тестов reCAPTCHA включают:

• Распознавание изображений
• Флажок
• Общая оценка поведения пользователя (без взаимодействия с пользователем)

 

Как работает тест reCAPTCHA с распознаванием изображений?

Для теста reCAPTCHA распознавания изображений пользователям обычно предоставляются 9 или 16 квадратных изображений. Все изображения могут принадлежать к одному и тому же большому изображению, или каждое может быть различным. Пользователь должен идентифицировать изображения, содержащие определенные объекты, такие как животные, деревья или уличные знаки. Если их ответ совпадает с ответами большинства других пользователей, представивших тот же тест, ответ считается «правильным», и пользователь проходит тест.

 

Выделение определенных объектов на размытых фотографиях — трудная задача для компьютера. Даже продвинутые программы искусственного интеллекта (AI) борются с этим — так что бот тоже будет бороться с этим. Однако человек-пользователь должен уметь делать это довольно легко, поскольку люди привыкли воспринимать повседневные объекты во всех контекстах и ​​ситуациях.

 

Как работают тесты reCAPTCHA с одним флажком?

Некоторые тесты reCAPTCHA просто предлагают пользователю установить флажок рядом с утверждением «Я не робот». Однако проверка — это не фактическое действие по установке флажка — это все, что приводит к установке флажка.

Этот тест reCAPTCHA учитывает движение курсора пользователя по мере приближения к флажку. Даже самое прямое движение человека имеет некоторую степень случайности на микроскопическом уровне: крошечные бессознательные движения, которые боты не могут легко имитировать. Если движение курсора содержит в себе часть этой непредсказуемости, тогда тест решает, что пользователь, вероятно, легитимен. ReCAPTCHA также может оценивать файлы cookie, хранящиеся браузером на пользовательском устройстве, и историю устройства, чтобы определить, может ли пользователь быть ботом.

Если тест по-прежнему не может определить, является ли пользователь человеком, он может представлять дополнительную проблему, такую ​​как тест распознавания изображения, описанный выше. Однако в большинстве случаев движения курсора пользователя, файлы cookie и история устройства достаточно убедительны.

 

Что позволяет работаеть reCAPTCHA без взаимодействия с пользователем?

Последние версии reCAPTCHA способны комплексно взглянуть на поведение пользователя и историю взаимодействия с контентом в Интернете. В большинстве случаев программа может решить, основываясь на этих факторах, является ли пользователь ботом, не предлагая пользователю выполнить задачу. Если нет, то пользователь получит типичный запрос reCAPTCHA.

 

Что инициирует запуск теста CAPTCHA?

Некоторые веб-ресурсы просто автоматически имеют CAPTCHA в качестве упреждающей защиты от ботов. В других случаях тест может запускаться, если поведение пользователя кажется похожим на поведение бота: например, если пользователи запрашивают веб-страницы или щелкают гиперссылки с гораздо большей частотой, чем в среднем.

 

Достаточно ли CAPTCHA и reCAPTCHA для остановки вредоносных ботов?

Некоторые боты могут обходить текстовые CAPTCHA самостоятельно. Исследователи продемонстрировали способы написать программу, которая также превосходит CAPTCHA распознавания изображений. Кроме того, злоумышленники могут использовать фермы кликов, чтобы пройти тесты: тысячи низкооплачиваемых работников решают CAPTCHA от имени ботов.

Кроме капчи, там должны быть и другие стратегии в месте для остановки нежелательных ботов (например, контент очищающих ботов , верительных начинку ботов , или спам — ботов).

 

Каковы недостатки использования CAPTCHA или reCAPTCHA для остановки ботов?

Плохое взаимодействие с пользователем: тест CAPTCHA может прервать поток того, что пользователи пытаются сделать, что даст им негативное представление о своем опыте использования веб-ресурса и в некоторых случаях приведет к тому, что они вообще откажутся от веб-страницы.

Не подходит для людей с ослабленным зрением: проблема с CAPTCHA заключается в том, что они полагаются на визуальное восприятие. Это делает их практически невозможными не только для слепых людей, но и для тех, у кого серьезно ослаблено зрение.

Боты могут обмануть эти тесты: как описано выше, CAPTCHA не полностью защищена от ботов, и на них нельзя полагаться при управлении ботами.

 

Есть ли альтернативы использованию CAPTCHA или reCAPTCHA?

Решения для управления ботами, такие как Cloudflare Bot Management, могут определять плохих ботов, не влияя на взаимодействие с пользователем, в зависимости от поведения бота. Таким образом, ботов можно уменьшить, не заставляя пользователей заполнять CAPTCHA.

 

Как CAPTCHA и reCAPTCHA связаны с проектами искусственного интеллекта (AI)?

Поскольку миллионы пользователей идентифицируют трудночитаемый текст и выделяют объекты на размытых изображениях, эти данные передаются в компьютерные программы AI, чтобы они также лучше справлялись с этими задачами.

В общем, компьютерные программы борются с идентификацией предметов и букв в разных контекстах, потому что в реальном мире контекст может меняться почти бесконечно. Например, знак «стоп» представляет собой красный восьмиугольник с белыми буквами «СТОП». Компьютерная программа могла довольно легко определить такое сочетание формы и слова. Однако знак остановки на фотографии может сильно отличаться от этого простого описания в зависимости от контекста: ракурса фотографии, освещения, погоды и т. Д.

Благодаря машинному обучению программы ИИ могут лучше преодолевать эти ограничения. В примере со знаком остановки программист должен передать программе ИИ кучу данных о том, что является знаком остановки, а что нет. Чтобы это было эффективно, им нужно множество примеров изображений со знаками остановки и изображений без знаков остановки, и им нужно, чтобы пользователи-люди идентифицировали их до тех пор, пока программа не соберет достаточно данных, чтобы быть эффективными.

CAPTCHA (капча) — что это такое и для чего используется

Главная / ЧАстые ВОпросы

21 января 2021

1. Капча — это защита от автоматического спама
2. Можно ли упростить прохождение CAPTCHA?

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Многие из вас только начиная свое знакомство с интернетом, кроме составляющих учетной записи (ник и логин\пароль), при регистрации также сталкиваются еще и с такой вещью, как капча.

Например, вас могли попросить ввести в поле те символы, что вы видите на расположенной выше картинке, или выполнить простейшее арифметическое действие. Иногда просят указать те картинки, где изображено что-то определенное. Все эти ребусы называют одним общим словом — CAPTCHA.

Но что это такое и зачем нужно? Слово капча образовано от английского исходника, который представляет из себя довольно сложную аббревиатуру. Приводить ее расшифровку я, думаю не стоит. Просто скажу в двух словах, что CAPTCHA — это специальный тест, призванный отличить действия человека от действий компьютера (программы, скрита). Другими словами, эта штука проводит верификацию пользователя на предмет его человечности.

Зачем это может понадобиться? Какие виды капч бывают? Исчезнут ли они когда-нибудь, чтобы не усложнять жизнь пользователям интернета? На эти вопросы я как раз и постараюсь ответить в этой заметке.

Капча — это защита от автоматического спама

В интернете существует очень много способов заработать себе на хлеб насущный. Многие из них являются легальными, а многие нет. Как раз к последним относятся взломы сайтов, рассылка спам-сообщений по блогам и форумам, массовая регистрация аккаунтов на различных сервисах и т.п.

Все эти способы заработка на первый взгляд кажутся малоэффективными (копеечными), но не торопитесь с выводами. Если рассылать спам, ломать сайты и регистрироваться где ни попадя будет не реальный человек, а программа, которая никогда не устанет, то это в корне меняет расклад. А если представить, что запускается она на тысячах чужих взломанных компьютерах (ресурсов которых не жалко), то заработать можно таким образом очень большие деньги.

Но от всего этого автоматического спама (когда грязную работу выполняет безустанная программа) уже довольно давно придумали защиту. Это капча! Разработали эту концепцию уже давно, как вариант реализации теста Тьюринга, способного достоверно определить кто именно проходит данный тест — человек или машина.

В идеале ребус заданный CAPTCHA с легкостью должен разгадывать практически любой человек, а вот компьютер на этом тесте должен забуксовать или вообще спасовать перед неразрешимой задачей. Так ли это на самом деле? Давайте посмотрим. Например, довольно сложно будет программе решить показанную на рисунке задачку, не правда ли? А человеку это будет совсем не сложно.

Однако, чаще всего используют буквенную или цифровую капчу, на которой надписи изображены не четко, а также присутствую различные помехи, которые как бы человеку особо задачу не усложняют (на самом деле все же усложняют, а иногда и до нервного срыва доводят), а вот автоматические системы распознавания текстов (есть целое направление софта, которое ориентировано на эти задачи, к примеру программы, помогающие оцифровывать книги в библиотеках) могут на этих помехах «споткнуться».

Однако и человеку доставляет мало радости разбираться где закорючка добавлена специально, а где она к букве относится. Иногда глядя на CAPTCHA, которую просят разгадать, вообще начинаешь думать — а надо ли мне здесь регистрироваться (оставлять комментарий) или ну его на фиг!

С другой стороны, «редиски» зарабатывающие описанным выше способом тоже не лыком шиты и у них на вооружении есть ряд инструментов, которые позволяют таки обойти капчу, поэтому ее и усложняют повышая тем самым ее непробиваемость.

В некоторых случаях кому-то бывает выгодно использовать человеческое распознавание капч на потоке. Этой цели например служит биржа Рукапча и сервис для заработка КолотиБабло, где все желающие могут заработать на вводе CAPTCHA, а заказы поступают от тех, кому такие распознавания нужны в больших количествах (например, с сервиса Anti Captcha).

Но несомненно, что наличие этой защиты все равно существенно снижает эффективность атак и отсекает большую часть потоков спама, льющегося в интернете нескончаемым потоком. Хотелось бы, конечно, обойтись без этих ребусов, на которых теряется часть посетителей, но не получается пока.

Можно ли упростить прохождение CAPTCHA? Оказывается да!

Хотя, безусловно, шаги в нужном направлении уже совершаются. Один из лидеров онлайн-бизнеса (вряд ли вам известная компания Google 🙂 ) примерно год назад существенно упростила свою капчу (они ее называют reCAPTCHA), сделав ее прохождение наверное самым простым из возможных вариантов. Судите сами. Так выглядела CAPTCHA от Гугла раньше:

А так она выглядит сейчас:

Насколько проще поставить одну единственную галочку, а не разгадывать буквенный ребус и не искать в темноте нужные клавиши на клавиатуре (капчи ведь чаще всего именно английскими буквами вводятся).

В общем сделан шаг в нужном направлении, и по мере распространения именно этого вида защиты будет упрощаться жизнь пользователей интернета (лично я именно reCAPTCHA использую для защиты своих комментариев — можете сами ее опробовать прокрутив эту страниц вниз до конца).

Удачи вам! До скорых встреч на страницах блога KtoNaNovenkogo.ru

Использую для заработка

Как обойти капчу при парсинге сайтов?

Первую капчу сделал Google, это был искаженный текст, который, тем не менее, читался людьми. Потом Google представил reCaptcha с использованием изображений, таких как светофоры, пожарные гидранты, пешеходные переходы, лестницы и дымоходы. ReCaptcha V1 исчерапала свой ресурс и была закрыта, зато в 2018 году заработали ReCaptcha V2 и V3. Сейчас различные типы ReCaptcha имеют свои специфические особенности:

1. ReCaptcha V2 просит пользователя нажать на чекбокс.
2. Невидимая форма ReCaptcha V2 начинает работать при подозрительной активности на веб-сайте. Владелец сайта получает предупреждение, а затем выбирает, как справиться с ситуацией.
3. ReCaptcha V3 – это улучшенная непобедимая ReCaptcha. Она анализирует взаимодействие между пользователем и браузером, составляет отпечаток устройства, и отправляет его сайту.

При принятии решения о том, как обрабатывать подозрительные действия на сайте, его владелец может заблокировать подозрительного пользователя, ничего не делать, запросить дополнительную аутентификацию или занести IP-адрес в черный список. 

Как работает ReCaptcha? Кроме разгадывания картинок, ReCaptcha добавляет файлы cookie и собирает “отпечатки” устройства – создает профиль клиента (fingerprinting).

Усовершенствованные профили позволяют анализировать движения мыши и аудиосигналы, полученные с устройства. Что тогда нужно сделать, чтобы обойти ReCaptcha? Использование реального IP-адреса от хорошего прокси-сервера – отличный первый шаг.

Обход ReCaptcha

Реальный IP идеально подходит для использования, если вы хотите обойти ReCaptcha. Живые IP-адреса могут быть либо меняющимися, либо статичными, постоянными. Меняющиеся IP-адреса принадлежат реальным пользователям, и они чередуются каждый раз, когда определенный IP-адрес больше не используется. Статический IP, с другой стороны, является постоянным и выдается провайдером для коммерческого использования. Статический IP-адрес похож на меняющийся только тем, что он используется одним клиентом, купившим его, и поэтому никогда не меняется. Если вы посещаете какие-то социальные сети и сайты продажи билетов, лучше использовать статический IP-адрес, поскольку сайт проверяет постоянство IP-адреса для учетной записи.

Многие сайты используют ReCaptcha на важных страницах – для регистрации или при публикации информации. Для них работает так называемый “водопад” – вы начинаете с отправки запросов с использованием IP-адресов центров обработки данных, а затем, сканируя нужные конфиденциальные страницы, меняете их на живые IP-адреса. Такой водопад может обеспечить высокий уровень успеха и сэкономить ваши средства. Примером этого процесса может быть отправка запросов через центр обработки данных. Если отправка запроса не удалась, он отправляется через внешнюю доверенную сеть. Если это так же не удается, запрос автоматически направляется через мобильную сеть.

Другой способ использования метода водопада – это маршрутизация запросов через разные географические точки. Это полезно при просмотре сайтов электронной коммерции со страницами продуктов и ReCaptcha. Изменение IP-адреса с одного места на другое может помочь преодолеть ReCaptcha.

Теперь мы обсудим процесс реализации правила изменения URL для переключения между сетями. Важно, чтобы каждому прокси-порту в LPM был назначен отдельный тип сети. Как только это будет сделано и порты будут готовы, вам нужно создать правило, которое будет срабатывать при запросе целевого URL-адреса, и переключать IP-адрес на внешний. В раскрывающемся списке действий выберите «повторить попытку с новым прокси-портом», и он начнет маршрутизацию водопада. В разделе повторных попыток с раскрывающимся списком выберите порт, который вы хотите использовать с новым адресом.

Некоторые простые сайты просто анализируют профиль браузера, его заголовок, и запускают невидимую ReCaptcha. Чтобы предотвратить и обойти это, отправляйте настоящий заголовок браузера и меняйте его для каждого запроса. Вы можете установить значения заголовков браузера на вкладке заголовков в настройках каждого прокси-порта. Если хотите, можете вручную добавить параметры заголовков, включая cookie, accept-language и т.п., введя имя и значение в соответствии с требованиями целевого сайта.

Если вы работаете с API-интерфейсом прокси-менеджера, вы можете установить требуемые заголовки, создав новый прокси-сервер, отправив запрос POST или обновив порт прокси-сервера с помощью запроса PUT при отправке JSON файла конфигурации для порта. В файле конфигурации есть соответствующий массив заголовков с именами и значениями полей заголовка. Например, для определенного сайта вы добавите «cookie» в поле имени, а в поле «значение» – строку для самого куки. При этом вы можете включать одинаковые или разные значения файлов cookie для каждого запроса, одновременно получая различные значения файлов cookie из баз данных файлов cookie, которые относятся к вашему целевому сайту.

То же самое можно сделать в Puppeteer или Selenium, добавив заголовки браузера в ваш код. Хорошей манипуляцией с прокси является разрешение DNS на стороне партнера, а не на стороне супер-прокси. DNS преобразует IP-адрес в URL, и преимущество разрешения DNS на стороне супер-прокси является скорость выполнения запросов. Разрешение на стороне партнера приводит к большей анонимности, особенно когда вы используете бот или сканер. Вы можете разрешить DNS, перейдя на вкладку «Скорость запроса» в менеджере прокси и выбрав удаленное разрешение по пиру в поле поиска DNS.

Некоторые целевые сайты, которые используют ReCaptcha V3 или используют сложные функции анализа, могут создавать отпечатки – собирать данные о движении мыши, рендеринге webRTC, анализировать аудиосигнал и многое другое. Анализ звука можно преодолеть, добавив шум к вашему запросу. Используйте инструмент преобразования текста в речь, чтобы создать нужное аудио, а затем включить его в свой запрос.

Когда запрос содержит звуковую часть, вы заметите, что ReCaptcha V3 отсутствует. Вы также можете добавить другие параметры отпечатка – создать профиль браузера с несколькими входами в систему, холст (canvas), статический шум, WebGL и т.д. Если вы хотите преодолеть ReCaptcha во время сканирования и не прерывать процесс, начните с изменения IP при появлении ReCaptcha. Вы можете сделать это на вкладке правил прокси-менеджера, создав новое правило. Установите триггер на «HTML body element» и для сканируемой строки введите любое слово, которое появляется в консоли браузера. После этого выберите «Повторить попытку с новым IP» и укажите количество повторных попыток, а затем проверьте правило.

Другой вариант обхода капчи заключается в том, чтобы на самом деле решить ее с помощью стороннего сервиса, такого как 2captcha или anti-captcha. Эти две платформы используют реальных людей, которые решают задачи вручную и отправляют вам результаты, после чего вы продолжаете работу. Использование сервисов для определения капчи – не очень удобный вариант, потому что вам придется обнаруживать наличие капчи, а затем подключать сложный API для отправки запроса на решение. Основная проблема при использовании этих сервисов – время отклика. Для того, чтобы капча была решена и отправлена ​​вам, в среднем требуется от 40 до 60 секунд.

Что надо знать об обходе капчи при парсинге сайтов

Капчи раздражают большинство пользователей, и вы наверняка сталкивались с некоторыми из них, пытаясь получить доступ к некоторой информации. Это те сложно читаемые символы, которые вас просят ввести в текстовое поле. При парсинге данных и использовании ботов с ними непросто иметь дело, поэтому вам необходимо более подробно изучить механизмы их работы.

1. Понимание капчи

CAPTCHA – это аббревиатура, обозначающая “Полностью автоматизированный общедоступный тест Тьюринга для различения компьютеров и людей” (Completely Automated Public Turin test to tell Computers and Humans Apart). Это тест используется в вычислительной технике, чтобы отличать живых пользователей от роботов, и широко применяется в Интернете. Вы так или иначе сталкиваетесь с ним либо при совершении покупок в Интернете, либо при входе на сайт, либо в некоторых других ситуациях.

Цель капчи состоит в том, чтобы задавать вопросы и ставить задачи, с которыми компьютеры не могут справиться, а живые пользователи могут. Это, например, строка с символами, испорченными до неузнаваемости. Хотя они выглядят страшно искаженными, люди могут легко разобрать буквы, но для компьютеров они становятся большой проблемой, и именно поэтому тест работает. Даже если вы используете очень сложную автоматизированную систему, которая может сканировать изображения с текстом и распознавать слова в нем, все равно с такими специально испорченными строками у нее будут большие проблемы.

Виды капчи

Существуют различные типы каптч, наиболее распространенными и наиболее встречающимися из них являются текстовая капча, капча, основанная на изображениях, и аудиозапись.

Текстовые капчи обычно состоят из двух частей. Первая – это последовательность случайно сгенерированных символов (цифр и/или букв), которые выглядят искаженными, вторая – текстовое поле. В этом тесте нужно ввести правильные символы в текстовое поле, чтобы доказать, что вы человек.

Некоторые боты могут также пройти этот тест, поэтому для повышения сложности существуют математические капчи. Это простая математическая задача, которую каждый может решить с помощью легко читаемых чисел.

Капчи на основе изображений – другой тип, который использует изображения животных, людей, природных объектов или других случайных объектов вместо текстов, чтобы подтвердить, что пользователь – человек, а не бот. Чтобы пройти тест, пользователи должны выбрать правильные изображения, которые им предлагается идентифицировать, или дополнить изображение недостающим фрагментом, перетащив блок на неполную картинку.

Еще есть звуковые капчи. Эти тесты используют случайные слова или числа из записей в комбинированной форме и добавляют немного шума в звук. Чтобы доказать, что вы человек, вы должны ввести услышанные в записи слова или цифры. С этим типом капчи сложнее всего бороться по сравнению с текстовыми или графическими.

Как работать с капчами во время парсинга

Использование таких систем защиты на сайтах должно гарантировать, что там, где происходят важные взаимодействия с пользователями, люди являются людьми, а не ботами. Примеры таких ситуаций – вход на сайт или оплата услуг и товаров.

Captcha также затрудняет извлечение информации для ботов и спамеров. Она предотвращает недопустимое поведение и спам. Как только бот обнаружен, IP-адрес банится, и у него больше нет доступа к сайту. Поэтому, чтобы обойти эту проблему, вам нужно использовать прокси, чтобы вы могли оставаться анонимными и иметь постоянный доступ к нужному ресурсу.

Во время парсинга веб-страниц важно справляться с капчами, потому что они, в случае появления, будут препятствовать работе краулеров. Лучший способ справиться с капчей – это избежать ее, и есть несколько советов, которые помогут вам в этом.

Действовать как человек, даже если вы используете ботов, – это хороший способ предотвратить появление капчи. Учитывая это, вы должны стараться парсить сайт не слишком часто и понемногу. Однако на страницах входа все равно капчи появляются часто, и их никак нельзя избежать. Вы можете вручную решить такие капчи с помощью Octoparse.

Если вы занимаетесь парсингом и используете собственные сканеры, есть средства для обхода капчи, которые вы можете интегрировать в свой код. Примерами являются Bypass CAPTCHA и Death by CAPTCHA. Эти два сервиса позволяют вам подключаться через API и автоматически решать задачи во время скрапинга. Эти инструменты могут решить и CAPTCHA и ReCaptcha.

Расширения для веб-браузеров, которые умеют обходить и решать капчу

Подразумевается, что компьютеры CAPTCHA решить не могут, но людь их понять способны. Это не всегда так, потому что даже людям с хорошим зрением иногда трудно увидеть, что там написано. Некоторые типы капчи могут быть очень раздражающими, как, например, Google Recaptcha. Здесь вы не просто решаете одну головоломку, но иногда вам нужно решить до четырех головоломок последовательно. Если вы ошибетесь, придется начать заново – пока вы все не решите правильно, и это может быть очень раздражающим.

Имея дело с капчей, вы можете использовать расширение для браузера, которое решает его за вас и избавляет от стресса, связанного с самостоятельным прохождением этого теста. Это будет особенно полезно для тех, кому трудно правильно распознать капчу, расширение сэкономит ваше время и избавит от напряжения.

AntiCaptcha

AntiCaptcha – популярный и рекомендуемый сервис решения CAPTCHA. Расширение доступно для браузеров Chrome и Firefox, и является платным сервисом. AntiCaptcha может автоматически решать Google ReCaptcha, FunCaptcha, GeeTest и ряд других. Для работы вам просто надо кликнуть правой кнопкой мыши на текстовом поле и выбрать «Найти и решить капчу» или использовать сочетание клавиш Ctrl + Shift + 6.

Решение капч в среднем занимает от 5 до 20 секунд, а ReCaptcha занимает в среднем от 30 до 60 секунд.

Buster: Captcha Solver for Humans

Buster – это бесплатное расширение с открытым исходным кодом, которое решает ваши капчи без какой-либо оплаты. Оно решает звуковые капчи с помощью распознавания речи. Однако его недостатком является то, что его можно использовать только для решения проблемы Google ReCaptcha. Но поскольку это очень распространенная форма капчи, вам, скорее всего, этого расширения хватит для всех задач. Buster совместим с браузерами Chrome, Firefox и Opera.

Использовать Buster Captcha Solver очень просто. Расширение работает всего в несколько кликов. Когда всплывет ReCaptcha, вы нажимаете «Я не робот», чтобы открыть доступ к вариантам испытаний. Внизу появится зеленый и оранжевый значок, нажав на него вы откроете окно голосовой проверки и сможете с помощью Buster начать его решение. Buster решает все довольно быстро – обычно на один тест уходит менее 30 секунд.

Пока Buster решает, вы будете видеть в окне круглый значок. Он исчезнет, если расширение решит задачу, но в случае неудачи просто нужно будет получить новую запись, нажав на крайнюю левую иконку.

Rumola 

Rumola Captcha Solver работает с капчами, где вам нужно вводить слова, цифры или решать математические задачи. Оно не может решить Google ReCaptcha или капчи на основе изображений. Rumola может автоматически искать капчи после загрузки страницы, и вы можете отключить эту опцию в меню расширений вашего браузера.

Когда на странице обнаружена капча, Rumola накладывает небольшой значок на изображение и текстовое поле для ответа. То, что вам нужно сделать, это дважды щелкнуть внутри пустого текстового поля, и Rumola получит управление и начнет решить капчу. Если капча не обнаружена, можно попробовать найти ее самостоятельно или через меню расширений.

Если и после поиска на странице ничего не обнаруживается, можно щелкнуть правой кнопкой мыши на изображении и выбрать «Распознать это изображение как капчу». Если всплывающая небольшая иконка не станет анимированной, кликните правой кнопкой мыши на текстовом поле ответа и выберите «использовать это поле для ввода капчи». Один из указанных вариантов распознает и решит вашу капчу за 5-10 секунд.

Rumola – платный сервис по поиску капчи, и при первой установке вы получаете 5 бесплатных кредитов, которые вы можете использовать для тестирования.

Recaptcha Solver

Этот “агрегатор” не принадлежит какой-либо конкретной компании. Перед использованием этого расширения вам необходимо зарегистрироваться и приобрести кредиты у DeathByCaptcha, 2captcha, ImageTypers, Anti-Captcha, BestCaptchaSolver или EndCaptcha. После покупки вы можете выбрать службу капчи в раскрывающемся меню и ввести либо ключ API, либо имя пользователя и пароль.

Выводы

Ввод капчи является проблемой для многих пользователей интернета, особенно для тех, кто занимается парсингом веб-страниц, так как сканеры не могут распознать символы и самостоятельно пройти тесты. Это блокирует весь процесс получения данных и защищает сайт от извлечения информации. Капчи – это не только неприятность для ботов, но и проблема для реальных людей, пусть даже с хорошим зрением,. Вот почему существует большая необходимость в обходе капч и эффективном их решении..

Почему CAPTCHA стали такими сложными

В какой-то момент прошлого года постоянные запросы Google доказать, что я человек, стали становиться все более агрессивными. Все чаще и чаще за простой, немного слишком милой кнопкой с надписью «Я не робот» следовали требования доказать это — путем выбора всех светофоров, пешеходных переходов и витрин в сетке изображений. Вскоре светофоры утонули в далекой листве, пешеходные переходы искривлены и повернуты за угол, вывески на фасаде магазина расплывчаты и на корейском языке.Есть что-то однозначно удручающее в том, что вас просят определить пожарный гидрант и что с ним не удается справиться.

Эти тесты называются CAPTCHA, аббревиатура от полностью автоматизированного общедоступного теста Тьюринга, позволяющего отличить компьютеры от людей, и они уже достигли такого плато непостижимости. В начале 2000-х простых изображений текста было достаточно, чтобы сбить с толку большинство спам-ботов. Но десять лет спустя, после того как Google купил программу у исследователей Карнеги-Меллона и использовал ее для оцифровки Google Книг, тексты пришлось все больше искажать и скрывать, чтобы не отставать от улучшенных программ оптического распознавания символов — программ, которые окольными путями, все люди, решающие капчи, помогали совершенствоваться.

Все эти навесы, которые могут быть, а могут и не быть витринами? Это финал гонки вооружений человечества с машинами.

Поскольку CAPTCHA — это такой элегантный инструмент для обучения ИИ, любой конкретный тест может быть только временным, что изначально признали его изобретатели. Со всеми этими исследователями, мошенниками и обычными людьми, решающими миллиарды головоломок на пороге возможностей ИИ, в какой-то момент машины должны были пройти мимо нас. В 2014 году Google противопоставил один из своих алгоритмов машинного обучения людям, решая самые искаженные текстовые CAPTCHA: компьютер прошел тест правильно 99.8 процентов времени, в то время как люди получали всего 33 процента.

Затем Google перешел на NoCaptcha ReCaptcha, который отслеживает пользовательские данные и поведение, позволяя некоторым людям пройти через них, нажав кнопку «Я не робот», и представляет другим маркировку изображений, которые мы видим сегодня. Но машины снова догоняют. Все эти навесы, которые могут быть витринами, а могут и не быть? Это финал гонки вооружений человечества с машинами.

Джейсон Полакис, профессор информатики в Университете Иллинойса в Чикаго, лично отмечает недавнее увеличение сложности CAPTCHA.В 2016 году он опубликовал статью, в которой использовал стандартные инструменты распознавания изображений, в том числе собственный поиск Google по обратным изображениям, для решения CAPTCHA Google с изображениями с точностью 70%. Другие исследователи справились с задачами Google Audio CAPTCHA, используя собственные программы распознавания звука.

По словам Полакиса, сегодня машинное обучение

примерно так же хорошо, как люди, справляется с базовыми задачами распознавания текста, изображений и голоса. На самом деле, алгоритмы, вероятно, лучше справляются с этим: «Мы находимся на этапе, когда усложнение программного обеспечения в конечном итоге делает его слишком сложным для многих людей.Нам нужна альтернатива, но конкретного плана пока нет ».

Проблема многих из этих тестов не обязательно в том, что боты слишком умны, а в том, что люди их отстой

Литература по CAPTCHA изобилует фальстартами и странными попытками найти что-то, кроме текста или распознавания изображений, в чем люди универсально хороши, а машины с которыми борются. Исследователи пытались попросить пользователей классифицировать изображения людей по выражению лица, полу и этнической принадлежности.(Вы можете себе представить, как хорошо это прошло.) Были предложения по пустяковым CAPTCHA и CAPTCHA, основанным на детских стишках, распространенных в области, где якобы вырос пользователь. Такие культурные CAPTCHA нацелены не только на ботов, но и на людей, работающих на зарубежных фермах CAPTCHA, решающих головоломки за доли цента. Люди пытались заблокировать распознавание изображений, прося пользователей идентифицировать, скажем, свиней, но при этом создавая карикатуры на свиней и давая им солнцезащитные очки. Исследователи попросили пользователей идентифицировать объекты в пятнах, похожих на Magic Eye.В 2010 году исследователи предложили использовать CAPTCHA для индексации древних петроглифов, поскольку компьютеры не очень хорошо расшифровывают жесты оленей, нацарапанные на стенах пещер.

Недавно были предприняты попытки разработать похожие на игры CAPTCHA, тесты, которые требуют, чтобы пользователи поворачивали объекты на определенные углы или перемещали части головоломки в нужное положение, с инструкциями, которые даются не в тексте, а в символах или подразумеваются контекстом игрового поля. Есть надежда, что люди поймут логику головоломки, но компьютеры, не имеющие четких инструкций, будут поставлены в тупик.Другие исследователи пытались использовать тот факт, что у людей есть тела, используя камеры устройств или дополненную реальность для интерактивного доказательства человечности.

Проблема многих из этих тестов не обязательно в том, что боты слишком умны, а в том, что люди с ними плохо справляются. И дело не в том, что люди глупы; дело в том, что люди очень разнообразны по языку, культуре и опыту. Как только вы избавитесь от всего этого, чтобы провести тест, который может пройти любой человек , без предварительной подготовки или особых размышлений, у вас останутся грубые задачи, такие как обработка изображений, именно то, что будет делать индивидуальный ИИ. хорош в.

«Тесты ограничены человеческими возможностями», — говорит Полакис. «Дело не только в наших физических возможностях, вам нужно что-то, что [может] кросс-культурное, кросс-языковое. Вам нужен вызов, который подходит для кого-то из Греции, кого-то из Чикаго, кого-то из Южной Африки, Ирана и Австралии одновременно. И он должен быть независимым от культурных сложностей и различий. Вам нужно что-то, что легко для обычного человека, это не должно быть привязано к определенной подгруппе людей, и в то же время это должно быть сложно для компьютеров.Это очень ограничивает то, что вы на самом деле можете сделать. И это должно быть что-то, что человек может делать быстро, и это не слишком раздражает ».

Выяснение того, как исправить эти викторины с расплывчатыми изображениями, быстро приведет вас к философской территории: какое универсальное человеческое качество можно продемонстрировать машине, но которое не может имитировать никакая машина? Что значит быть человеком?

Но, возможно, наша человечность измеряется не тем, как мы выполняем задачу, а тем, как мы перемещаемся по миру — или, в данном случае, через Интернет.Игровые CAPTCHA, видео CAPTCHA, любой тест CAPTCHA, который вы придумаете, в конечном итоге будет сломан, говорит Шуман Гхосемаджумдер, который ранее работал в Google по борьбе с мошенничеством с кликами, прежде чем стать техническим директором компании Shape Security, занимающейся обнаружением ботов. Вместо тестов он предпочитает так называемую «непрерывную аутентификацию», по сути наблюдая за поведением пользователя и ища признаки автоматизации. «Настоящий человек не очень хорошо контролирует свои моторные функции, и поэтому он не может двигать мышью одним и тем же способом более одного раза при нескольких взаимодействиях, даже если они очень стараются», — говорит Гхосемаджумдер.«Хотя бот будет взаимодействовать со страницей, не двигая мышью или очень точно перемещая мышь, человеческие действия имеют« энтропию », которую трудно подделать, — говорит Гхосемаджумдер.

Команда Google, занимающаяся CAPTCHA, думает в том же духе. Последняя версия reCaptcha v3, анонсированная в конце прошлого года, использует «адаптивный анализ рисков» для оценки трафика в зависимости от того, насколько он кажется подозрительным; Затем владельцы веб-сайтов могут решить бросить вызов сомнительным пользователям, например запрос пароля или двухфакторную аутентификацию.Google не сказал бы, какие факторы влияют на эту оценку, кроме того, что Google наблюдает, как выглядит группа «хорошего трафика» на сайте, по словам Сай Хормаи, менеджера по продукту в команде CAPTCHA, и использует это для определения « плохое движение. » Исследователи безопасности говорят, что это, скорее всего, сочетание файлов cookie, атрибутов браузера, шаблонов трафика и других факторов. Одним из недостатков новой модели обнаружения ботов является то, что она может сделать навигацию в Интернете, сводя к минимуму слежку, раздражающим занятием, поскольку такие вещи, как VPN и расширения для защиты от отслеживания, могут пометить вас как подозрительных и проблемных.

«Я думаю, люди понимают, что существует приложение для моделирования обычного человека-пользователя … или глупых людей».

Аарон Маленфант, руководитель отдела разработки CAPTCHA в Google, говорит, что отказ от тестов Тьюринга призван обойти конкуренцию, которую люди продолжают проигрывать. «По мере того как люди вкладывают все больше и больше средств в машинное обучение, эти задачи будут становиться все сложнее и сложнее для людей, и именно поэтому мы запустили CAPTCHA V3, чтобы опередить эту кривую.Маленфант говорит, что через пять-десять лет проблемы с CAPTCHA, скорее всего, вообще не будут жизнеспособны. Вместо этого большая часть Интернета будет иметь постоянный секретный тест Тьюринга, работающий в фоновом режиме.

В своей книге « Самый гуманный человек » Брайан Кристиан принимает участие в конкурсе по тесту Тьюринга как человек-фольга и обнаруживает, что на самом деле довольно сложно доказать свою человечность в разговоре. С другой стороны, создатели ботов обнаружили, что это легко пройти, не будучи самым красноречивым или умным собеседником, а уклоняясь от вопросов с шутками, не имеющими смысла, делая опечатки или в случае с ботом, который выиграл соревнование Тьюринга в 2014 году. , утверждающий, что он 13-летний украинский мальчик, плохо владеющий английским языком.В конце концов, человеку свойственно ошибаться. Возможно, подобное будущее ожидает CAPTCHA, наиболее широко используемый тест Тьюринга в мире — новая гонка вооружений, чтобы не создавать ботов, которые превосходят людей в маркировке изображений и синтаксическом анализе текста, а ботов, которые делают ошибки, пропускают кнопки, отвлекаются. и переключать вкладки. «Я думаю, что люди понимают, что существует приложение для моделирования обычного человека-пользователя … или глупых людей», — говорит Гхосемаджумдер.

тестов CAPTCHA тоже могут сохраняться в этом мире. В 2017 году компания Amazon получила патент на схему, включающую оптические иллюзии и логические головоломки, которые людям очень трудно расшифровать.Этот тест называется тестом Тьюринга через неудачу, единственный способ пройти — получить неправильный ответ.

Официальный сайт CAPTCHA

CAPTCHA — это программа, которая защищает веб-сайты от ботов, генерируя и оценивая тесты, которые люди могут пройти, но современные компьютерные программы не могут. Например, люди могут читать искаженный текст, как показано ниже, но современные компьютерные программы не могут: Термин CAPTCHA (полностью автоматизированный общедоступный тест Тьюринга для различения компьютеров и людей) был придумана в 2000 году Луисом фон Ан, Мануэлем Блюмом, Николас Хоппер и Джон Лэнгфорд из Университета Карнеги-Меллона. Бесплатная, безопасная и доступная реализация CAPTCHA доступна в проекте reCAPTCHA . Простые в установке плагины и элементы управления доступно для WordPress, MediaWiki, PHP, ASP.NET, Perl, Python, Java и многие другие среды. reCAPTCHA также поставляется с аудиотестом, чтобы убедиться, что слепые пользователи могут свободно перемещаться по вашему сайту. reCAPTCHA официально рекомендована Реализация CAPTCHA. reCAPTCHA . Остановите спам и помогите оцифровывать книги одновременно! Показанные слова взяты непосредственно из старых книг, которые переводятся в цифровую форму. СКВИГЛ-ПИКС . Наша новейшая CAPTCHA! ESP-PIX . Скрипт CAPTCHA, который нам близок. Вместо того, чтобы вводить письма, вы подтверждаете себя как человек распознавая, какой объект является общим в наборе изображений. Это был первый пример CAPTCHA, основанного на распознавании изображений. Наш новый сайт duolingo.com предлагает вам возможность изучать языки на 100% бесплатно, помогая переводить Интернет. У CAPTCHA есть несколько приложений для практической безопасности, включая (но не ограничиваясь): Предотвращение спама в комментариях в блогах. Большинство блоггеров знакомы с программами, которые отправляют фальшивые комментарии, обычно с целью повышение рейтинга некоторых веб-сайтов в поисковых системах (например, «купите здесь копеечные акции»). Это называется спамом в комментариях. Используя CAPTCHA, только люди могут войти комментарии в блоге. Нет необходимости заставлять пользователей регистрироваться до того, как они введут комментарий, и никакие законные комментарии не принимаются. когда-либо потеряно! Защита регистрации на сайте. Несколько компаний (Yahoo !, Microsoft и др.) Предлагают бесплатные услуги электронной почты. Еще несколько лет назад большинство этих сервисов подвергалось атакам определенного типа: «боты», которые подписывались на тысячи учетных записей электронной почты каждую минуту. Решением этой проблемы было использование CAPTCHA, чтобы гарантировать, что только люди получить бесплатные аккаунты. Как правило, бесплатные сервисы должны быть защищены CAPTCHA, чтобы предотвратить злоупотребления со стороны автоматизированные скрипты. Защита адресов электронной почты от парсеров. Спамеры сканируют Интернет в поисках адресов электронной почты, размещенных в открытом виде. CAPTCHA — это эффективный механизм, позволяющий скрыть ваш адрес электронной почты от веб-парсеров. Идея состоит в том, чтобы потребовать от пользователей решите CAPTCHA, прежде чем показывать свой адрес электронной почты. Бесплатную и безопасную реализацию, использующую CAPTCHA для обфускации адреса электронной почты, можно найти на reCAPTCHA. ПочтаСкрыть. Онлайн-опросы. В ноябре 1999 г. http://www.slashdot.org опубликовал онлайн-опрос, в котором лучшая аспирантура по информатике (опасный вопрос в сети!).Как и в случае с большинством онлайн-опросы IP-адреса избирателей записывались, чтобы отдельные пользователи не могли проголосовать более одного раза. Однако студенты Карнеги-Меллона нашли способ набить бюллетени с помощью программ, которые голосовали за CMU тысячами раз. Оценка CMU начала быстро расти. На следующий день студенты Массачусетского технологического института написали свою программу, и результаты опроса стали соревнование между голосующими «ботами». Массачусетский технологический институт закончил с 21 156 голосами, Карнеги-Меллон с 21 032 голосами и все остальные школы. с менее чем 1000.Можно ли доверять результату любого онлайн-опроса? Нет, если только опрос не подтвердит, что только люди могут голосование. Предотвращение словарных атак. CAPTCHA также могут использоваться для предотвращения атак по словарю в пароле. системы. Идея проста: запретить компьютеру перебирать все пространство паролей путем требуя от него решения CAPTCHA после определенного количества неудачных входов в систему. Это лучше, чем классический подход блокировка учетной записи после серии неудачных входов в систему, поскольку это позволяет злоумышленнику заблокировать учетные записи по своему усмотрению. Поисковые боты. Иногда желательно, чтобы веб-страницы оставались неиндексированными, чтобы другие не могли их найти их легко. Существует тег html для предотвращения чтения веб-страниц роботами поисковых систем. Однако тег не гарантировать, что боты не будут читать веб-страницу; он служит только для того, чтобы сказать «пожалуйста, никаких ботов». Боты поисковых систем, так как они обычно принадлежат крупным компаниям, уважайте веб-страницы, которые не хотят их впускать. Однако для того, чтобы по-настоящему гарантия того, что боты не зайдут на сайт, необходимы CAPTCHA. Черви и спам. CAPTCHA также предлагают надежное решение против почтовых червей и спама: «Я принимайте электронные письма только в том случае, если я знаю, что за другим компьютером стоит человек ». Некоторые компании уже продвигают эту идею. Если ваш сайт нуждается в защите от злоупотреблений, рекомендуется использовать CAPTCHA. Существует множество реализаций CAPTCHA, некоторые из которых лучше, чем другие. Следующие правила настоятельно рекомендуются для любого кода CAPTCHA: Доступность. CAPTCHA должны быть доступны. CAPTCHA, основанные исключительно на чтении текста или других задачи визуального восприятия — предотвращение доступа слабовидящих пользователей к защищенному ресурсу. Такие капчи может сделать сайт несовместимым с Разделом 508 в США. Любая реализация CAPTCHA должна позволять слепой пользователей, чтобы обойти барьер, например, разрешив пользователям выбирать звуковую или звуковую CAPTCHA. Безопасность изображений. CAPTCHA изображения текста должны быть случайным образом искажены перед показом пользователю.Многие реализации CAPTCHA используют неискаженный текст или текст с незначительными искажениями. Эти реализации уязвимы для простых автоматических атак. Безопасность скриптов. Создать безопасный код CAPTCHA непросто. Помимо того, что изображения не читаются компьютеров, система должна гарантировать, что не существует простых способов обойти это на уровне сценария. Общие примеры К уязвимостям в этом отношении относятся: (1) Системы, которые передают ответ на CAPTCHA в виде простого текста как часть сети форма.(2) Системы, в которых решение одной и той же CAPTCHA может использоваться несколько раз (это делает CAPTCHA уязвимым для так называемые «атаки повторного воспроизведения»). Большинство скриптов CAPTCHA, которые можно найти в свободном доступе в Интернете, уязвимы для этих типов атак. Безопасность даже после широкого распространения. Существуют различные «CAPTCHA», которые будут небезопасными, если значительное количество сайтов начали их использовать. Примером такой головоломки является задание текстовых вопросов, таких как математический вопрос («что такое 1 + 1»).Поскольку можно легко написать парсер, который позволил бы ботам обойти это проверки, такие «CAPTCHA» основаны на том факте, что их используют немногие сайты, и поэтому у автора бота нет стимула для запрограммируйте своего бота на решение этой задачи. Настоящие CAPTCHA должны быть безопасными даже после значительного количества веб-сайтов. принять их. Стоит ли делать собственную капчу? В общем, создание собственного сценария CAPTCHA (например, с использованием PHP, Perl или .Net) — плохая идея, так как есть много ошибок. режимы.Мы рекомендуем вам использовать хорошо протестированная реализация, такая как reCAPTCHA. Иногда слухи, что спамеры используют порнографические сайты для решения CAPTCHAs: капча изображения отправляются на порносайт, и порно пользователи сайта спросил решить CAPTCHA, прежде чем он сможет увидеть порнографические изображения. Это не проблема безопасности для CAPTCHA . Хотя может случиться так, что некоторые спамеры используют порно сайты для атаки CAPTCHA, ущерб, который это может нанести, крошечный (настолько крошечный, что мы даже не заметили вмятины!).В то время как написать бота, который миллионы раз в день злоупотребляет незащищенным сайтом, перенаправляя CAPTCHA для решения людьми, просматривающими порнография только позволит спамерам злоупотреблять системы несколько тысяч раз в день. Экономика этой атаки просто не складывается: каждый раз, порно шоу сайта проверки по слову перед порно изображения, они рискуют потерять клиента на другой сайт, который не делает этого. Тесты CAPTCHA основаны на открытых проблемах искусственного интеллекта (AI): например, декодирование изображений искаженного текста выходит за рамки возможностей современные компьютеры.Таким образом, CAPTCHA также ставят перед сообществом ИИ четко определенные задачи и способствуют обеспечению безопасности. исследователи, а также программисты-злоумышленники, работающие над развитием ИИ. Таким образом, CAPTCHA — беспроигрышная ситуация: либо CAPTCHA не сломан, и есть способ отличить людей от компьютеров, или CAPTCHA не работает, и проблема ИИ решена. Луис фон Ан, Бен Маурер, Колин МакМиллен, Дэвид Абрахам и Мануэль Блюм. reCAPTCHA: распознавание персонажей с помощью средств веб-безопасности.В Наука. Дженнифер Там, Иржи Симса, Шон Хайд и Луис фон Ан. Взлом аудио CAPTCHA. В Достижения в системах обработки нейронной информации (НИПС). Луис фон Ан, Мануэль Блюм и Джон Лангфорд. Рассказывая Люди и компьютеры автоматически разделяются. В Связь ACM . Луис фон Ан, Мануэль Блюм, Николас Хоппер и Джон Лэнгфорд. CAPTCHA: Использование сложных задач искусственного интеллекта для обеспечения безопасности.В Еврокрипт . Кумар Челлапилла и Патрис Ю. Симард. Использование машинного обучения, чтобы сломать человека Доказательства взаимодействия (HIP). В НИПС . (Объясняет, как разбить простые CAPTCHA, для которых сегментация символов является простой.) Грег Мори и Джитендра Малик. Распознавание объектов в состязательном беспорядке: нарушение визуального восприятия CAPTCHA. В CVPR . (Объясняет, как взломать простую CAPTCHA.) Google Tech Talk о CAPTCHA и человеческих вычислениях.

Что такое капча? — Panda Security

При вводе учетных данных или информации о кредитной карте на веб-сайтах вас могут попросить скопировать последовательность слов или математическую сумму, чтобы продолжить. Хотя в большинстве случаев это быстрый шаг, прежде чем вы сможете продолжить свою деятельность, многие люди задаются вопросом, что такое CAPTCHA? И какова его цель?

Что означает CAPTCHA?

CAPTCHA означает полностью автоматизированный общедоступный тест Тьюринга, позволяющий отличить компьютеры от людей.Другими словами, CAPTCHA определяет, настоящий пользователь или спам-робот. CAPTCHA растягивают или манипулируют буквами и цифрами и полагаются на человеческую способность определять, какие это символы.

Как работает капча?

CAPTCHA были изобретены для того, чтобы блокировать рассылку спама программам от размещения комментариев на страницах или одновременной покупки лишних товаров. Самая распространенная форма CAPTCHA — изображение с несколькими искаженными буквами. Также часто выбирают из множества изображений, где вам нужно выбрать общую тему.

Интернет и компьютеры на самом деле состоят из уникального языка программирования. Компьютерам трудно понимать языки из-за странных и замысловатых правил, которые принимают человеческие языки, а также сленг, который используют люди.

Кто использует CAPTCHA?

CAPTCHA используется на различных веб-сайтах, которые хотят убедиться, что пользователь не является роботом. В первую очередь, CAPTCHA используется для проверки онлайн-опросов. В 1999 году Slashdot провел опрос, в котором посетителям предлагалось выбрать аспирантуру с лучшей программой по информатике.Студенты из университетов Карнеги-Меллона и Массачусетского технологического института создали ботов или автоматизированные программы для многократного голосования за свои школы.

Эти школы получили тысячи голосов, в то время как другие школы набрали всего несколько сотен голосов. CAPTCHA вступила в игру, так что пользователи не могли воспользоваться системой опроса.

Еще одно использование CAPTCHA — для регистрационных форм на таких веб-сайтах, как Yahoo! Почта или Gmail, где люди могут создавать бесплатные учетные записи. CAPTCHA не позволяют спамерам использовать ботов для создания множества учетных записей электронной почты для спама.

Билетные веб-сайты, такие как TicketMaster, также используют CAPTCHA, чтобы спекулянты по билетам не покупали билеты на крупные мероприятия. Это позволяет законным клиентам покупать билеты честно и не дает скальперам размещать тысячи заказов на билеты.

Наконец, веб-страницы или блоги, содержащие доски сообщений или контактные формы, используют CAPTCHA для предотвращения спамовых сообщений или комментариев. Это не защищает от киберзапугивания, но предотвращает автоматическую отправку сообщений ботами.

У CAPTCHA работает?

К сожалению, по мере того, как технологии и хакеры становятся все более продвинутыми, растет и их тактика мошенничества. Хотя CAPTCHA по большей части безопасна, киберпреступники начали использовать CAPTCHA на своих ложных или мошеннических веб-сайтах, чтобы сделать свои мошенничества более правдоподобными.

Вот несколько способов, которыми киберпреступники могут обмануть пользователей Интернета:

• Афера содержит интригующие сообщения в вашей ленте новостей. Бывший. КИМ КАРДАШЯН НИКОГДА НЕ ПРОСМОТРЕЛА ВИДЕО.После того, как вы нажмете на это сообщение, вам нужно будет ввести поддельный код CAPTCHA и перейти на целевую страницу. В это время ваш аккаунт захватывает вирус.
• Афера содержит диковинное название ex. ДЕВУШКА СЛУЧАЙНО ПИСЫВАЕТ МАМУ ВМЕСТО ДРУГА, который побуждает пользователей прочитать историю. Ссылка ведет на сайт фейковых новостей, где может начаться взлом программного обеспечения.

Как CAPTCHA предотвращает мошенников

CAPTCHA имеет множество приложений для обеспечения безопасности веб-сайтов и пользователей.К ним относятся, но не ограничиваются:

• Защита адресов электронной почты от мошенников
• Защитить регистрации на веб-сайтах
• Защищает онлайн-опрос
• Защищает от почтовых червей / нежелательной почты
• Предотвращает атаки по словарю
• Предотвращает рассылку спама в комментариях в блогах

История CAPTCHA

Термин CAPTCHA впервые был использован компьютерными учеными из Университета Карнеги-Меллона в 2000 году. Хотя аббревиатура имеет смысл (автоматизированный тест для различения компьютеров и людей), часть теста Тьюринга может быть вам незнакома.

Тест Тьюринга

Алан Тьюринг, известный как отец современных вычислений, предложил этот тест в качестве эксперимента, чтобы увидеть, могут ли машины думать или казаться думающими как люди. Тест Тьюринга основан на имитации. Следователь задает двум участникам серию вопросов. Один из участников — машина, а другой — человек. Допрашивающий не знает, какой из них какой, и пытается угадать, какой участник является машиной. Если дознавателю не удается это выяснить, машина прошла тест Тьюринга.

Хотя CAPTCHA предназначена для обмана машин и создания теста, который проходят только люди, этот тест был создан для того, чтобы приложение CAPTCHA могло представлять различные CAPTCHA различным пользователям.

Еще одна причина, по которой CAPTCHA считается трудной для чтения компьютером, — это ее визуальный компонент. Поскольку символы имеют формат изображения, компьютерам сложнее сканировать изображение с текстом, особенно если текст искажен. Люди могут легче смотреть на изображение и обнаруживать закономерности.

Помимо визуальных паттернов, CAPTCHA также доступны в звуковом формате для слабовидящих. В некоторых случаях CAPTCHA может попросить читателя интерпретировать короткий отрывок текста. Затем он предложит читателю пройти короткую викторину по материалу.

Как обеспечить безопасность кодов CAPTCHA

Если вашему сайту нужна надежная защита от мошенников, рекомендуется использовать CAPTCHA. При использовании любого кода CAPTCHA необходимо предпринять несколько дополнительных мер:

.

Защищенные изображения: Изображения должны произвольно искажаться при представлении пользователю.С небольшими искажениями изображение более уязвимо для автоматических атак.

Уникальные CAPTCHA: Если бы на всех сайтах использовались похожие коды CAPTCHA, хакеры могли бы уловить и создать ботов, которые бы обходили этот тест. Вот почему важно время от времени менять тип CAPTCHA и избегать распространенных математических уравнений, таких как 1 + 1.

Безопасность сценария: Помимо того, что ваши изображения не могут быть прочитаны компьютерами, вы также должны убедиться, что нет простых способов обойти уровень сценария.

Сюда входят:

• Система передает ответ на CAPTCHA в виде простого текста как часть веб-формы.
• Система, в которой решение одной и той же CAPTCHA может использоваться несколько раз. Лучше избегать любых сценариев CAPTCHA, которые можно свободно найти в Интернете, поскольку они более уязвимы для атак.

Доступность: CAPTCHA должны быть доступны для каждого пользователя. В этом отношении CAPTCHA не может основываться исключительно на чтении текста или выборе изображений.Важно, чтобы у пользователей была возможность выбрать звуковую CAPTCHA, если это необходимо.

Если владелец веб-сайта или блога решит отказаться от использования CAPTCHA, у него будут ежедневные серьезные проблемы с зарегистрированными пользователями спама и комментариями. Многие спамеры или программы для рассылки спама ищут в системе взломы, чтобы взломать ваш сайт. Согласно исследованиям экспертов Microsoft Кумару Челлапилле и Патрису Симарду, люди имеют около 80 процентов успеха при решении любой CAPTCHA, но машины имеют только 0.01 процент успеха.

Следовательно, использование CAPTCHA полезно для обеспечения безопасности вашего сайта. Хотя идея создания собственной CAPTCHA кажется идеальной, мы не рекомендуем ее создавать из-за множества режимов сбоя, с которыми вы можете столкнуться. Мы рекомендуем веб-сайт, который создает его для вас, например reCAPTCHA от Google. Чтобы обеспечить безопасность вашего устройства в дополнение к CAPTCHA, обязательно загрузите антивирус, чтобы оставаться в безопасности.

Источники:

Словарь.com | Как работает материал | Digital Unite | Captcha |

Тест Google reCAPTCHA обманут искусственным интеллектом

Ученые-информатики нашли способ обойти тесты Google reCAPTCHA, заставив систему думать, что программа искусственного интеллекта принадлежит человеку. Но есть загвоздка: хотя система искусственного интеллекта может обмануть тест бота, она не соответствует обещанию, которое дали ей ее создатели.

CAPTCHA — это тесты, которые веб-сайты используют для борьбы с ботами, предлагая посетителям сайта доказать, что они люди, прежде чем продолжить. Ведущей системой является reCAPTCHA от Google, которая ранее просила посетителей веб-сайтов доказывать свою человечность, проверяя слова, отсканированные из книг, или фотографии уличных знаков. Это было заменено поведенческим анализом, требующим от людей просто поставить галочку в квадрате с надписью «Я не робот».

Подобные системы уже были взломаны. Действительно, CAPTCHA, основанные на тексте и изображениях, так часто взламываются, что исследователи из Китая и Университета Ланкастера окрестили свою статью о генеративных состязательных сетях «еще одним решателем текстовых CAPTCHA».Доступная аудиоверсия была даже нацелена на использование инструментов преобразования речи в текст для прослушивания аудиоклипов и загрузки ответа.

Но все стало сложнее в конце прошлого года, когда Google представил reCAPTCHA без CAPTCHA. Вместо того, чтобы извлекать искаженный текст или уличные знаки или даже отмечать галочкой поле, указывающее, что посетитель веб-сайта не является роботом, версия 3 reCAPTCHA анализирует ряд сигналов, давая оценку от нуля до единицы. Более низкие оценки с большей вероятностью будут у ботов, в то время как более высокие оценки с большей вероятностью будут у людей.

Это ранжирование происходит полностью в фоновом режиме; вообще нет человеческого взаимодействия. Google не объяснил, что входит в оценку « бот или нет » — неудивительно, поскольку хакеры обязательно воспользуются этой информацией — но, похоже, он включает используемый браузер, IP-адрес и то, вошли ли они в систему. аккаунт Google. В конце концов, если Google знает, что это вы, он знает, что вы не бот.

Эта система еще не была взломана, несмотря на заявление авторов недавней статьи «Взлом Google reCAPTCHA v3 с использованием обучения с подкреплением».Вместо этого Мохамед Акрут из Университета Торонто и его соавторы сосредоточились на обмане вторичной системы с помощью машинного обучения. Невидимой системой подсчета очков не злоупотребляют, но, тем не менее, они утверждают, что все еще могут пройти reCAPTCHA v3.

В reCAPTCHA v3 веб-сайты устанавливают собственный порог оценки того, что они хотят считать ботом или нет. Если посетитель попадает ниже этого порога в установленный момент, например, когда он вводит обзор или данные для входа, у веб-сайта есть два варианта, говорит Акроут.Первый — немедленно показать страницу, на которой этот посетитель назван ботом, что немного неудобно, если система неправильная и это человек; Представьте, что вы продвигаетесь через онлайн-покупку, чтобы страница, на которую вы смотрите, внезапно исчезла, а вам из ниоткуда было предъявлено обвинение: «Ты — бот». «Это плохая практика с точки зрения пользовательского опыта», — говорит Акроут.

Вместо этого, по словам Акроута, многие сайты предпочитают вести переговоры немного более любезно. Если посетитель веб-сайта опускается ниже порога «бот или нет», на сайте отображается страница со старым стилем флажка «Я не робот», позволяя людям лучше понять, почему их покупки в Интернете или что-то еще было прервано, и давая им понять шанс доказать свою человечность.«Большинство программистов, которых я знаю, добавляют флажки, потому что не знают, как выбрать время, в которое они будут спрашивать v3 о его убеждениях». Под этим он подразумевает, что версия 3 имеет постоянный счет; веб-сайты могут получить к нему доступ в любое время. Сделайте это наугад, и сайт внезапно перестанет работать.

Captcha умирает. Вот как его заново изобретают для эпохи искусственного интеллекта

И именно в эту брешь наносят удар Акрут и его коллеги-исследователи. Флажок «Я не робот» был введен в версии 2 reCAPTCHA, который анализирует поведение, включая движения мыши, для обнаружения ботов.Исследователи создали автоматизированную систему, которая может обмануть эту часть reCAPTCHA.

Он не обращается напрямую к невидимой оценке версии 3, но к анализу движения мыши, впервые введенному в версии 2, но из-за того, как система реализована на некоторых веб-сайтах, не нужно вводить в заблуждение новую систему. Другими словами, они нашли другой способ обойти reCAPTCHA с использованием ИИ, но он не такой грандиозный, как обещали.

Это не убеждает Нан Цзяна из Университета Борнмута, который не участвовал в этом исследовании.«Теоретически любую схему CAPTCHA, основанную исключительно на изучении поведения пользователя, можно взломать с помощью специализированных алгоритмов машинного обучения, поскольку такие алгоритмы можно легко использовать для имитации реального взаимодействия пользователя со страницей», — отмечает он. «Однако Google ReCAPTCHA… сочетает в себе другие технологии, чтобы предсказать, насколько клиенту можно доверять, а затем попытаться внести этого клиента в белый список. Как только вы попадете в белый список, все, что вы сделаете, все равно позволит вам пройти тест».

Акрут и его коллеги-исследователи обманывают одну часть reCAPTCHA, используя тип машинного обучения, называемый обучением с подкреплением, в котором программный агент пытается найти наилучший возможный путь, поощряемый вознаграждением за каждый шаг в правильном направлении.Их система размещает сетку квадратов на странице, перемещая мышь по диагонали через сетку к кнопке «Я не робот». Учитывая положительное подкрепление, если оно было успешным, и отрицательное, если нет, система изучает правильные способы передвижения, чтобы убедить reCAPTCHA в том, что мышь находится под контролем. Газета утверждает, что она работает с точностью 97,4%. На момент публикации Google не ответил на запрос о комментарии по поводу статьи.

Но Джейсон Полакис, доцент кафедры информатики в Университете Иллинойса, взломавший reCAPTCHA версии 2, отмечает, что v3 reCAPTCHA — это нечто большее, чем работа, описанная в статье.«Атака, которую пытается продемонстрировать эта статья, просто перемещается от случайной начальной точки на странице к флажку», — говорит он. «Это очень конкретное и ограниченное подмножество взаимодействий, которые пользователь будет иметь с реальной страницей на практике (например, заполнение форм, взаимодействие с несколькими элементами страницы, перемещение по более сложным шаблонам и т. Д.)».

Он добавляет: «Если Google также улучшит использование более продвинутых методов, таких как снятие отпечатков пальцев с браузера / устройства (признаки, которые мы обнаружили, когда мы провели наш обширный углубленный анализ и взлом ReCaptcha v2), атака будет даже на практике сложнее.«

Akrout соглашается с тем, что атака на основе движения мыши имеет ограничения, но они немного говорят о том, как работает reCAPTCHA v3.» Если вы подключены к своей учетной записи Google с обычного IP-адреса, то система в большинстве случаев вернется что вы человек «, — говорит он. Подключайтесь через TOR или прокси, и чаще всего вас будут сообщать как о боте.

Знание того, что помогает заставить систему reCAPTCHA показывать» Я есть не «робот», если соответствующий веб-сайт настроен для нее по умолчанию.Акроут заявляет, что атака требует нейтрального отношения к Google — так что не входите в учетные записи, но и не входите через прокси-сервер или используя инструменты управления браузером, такие как Selenium. «Это как если бы я прошу систему перейти прямо на вторую [страницу], просто чтобы получить обнаружение массового движения», — говорит он.

Akrout добавляет, что есть простые способы, которыми Google может защитить reCAPTCHA от этого метода, в частности, отслеживание количества времени, которое пользователь тратит на нажатие кнопки. «Агент тратит больше времени, чем люди, чтобы установить флажок», — отметил он.«Любой всегда может оставить reCaptcha работающим в фоновом режиме без какого-либо взаимодействия», — добавляет Акроут, оставляя его атаку неработающей.

Шуджун Ли, профессор кибербезопасности в Кентском университете, ранее проектировал свои собственные системы для взлома более ранних версий reCAPTCHA, но не участвовал в этом проекте. Он говорит, что технически работа выглядит надежной, но добавил, что Google сможет легко обновить свою систему, чтобы избежать предлагаемой атаки. «Остается неясным, в какой степени предлагаемую атаку можно переобучить, чтобы наверстать упущенное», — сказал он.«Потенциально более надежным подходом будет сбор ответов реальных пользователей на reCAPTCHA и построение модели машинного обучения для имитации таких ответов, которую можно легко переобучить и которая будет гарантированно работать, если reCAPTCHA не станет непригодным для использования обычными пользователями-людьми».

Действительно, есть много других способов взломать эти системы, отмечает Ли. Хотя эта конкретная атака может быть ограничена, тот факт, что reCAPTCHA продолжит становиться жертвой систем искусственного интеллекта, не является сюрпризом.«Не было новостей о том, что CAPTCHA поддаются взлому. Последние достижения в области искусственного интеллекта значительно улучшили показатели успешности автоматических атак», — добавил Ли. «В принципе, CAPTCHA как технология оказалась неспособной противостоять продвинутым атакам». Это конкретное исследование, возможно, не поможет взломать reCAPTCHA v3, но это только начало.

Еще больше интересных историй из WIRED

— Заботитесь о конфиденциальности в Интернете? Затем смени свой номер телефона

— В Facebook наблюдается всплеск изворотливой рекламы о Brexit

— Внутри уязвимой славы дочерних звезд YouTube ASMR

— Я пытался скрыть своего ребенка от Facebook и Google

— Как SoftBank стал самой влиятельной компанией в сфере технологий

Получайте WIRED Weekly, чтобы быть в курсе самых важных, интересных и необычных историй WIRED за последние семь дней.Это сделка раз в неделю, так что не беспокойтесь о том, что мы забьем ваш почтовый ящик.

, введя свой адрес электронной почты, вы соглашаетесь с нашей политикой конфиденциальности

Спасибо. Вы успешно подписались на нашу рассылку новостей. Вскоре вы получите известие от нас.

Извините, вы ввели неверный адрес электронной почты. Обновите страницу и попробуйте еще раз.

Я не робот: Planet Money: NPR

ДЖЕЙКОБ ГОЛДШТЕЙН, ВЕДУЩИЙ:

В 2000 году все подписывались на адреса электронной почты Yahoo. Это было еще до Gmail. И Yahoo Mail был великолепен. Это было бесплатно. Вы можете проверить свою электронную почту где угодно. Но была одна проблема.

NOEL KING, ВЕДУЩИЙ:

И аспирант по информатике в Университете Карнеги-Меллона зациклился на этой проблеме.Его зовут Луис фон Ан.

ЛУИС ФОН АН: Проблема заключалась в том, что были люди, которые для рассылки спама с учетных записей Yahoo получали миллионы учетных записей электронной почты.

ГОЛДШТЕЙН: Буквально миллионы — не сотни или тысячи, а миллионы поддельных учетных записей электронной почты.

ФОН АН: Буквально миллионы поддельных учетных записей электронной почты.

КОРОЛЬ: Спамеры, которые подписывались на миллионы спам-аккаунтов, не заходили на страницу Yahoo Mail, а просто регистрировались для этих аккаунтов по одной.

ГОЛДШТЕЙН: Ага. Не то чтобы они были, типа [email protected], [email protected], [email protected].

КОРОЛЬ: Нет, спамеры писали простые компьютерные программы — маленьких ботов, которые просто продолжали заполнять форму подписки на электронную почту Yahoo снова и снова и снова, днем ​​и ночью. И это создаст армию учетных записей электронной почты, которые можно будет использовать для продажи поддельной Виагры или кражи информации о вашем банковском счете — что угодно.

ГОЛЬДШТЕЙН: Yahoo не знала, что с этим делать, но у Луиса фон Ан была идея.

ФОН АН: Итак, идея заключалась в том, можем ли мы сделать тест, который сможет различать людей и компьютеры, а также тест, который оценивается компьютером.

ГОЛЬДШТЕЙН: Если вы когда-либо подписывались на что-либо в Интернете, вы, вероятно, знаете идею, которую придумал Луис фон Ан — изображение искаженных букв и цифр, а затем небольшое поле под этим изображением, где вы вводите персонажи, которых вы видите.

ФОН АН: И мы действительно показали это парню, который был главным научным сотрудником Yahoo.Он любил это. И в течение нескольких недель это было фактически, вы знаете, в потоке регистрации учетных записей электронной почты в Yahoo. Его там использовали, и мы были очень счастливы, что они просто использовали его.

ГОЛЬДШТЕЙН: Луис дал своему маленькому тесту имя. Это было длинное нелепое имя, превратившееся в короткую гениальную аббревиатуру. Длинное имя было …

.

VON AHN: полностью автоматизированный общедоступный тест Тьюринга для различения компьютеров и людей.

КИНГ: Тест Тьюринга — известная старая идея в информатике.Это тест, в котором вы пытаетесь определить, разговариваете ли вы с компьютером или с человеком. Если компьютер может постоянно заставлять вас думать, что это человек, то это искусственный интеллект.

ГОЛЬДШТЕЙН: И этот тест Тьюринга, который придумал Луис, стал огромным. Возможно, вы даже знаете аббревиатуру этого теста.

ФОН АН: CAPTCHA.

GOLDSTEIN: CAPTCHA. CAPTCHA очень интересна. CAPTCHA — хорошее имя.

ФОН АН: Да, потому что это все равно, что поймать их, или что-то вроде этого.Да, хорошее имя.

ГОЛЬДШТЕЙН: Вы знаете CAPTCHA. Может вам не нравится CAPTCHA. И все же 20-летняя история CAPTCHA — это окно во многое — в искусственный интеллект, в оцифровку миллионов книг, а также в небольшое киберпреступление.

(ЗВУК ПЕСНИ ЛИ МАКАЛЛИСТЕР ГРЭЙСИ, «НАЧИНАЕМ ДВИЖЕНИЕ»)

ГОЛДШТЕЙН: Здравствуйте, и добро пожаловать в PLANET MONEY. Я Джейкоб Гольдштейн.

КИНГ: А я Ноэль Кинг, и я не робот.

ГОЛЬДШТЕЙН: Я не робот, не робот.

КОРОЛЬ: Но если бы вы были …

ГОЛЬДШТЕЙН: Я бы сказал именно это.

КОРОЛЬ: (Смех).

ГОЛЬДШТЕЙН: Сегодня в сериале идет глобальная война, длившаяся десятилетия.

КОРОЛЬ: Интернет, которым люди действительно пользуются, а не спамерская пустошь.

ГОЛДШТЕЙН: Компьютер против компьютера. И, в конце концов, мы, люди, понадобимся компьютерам только для небольшого ввода данных.

(ЗВУК ПЕСНИ ЛИ МАКАЛЛИСТЕР ГРЭЙСИ, «НАЧИНАЕМ ДВИЖЕНИЕ»)

ГОЛЬДШТЕЙН: Я должен сказать, что Луис фон Ан был одним из нескольких человек, которые работали над тестами типа CAPTCHA примерно в одно и то же время, так что он не единственный, кто придумал эту идею. Другие люди разработали свои собственные CAPTCHA. Но именно Луис и его коллеги придумали это название, и их версия стала действительно популярной.

КОРОЛЬ: Когда вы покупали билеты в Интернете, когда вы регистрировали свою учетную запись Myspace — довольно скоро люди проходили небольшой тест Луиса 200 миллионов раз в день.Он защищал мир от скальперов, спамеров и ботов. И мир, конечно же, ответил с благодарностью.

ФОН АН: Знаете, каждый раз, когда я разговаривал с кем-нибудь о капчах, первое, что они говорили мне, это то, насколько они раздражают. Так что я начал чувствовать, понимаете …

ГОЛЬДШТЕЙН: Справедливо. Справедливая.

ФОН АН: (Смех) Я начал чувствовать себя частично ответственным за это, знаете, 200 миллионов раз в день. И каждый раз, когда вы набираете один из них, вы тратите около 10 секунд своего времени.Итак, вы знаете, я начал просто думать, можно ли как-нибудь эффективно использовать эти 10 секунд?

ГОЛЬДШТЕЙН: Это было в середине 2000-х. И в настоящий момент идет толчок по оцифровке старых книг и старых документов. В то время было достаточно легко сканировать старые страницы, старые листы бумаги и размещать их в Интернете. Но компьютеры по-прежнему плохо умели превращать эти отсканированные страницы в полезные онлайн-документы.

ФОН АН: Это не доступно для поиска. Вы не можете изменить размер шрифта.Вы не можете — я имею в виду, это просто несколько дрянных картинок.

ГОЛДШТЕЙН: (Смех) Ага.

ФОН АН: Мне пришло в голову, что вы можете взять все слова, которые компьютер не может распознать, и мы могли бы заставить людей читать их за нас, пока они набирали CAPTCHA в Интернете.

КОРОЛЬ: До этого момента Луис раздавал CAPTCHA бесплатно. Но теперь он думает, что люди могут платить за оцифровку своих печатных архивов по одной капче за раз.И он сидит более полумиллиона часов бесплатного человеческого труда в день. Поэтому он основал компанию под названием reCAPTCHA. И он уходит искать клиентов.

ФОН АН: И произошло то, что я на самом деле где-то выступал, и мне повезло, что … в то время парень, который был главным информационным директором The New York Times, сидел в аудитории.

ГОЛЬДШТЕЙН: Хорошо.

ФОН АН: И он сказал, знаете что? У нас есть огромный, вы знаете, 130-летний архив старых выпусков The New York Times.Так что, может быть, мы сможем — может быть, вы сможете нам помочь.

КОРОЛЬ: The New York Times оказалась первым клиентом reCAPTCHA. Теперь, когда вы решаете CAPTCHA, рядом с несколькими случайными буквами и цифрами, было также изображение слова из старого номера Times, которое компьютеры не могли прочитать. Когда вы набираете это слово, вы не просто защищаете Интернет от спама. Вы также помогли превратить газеты столетней давности в цифровой архив с возможностью поиска.

ГОЛДШТЕЙН: И я должен сказать, мне просто нравится это — пока вы делаете одно дело, вы также делаете что-то другое, например, эффективность этого.Мол, это просто — меня это радует. Знаешь, это похоже на давнюю мечту о поездке на велотренажере, чтобы включить свет в доме или что-то в этом роде, о чем, кстати, Луис сказал мне, когда ему было около 11 лет, ему приснился этот сон. А потом он как бы посмотрел на это и понял: ну, вообще-то, как человек, езда на велотренажере — ужасный способ генерировать энергию.

КОРОЛЬ: Когда Луис разрабатывал reCAPTCHA, Google вышел и объявил, что они начинают оцифровывать каждую книгу — например, каждую книгу в мире или что-то в этом роде.Они видели, что Луис делал для «Таймс». А в 2009 году Google купил reCAPTCHA и начал использовать ее для оцифровки книг.

ГОЛДШТЕЙН: А несколько лет спустя Google начал использовать тесты CAPTCHA, которые показывали изображения адресов на сторонах зданий. Когда мы решили эти CAPTCHA, мы улучшили работу Google Maps, сделав немного больше для Google.

КОРОЛЬ: Без оплаты. Итак, это конец истории CAPTCHA Луиса. Но небольшое отступление. Он основал языковую компанию, в которой люди выполняли онлайн-переводы, пока изучали язык.

ГОЛДШТЕЙН: То же самое, типа «делать одно-на самом деле-делаю-другое-дело». Эта компания стала суперпопулярной. Он называется Duolingo. Фактически, он стал настолько популярным, что от переводческой части отказались. Теперь это просто приложение, которое миллионы людей используют для изучения языков.

КОРОЛЬ: Хорошо. Конец Луиса. Конец отступления.

Итак, настали августы. И какое-то время CAPTCHA работает. Спамеров держат в страхе. А потом кто-то находит обходной путь.

ГОЛДШТЕЙН: В сети начали появляться теневые компании, предлагающие взломать CAPTCHA всем, кто готов заплатить. Крис Канич — компьютерный ученый, который начал изучать эти предприятия примерно в 2008 году.

КРИС КАНИЧ: И это одна из таких вещей. Например, пока вы на самом деле не подумаете: ну, на самом деле, давайте пойдем искать это, посмотрим, как сложно это найти, вы можете подумать, о, это какая-то темная подпольная киберпреступная штука. Но нет. Вы можете просто погуглить. Вы можете найти дюжину таких услуг по очень конкурентоспособным ценам, знаете ли, со всем этим.

ГОЛДШТЕЙН: Крис хотел знать, например, что здесь вообще происходит? Мол, это по-настоящему? Эти сервисы работают? Поэтому он и его коллеги решили действовать как спамеры. Я имею в виду, они не занимались спамом, но в большей или меньшей степени делали все остальное. Они построили бота. И этот бот обошел Интернет, натыкаясь на CAPTCHA. И автоматически, каждый раз, когда бот проходит тест CAPTCHA, он отправляет его в один из этих сервисов, который предлагает решить CAPTCHA за деньги.

КОРОЛЬ: И что именно делают эти службы? Они платят людям за то, чтобы они сидели перед компьютерами весь день и разгадывали одну капчу за другой.Итак, какой-то человек, сидящий перед компьютером, получает CAPTCHA от бота Криса, решает тест за пару секунд, отправляет его обратно боту Криса, который вводит решение на веб-страницу. И бум.

ГОЛДШТЕЙН: Да, это простая, ванильная версия, просто чтобы посмотреть, как она работает? Сколько времени это занимает? Но у Криса и его коллег были и другие вопросы, на которые они хотели ответить, поэтому они сделали кое-что еще. Они составили свои собственные тесты CAPTCHA и отправили их решателям. Некоторые из этих тестов просто сказали, сколько времени? И ответ на эти тесты сказал им, в каком часовом поясе живут люди, решающие тест.

Они также хотели знать, на каких языках говорят решатели, поэтому они сделали CAPTCHA со странными инструкциями на множестве разных языков.

KANICH: китайский, испанский, итальянский, тагальский, португальский, русский, тамильский, голландский, хинди, немецкий, малайский, вьетнамский, корейский, греческий, арабский, бенгальский, канадский, клингонский и фарси.

ГОЛЬДШТЕЙН: Мне очень жаль. Что было до фарси?

КАНИЧ: клингон.

ГОЛЬДШТЕЙН: клингонский, выдуманный язык из «Звездного пути».«Я имею в виду, конечно. Нет, но они сделали это, потому что хотели просто как бы продвинуть эти сервисы. Например, как далеко зайдут эти решатели CAPTCHA?

КАНИЧ: Они никак не смогут на это ответить. Но ответы, которые мы увидели — они показали нам — я думаю, что мы получили что-то вроде 1% точности, но это касалось чего-то такого невероятно длинного вопроса, что это не могло быть случайно. Итак, предположительно, один из этих решателей CAPTCHA распознал, что это был клингон, либо знал клингон, просто потому, что это то, что знают некоторые люди, либо поискал его в Интернете и действительно смог успешно решить эту CAPTCHA, которая была написана на клингонском языке.

ГОЛЬДШТЕЙН: Вы нашли лучший на Земле решатель CAPTCHA.

КАНИЧ: Да.

КОРОЛЬ: Основываясь на этой части исследования — не на клингонской части, а на языках и часовых поясах — они выяснили, что многие люди, похоже, делают эту работу в России, Китае и Индии. И они понимают, что это огромная индустрия. Люди начали называть это сельским хозяйством CAPTCHA. И это в основном люди, открывающие ворота CAPTCHA для армии ботов. И CAPTCHA-фермы работают.

КАНИЧ: Обычно они были правы. Обычно они были очень быстрыми.

ГОЛДШТЕЙН: Значит, услуги были законными. Я имею в виду, что они потенциально были незаконными, но они сделали то, что, по их словам, они делали.

КАНИЧ: Верно. Ага. Одна из самых интересных особенностей киберпреступности как торговой площадки заключается в том, что она работает так же, как и любая другая торговая площадка типа «бизнес-бизнес». Там действительно важна ваша репутация. И вы не собираетесь продолжать свой бизнес по решению CAPTCHA, пока вы не решите эти CAPTCHA на самом деле.

ГОЛЬДШТЕЙН: А сколько это стоило?

КАНИЧ: Один доллар США за тысячу решенных CAPTCHA — это невероятно, невероятно недорого. Но это задача, на которую у обычного человека уходит примерно 15-20 секунд.

ГОЛЬДШТЕЙН: Да. Но, Боже, я имею в виду, ты действительно сочувствуешь людям, выполняющим работу.

КАНИЧ: Да.

КОРОЛЬ: Значит, если вы спамер, эти работники будут решать за вас CAPTCHA круглосуточно за одну десятую пенни за тысячу.

ГОЛЬДШТЕЙН: Эта цена, очевидно, невероятно низкая. Но все равно не ноль. И этого еще достаточно, чтобы отсеять множество людей. Это отсеивает, знаете ли, людей, которые просто тролли, создающие спам-аккаунты для развлечения, и людей, которые просто публикуют мусорные комментарии на миллионах мусорных веб-сайтов в надежде продать мусорные продукты на несколько лишних долларов. Таким образом, даже с фермами CAPTCHA, CAPTCHA все еще работают, чтобы блокировать множество людей.

КОРОЛЬ: Но что бы произошло, если бы вы научили компьютер решать CAPTCHA? Тогда вам больше не понадобятся фермы и фермеры.Цена упадет до нуля, и спамеры начнут буйствовать.

ГОЛДШТЕЙН: Так продолжалось долгое время, когда какой-то спамер запрограммировал компьютер на решение CAPTCHA. Тогда люди, создающие CAPTCHA, усложнят тесты. В конце концов, испытания стали слишком сложными для людей. Итак, в 2014 году Google сказал: «Хорошо, хватит»; мы собираемся полностью изменить способ работы CAPTCHA. Они назвали это reCAPTCHA version 2.

.

КОРОЛЬ: И здесь есть два больших изменения.Во-первых, они вводят галочку «Я-не-робот».

ГОЛДШТЕЙН: Что меня всегда озадачивало, потому что я всегда думал, типа, может ли робот просто поставить галочку? Но когда я работал над этим шоу, я узнал, что когда вы устанавливаете этот флажок, сайт отправляет обратно кучу информации в Google. Мы поговорим больше о том, что это за информация, немного позже в шоу. Но Google берет эту информацию и решает, считает вас человеком или роботом.Если вы достаточно уверены в том, что вы человек, вы просто продолжаете заниматься своими делами. Но если он думает, что вы можете быть машиной, вам нужно пройти тест.

КОРОЛЬ: И тест — это второе, что действительно отличается в этой новой reCAPTCHA. Это когда они начинают использовать те тесты, которые говорят: «Нажмите на изображение кошки или нажмите на все изображения автомобиля». И причина, по которой они сделали это, заключается в том, что компьютеру намного, намного сложнее превзойти, чем просто искаженное изображение цифр и букв.

ГОЛДШТЕЙН: Я говорил об этом с Джейсоном Полакисом. Он профессор информатики, изучал CAPTCHA.

ДЖЕЙСОН ПОЛАКИС: Например, вам нужна система, в которой вы дадите ей изображение машины, и она скажет вам, что это машина. Но проблема в том, что у вас может быть сотня разных типов автомобилей — разных углов, разных цветов, разных форм, разных моделей. Так что расширяйтесь от автомобилей до грузовиков, лодок, самолетов, деревьев, собак, животных и людей — все, что вы можете себе представить.

ГОЛДШТЕЙН: Даже — вы знаете, если мы просто вернемся к началу CAPTCHA — верно? — Примерно в 2000-е годы существовала ли в мире какая-либо система, которая могла бы смотреть на изображение бокала вина или изображение собаки и говорить, что это бокал вина или это собака?

ПОЛАКИС: Нет, даже близко.

КОРОЛЬ: Чтобы получить машину для решения такого рода проблем, вам потребуются миллионы помеченных цифровых фотографий разных вещей, невероятно мощные компьютеры и очень, очень умное программное обеспечение, которое могло бы сделать все фотографии и научиться распознавать кошек и вино. и собаки.

ГОЛЬДШТЕЙН: Так случилось, что все эти вещи соединились за несколько лет до выхода reCAPTCHA версии 2. Вы знаете, Интернет предоставил миллионы помеченных изображений, а затем компьютерные ученые начали использовать этот метод, называемый глубоким обучением, или машинным обучением, который, по сути, обучал мощные компьютеры видеть.

КОРОЛЬ: Глубокое обучение или машинное обучение — возможно, это самая крупная закулисная технологическая инновация за последние 20 лет.Фактически, сегодня люди часто говорят об ИИ — искусственном интеллекте — именно об этом они и говорят. Это важно для прогресса многих вещей. Возьмем автономные автомобили. Так машина может увидеть, как ребенок выбегает на улицу, и нажимает на тормоз.

И дело не только в изображениях. Исследователи использовали другие наборы данных, чтобы научить компьютеры распознавать мошенничество, переводить языки, понимать человеческую речь и, например, миллион других вещей.

ГОЛДШТЕЙН: Итак, когда вышла эта новая версия reCAPTCHA 2, Полакис сразу подумал: «Я хочу посмотреть, смогу ли я использовать эти новые системы машинного обучения, чтобы сломать эту новую reCAPTCHA».И Полакис не специалист по машинному обучению. И в этом-то и заключается суть, потому что к тому времени машинное обучение настолько продвинулось, что вам не нужно было быть экспертом, чтобы его использовать. Существовали в основном готовые системы машинного обучения, которые мог использовать любой, у кого есть средний уровень технических знаний.

Итак, Полакис и его коллеги взяли эти системы и как бы бросили их против reCAPTCHA — попытались взломать reCAPTCHA с этими системами. И это сработало.

ПОЛАКИС: Я не занимаюсь машинным обучением, поэтому тот факт, что машины достигли этой точки и так хорошо справляются с задачами, для меня просто шокирует.

КОРОЛЬ: Полакис публикует статью о своем проекте в 2016 году, и другие исследователи делают то же самое. Мы победили reCAPTCHA. Мы победили reCAPTCHA.

ГОЛДШТЕЙН: И, конечно же, Google знает, что это происходит. Фактически, всю эту работу в области машинного обучения выполняет сам Google. Возможно, они знают лучше, чем кто-либо в мире, что машинное обучение будет становиться все лучше и лучше в решении reCAPTCHA.

КОРОЛЬ: Аарон Маленфант руководит командой разработчиков reCAPTCHA в Google. Так что если это чья-то проблема, то это его проблема. Однажды, пару лет назад, он рассказывал своему боссу обо всех вещах, которые его команда пыталась сделать, чтобы опередить ботов. Но в конце концов ему пришлось рассказать ей об этом. Довольно скоро боты смогут решать любые задачи CAPTCHA — любые тесты.

ААРОН МАЛЕНФАНТ: Я сказал ей, что в следующие три-пять лет текущие проблемы больше не будут работать.Нам нужно перейти на новую систему. И она повернулась ко мне и спросила, почему ты этого не делаешь?

ГОЛЬДШТЕЙН: Так и было. Аарон и его команда приступили к созданию нового типа reCAPTCHA, в котором нет никаких тестов — ни букв, ни картинок, ни уличных знаков. Помимо небольшого уведомления внизу веб-страницы, вы даже не знаете, что там есть reCAPTCHA.

КОРОЛЬ: Google выпустил его только в прошлом году, поэтому веб-сайты все еще находятся в процессе перехода. Называется она reCAPTCHA v3 — версия 3, вполне разумно.Это работает так: вы заходите на веб-сайт, и Google анализирует ваше поведение, а затем отправляет оценку веб-сайту. И этот балл — это вероятность того, что вы человек. А дальше решать, что делать на сайте. Может, они заставят вас снова войти в систему. Если вы отправляете комментарий или отзыв, возможно, они отправят его на модерацию.

ГОЛДШТЕЙН: Вот, вроде, этапы того, что происходит. Но ведь есть этот черный ящик — правда? — что происходит в фоновом режиме. Как Google определяет, робот ли я? И мы немного знаем о том, как это работало в версии 2, когда вы устанавливали флажок.В этом случае Google проверял, посещали ли вы сайты Google, вошли ли вы в свою учетную запись Google. А также — и эта часть была почти полностью секретной — Google провел какой-то анализ, основанный на том, что вы сделали на этой странице. Типа, вы знаете, может быть, это было связано с тем, как вы двигали мышью, или что-то в этом роде.

Итак, этот черный ящик, конечно, для меня самое интересное. Поэтому, когда я разговаривал с Аароном об этой новой reCAPTCHA — о версии 3, я просто сказал, например, что вы можете рассказать мне о том, что вы делаете, чтобы решить, человек ли я? Итак, что публично о том, как вы проводите оценку рисков?

МАЛЕНФАНТ: Ага.Так что причина, по которой мы не говорим слишком много, заключается в том, что у нас есть противники, которые все время пытаются нас победить. Мы публично заявляем, что адаптируемся к определенному сайту и его поведению. И когда я говорю «мы», я не имею в виду людей. Я имею в виду, что машина смотрит на него и решает, ожидается ли этот запрос для этого веб-сайта? Похоже ли это на другие хорошие запросы к этому сайту?

КОРОЛЬ: Другими словами, для каждого сайта, который устанавливает reCAPTCHA версии 3, компьютеры Google, используя машинное обучение, анализируют конкретное поведение этого веб-сайта.И затем каждый раз, когда пользователь заходит на этот сайт, они говорят, делает ли этот пользователь то, что обычно делает на этом сайте, или ведет себя странно?

ГОЛДШТЕЙН: И это большое изменение, потому что, как вы знаете, в том мире reCAPTCHA, к которому мы привыкли, есть несколько различных видов тестов. И если бы вы могли создать бота, который мог бы пройти эти тесты, вы могли бы пройти любую reCAPTCHA на любом веб-сайте. Как будто у тебя были ключи от всех замков. Теперь, с версией 3, похоже, что Google делает разные блокировки для каждого веб-сайта.

МАЛЕНФАНТ: Это означает, что если — только потому, что вы можете получить хорошую оценку на одном веб-сайте, если вы злоумышленник, это не означает, что вы можете получить хорошую оценку на всех веб-сайтах.

ГОЛЬДШТЕЙН: Хорошо. Я понимаю. В этом есть смысл. Я имею в виду, если все это правда, имеет ли вообще значение в версии 3, вошел ли я в систему Google, имею ли учетную запись Gmail или что-то еще? Имеет ли это отношение даже к тому, как вы анализируете риск?

МАЛЕНФАНТ: Я бы сказал, что это имеет гораздо меньшее значение.

ГОЛДШТЕЙН: Намного меньше, чем что?

МАЛЕНФАНТ: Чем раньше.

ГОЛЬДШТЕЙН: Хорошо. ОК.

МАЛЕНФАНТ: Наша цель — не иметь значения.

ГОЛЬДШТЕЙН: Это твой эндшпиль.

МАЛЕНФАНТ: Верно, потому что мы действительно хотим …

ГОЛЬДШТЕЙН: Мы еще не достигли цели. Вы еще не достигли цели, но уже приближаетесь.

МАЛЕНФАНТ: Ну, я не люблю — я даже не хочу — я, наверное, уже сказал слишком много.

ГОЛДШТЕЙН: Через несколько дней после того, как я поговорил с Аароном, представитель Google связался со мной и смог рассказать мне немного больше об этом.Он сказал, есть ли у пользователя активная учетная запись Google — это имеет значение для анализа рисков Google. Но reCAPTCHA не использует никакой информации о том, что пользователь делает в своей учетной записи. Так что они не смотрят, например, на то, как часто вы отправляете электронные письма или просматриваете YouTube. Просто у вас есть аккаунт — да или нет?

КОРОЛЬ: Несмотря на всю секретность и хитрость этого нового типа CAPTCHA, компьютер по-прежнему решает, кто человек.

ГОЛЬДШТЕЙН: Но теперь тест CAPTCHA находится не только в маленькой рамке внизу страницы.Тест — это все, что вы делаете на странице. Поэтому, когда компьютеры спамеров выясняют, как взломать эту reCAPTCHA — и если есть что-то, что мы узнали, так это то, что кто-то где-то когда-нибудь сломает ее — компьютеры не будут просто выполнять небольшой тест. Компьютеры спамеров будут имитировать все, что мы делаем.

КОРОЛЬ: Конец файла.

(ЗВУК «ИГРЫ ЦИФРЫ» ЛИ МАКАЛЛИСТЕР ГРЭЙСИ)

GOLDSTEIN: PLANET MONEY получил новый информационный бюллетень. Каждую неделю он углубляется в экономические вопросы, например, почему в ряде стран Европы был введен налог на богатство, а затем от него избавились? И действительно ли запрет на использование пластиковых пакетов помогает окружающей среде? Подпишитесь на рассылку новостей на npr.org / planetmoneynewsletter. Опять же, npr.org/planetmoneynewsletter.

Продюсеры сегодняшнего шоу — Алекси Горовиц-Гази и Лиза Йегер. Отредактировал Брайант Урштадт. Старший продюсер PLANET MONEY — Алекс Голдмарк. Я Джейкоб Гольдштейн.

КОРОЛЬ: А я Ноэль Кинг. Спасибо за внимание.

(ЗВУК «ИГРЫ ЦИФРЫ» ЛИ МАКАЛЛИСТЕР ГРЭЙСИ)

ГОЛЬДШТЕЙН: Я провалил много-много тестов CAPTCHA в своей жизни. И поэтому я был — я думаю, я хочу сказать, что утешился, когда наш продюсер Алекси нашел на YouTube эти видео о людях, сходящих с ума из-за тестов CAPTCHA.

(ЗВУК МОНТАЖА)

НЕИЗВЕСТНОЕ ЛИЦО №1: Хорошо, очевидно, я не могу определять уличные знаки с помощью CAPTCHA. Это не улица — это уличный знак? Он на улице, и это знак.

НЕИЗВЕСТНОЕ ЛИЦО №2: Это автобус? Я думаю, это грузовик, но это может быть автобус. Автобус. Автобус. Автобус.

НЕИЗВЕСТНОЕ ЛИЦО №3: Здесь еще есть машины? Нет, правда? Верно? Неправильный.

НЕИЗВЕСТНЫЙ ЧЕЛОВЕК №4: А теперь Google бросает в вас врага, которого вы никогда раньше не видели — дороги.

НЕИЗВЕСТНОЕ ЛИЦО №2: Это витрина магазина?

НЕИЗВЕСТНЫЙ ЛИЦО №1: Это невероятно низкое разрешение.

НЕИЗВЕСТНОЕ ЛИЦО №5: Кто-то в пьяном виде сделал эту капчу?

НЕИЗВЕСТНОЕ ЛИЦО №2: А это часть светофора? А если это так, не так ли?

НЕИЗВЕСТНОЕ ЛИЦО №1: Видимо, я ошибаюсь. Я не робот. Я не.

Авторские права © 2019 NPR. Все права защищены. Посетите страницы условий использования и разрешений на нашем веб-сайте www.npr.org для получения дополнительной информации.

стенограмм NPR создаются в срочном порядке Verb8tm, Inc., подрядчиком NPR, и производятся с использованием патентованного процесса транскрипции, разработанного NPR. Этот текст может быть не в окончательной форме и может быть обновлен или изменен в будущем. Точность и доступность могут отличаться. Авторитетной записью программирования NPR является аудиозапись.

[КОНТРОЛЬНЫЕ СПИСКИ ТЕСТИРОВАНИЯ ВЕБ / ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ] CAPTCHA — Какие тестовые случаи следует учитывать при тестировании captcha?

«Полностью автоматизированный общедоступный тест Тьюринга для различения компьютеров и людей» или просто «CAPTCHA» — это то, с чем мы сталкиваемся в форме входа / контакта почти на каждом современном веб-сайте.Как следует из названия, он используется для различения людей и компьютеров. Это тест, который обычно представляет собой математические вопросы (Number Captcha) или распознавание изображений (Image Captcha), которые пользователи должны решить, чтобы войти в систему и получить доступ к определенным страницам на веб-сайтах. ReCaptcha — это тоже тип капчи, которая содержит изображение с двумя словами. Основная цель Captcha — безопасность веб-сайта, а также защита сайта от автоматических спам-сообщений. Ниже приведены тестовые примеры для Captcha.

Общие тестовые сценарии для всех капч / числовых кодов

1. Убедитесь, что система принимает действительный код Captcha.
2. Убедитесь, что система отклоняет неверный код Captcha.
3. Убедитесь, что код Captcha сбрасывается при перезагрузке системы.
4. Убедитесь, что код Captcha меняется, когда пользователь вводит неправильное значение.

Дополнительные тестовые примеры для изображения captcha

1. Убедитесь, что код в Captcha изображения доступен для просмотра.
2. Обеспечьте читаемость Captcha.
3. Убедитесь, что капча чувствительна к регистру. (в зависимости от потребности)

Дополнительные тестовые примеры для recaptcha:

1. Обеспечьте читаемость Captcha.
2. Убедитесь, что капча чувствительна к регистру (зависит от требований)
3. Убедитесь, что пользователь получает новую капчу, щелкнув ссылку «Получить новый вызов».
4. Убедитесь, что система отклоняет, когда пользователь вводит только одну действительную капчу для двух предоставленных каптч.
5. Убедитесь, что код Captcha не сбивает с толку. Например: ноль и O (алфавит), числа 6 и 9)
6. Убедитесь, что пользователь получает информацию о том, как использовать капчу, после нажатия кнопки справки.
7. Убедитесь, что аудиоверсия Captcha работает (зависит от требований).

Мы можем написать так много тестовых примеров на капчу. Но всегда помните, что качество тестирования зависит не от того, сколько тестовых примеров мы пишем, а от эффективности и актуальности тестовых примеров.Итак, давайте попробуем написать эффективные тестовые примеры и тем самым сэкономить время, потраченное на написание тестовых примеров. Удачного тестирования! 🙂

Как работает тест CAPTCHA?

Нам всем пришлось это сделать — доказать, что мы не робот, просматривая страницы в Интернете. Но что это за надоедливый тест CAPTCHA? Зачем это нужно? А как это работает?

Что такое тест CAPTCHA?

CAPTCHA — это аббревиатура от… ну… на самом деле немного скучновато:

• C полностью
• A автоматически
• P ublic
• T uring Test to Tell
компьютеров и
• H umans
• A part

Да, мы знаем, что это не совсем аббревиатура.Вы можете согласиться с создателями термина — Луисом фон Ан, Мануэлем Блюмом, Николасом Хоппером и Джоном Лэнгфордом.

CAPTCHA предназначены для предотвращения использования мошенниками и спамерами ботов для совершения вредоносных действий в Интернете, таких как:

• Создание фальшивых учетных записей
• Спам ящиков для комментариев в блогах
• Покупка нескольких товаров (подумайте о мошенничестве с продажей билетов)
• Сокрытие личности мошенника через службы VPN

Какова их история?

Несмотря на то, что первые современные CAPTCHA существовали в различных формах на протяжении десятилетий, они были созданы в конце 90-х годов популярной в то время поисковой системой AltaVista.Им нужно было найти способ предотвратить добавление ботами спама и вредоносных URL-адресов в свою базу данных ссылок. Их ответом на проблему было создание экранного теста, который было бы относительно легко пройти человеку, но чрезвычайно сложно для ботов.

В то время компьютеры могли читать только чистый, легко читаемый текст. Итак, инженеры AltaVista заставляли пользователей — людей и ботов — читать искаженный фрагмент текста, который был (предположительно) разборчивым для человеческого глаза. Они выглядели примерно так:

Система какое-то время работала, но хакеры стали более изощренными.Они начали платить людям, чтобы те решали за них CAPTCHA, и использовали машинное обучение, чтобы боты могли самостоятельно взламывать коды. CAPTCHA должны были развиваться. Итак, мы стали свидетелями роста количества тестов на распознавание изображений, викторин и других головоломок в битве за обман этого нового поколения ботов.

Рождение reCAPTCHA

Вы, наверное, заметили, что в наши дни стало меньше CAPTCHA различных головоломок. Вместо этого вас просят установить флажок, чтобы подтвердить, что вы не робот. Это не Google CAPTCHA reCAPTCHA.И вы думали, что имя не может быть глупее.

Что здесь происходит? Если боты становятся умнее, тогда можно поставить галочку, не так ли?

Ну да. Но они делают это иначе, чем люди. Новый тест Google очень умный. Формула является совершенно секретной, но мы знаем, что она отслеживает движения мыши пользователя до того, как установит флажок. Люди склонны перемещать мышь беспорядочно, что боты не могут воспроизвести. Тест также оценивает активность пользователя в отношении файлов cookie и IP-адрес, чтобы убедиться, что они соответствуют активности человека.Довольно изящно, правда?

Google reCAPTCHA удобна и эффективна, но она вызывает некоторое беспокойство по поводу конфиденциальности. Сколько данных собирает Король Сети о своих пользователях и для каких целей? Это большой спор в другой день, но, вероятно, можно с уверенностью сказать, что по мере развития тактики блокировки ботов Google будет расти и его понимание пользователей-людей.