CAPTCHA



CAPTCHA, akronim od "Completely Automated Public Turing test to tell Computers and Humans Apart", jest jednym z najczęstszych rozwiązań problemu udowodnienia, że użytkownik jest człowiekiem, czyli sprawdzenia, czy użytkownik próbuje wprowadzić strona internetowa to prawdziwa osoba lub zautomatyzowane oprogramowanie, zwykle nazywane botem i często wykorzystywane do złośliwych celów. Opracowano różne rodzaje testów CAPTCHA, aby rozwiązać problemy z dostępnością i bezpieczeństwem. W tym wpisie omówiono rozwój testów CAPTCHA i ich wykorzystanie w cyberbezpieczeństwie, różne rodzaje tych testów oraz trudności, jakie te testy mogą stwarzać dla użytkowników Internetu.

Bezpieczeństwo kontra dostępność

Złośliwe zautomatyzowane programy próbują uzyskać dostęp do stron internetowych z wielu powodów, na przykład w celu szpiegostwa przemysłowego lub prób cyberataków. Dostęp do strony internetowej może prowadzić do gromadzenia informacji i danych, uszkodzenia danych i/lub nawet penetracji wewnętrznej sieci firmy za pośrednictwem strony internetowej. Jednym z głównych problemów cyberbezpieczeństwa jest uzyskanie dowodu bycia człowiekiem, który dotyczy tego, czy agent próbujący dostać się na stronę internetową jest prawdziwą osobą, czy złośliwym zautomatyzowanym programem. CAPTCHA to jedno z najczęstszych rozwiązań tego problemu. "T" w nazwie oznacza "Test Turinga do powiedzenia", ponieważ testy CAPTCHA są jak testy Turinga. W oryginalnym teście Turinga, ludzki sędzia został poinstruowany, aby zadał serię pytań dwóm graczom, nie widząc ich. Jeden z graczy był komputerem, a drugi człowiekiem. Obaj gracze udawali ludzi, a sędzia musiał ich rozróżnić, decydując, który z nich jest maszyną. Testy CAPTCHA są podobne do testu Turinga, ponieważ odróżniają ludzi od komputerów, ale różnią się tym, że sędzią w testach CAPTCHA jest komputer. Test CAPTCHA został wynaleziony w 2000 roku przez Luisa von Ahna, Manuela Bluma, Nicholasa Hoppera i Johna Langforda z Carnegie Mellon University i jest używany do dziś. Korzystanie z testów CAPTCHA może chronić użytkowników i strony internetowe na kilka sposobów, takich jak zapobieganie przypadkom spamu na blogach, ochrona rejestracji stron internetowych, ochrona adresów e-mail przed scraperami i zapobieganie cyberatakom, zapewniając jednocześnie, że osoby, które wchodzą na stronę internetową, są ludźmi. Test przeprowadza proces uwierzytelniania typu challenge-response, przedstawiając wyzwanie użytkownikowi, a prawo dostępu do strony internetowej jest przyznawane tylko w przypadku rozwiązania wyzwania. Jeżeli użytkownik nie rozwiąże testu, to uważa się go za maszynę; w przeciwnym razie użytkownik jest uważany za autentycznego człowieka, a dostęp jest dozwolony. Aby rozwiązać test, użytkownik musi wykorzystać zdolności poznawcze, które w chwili obecnej są dla maszyn bardzo trudne, a nawet niemożliwe. Cyberzagrożenia stały się liczne, a próby dotarcia do komputerów przez nieautoryzowanych agentów rosną. Dlatego implementacje CAPTCHA można znaleźć w ponad 3,5 milionach witryn na całym świecie, we wszelkiego rodzaju witrynach, takich jak witryny używane do wypełniania formularzy, pisania komentarzy i kupowania biletów. Ludzie rozwiązują ponad 300 milionów testów CAPTCHA dziennie. Co więcej, aby zminimalizować problemy ze słabością haseł i "zmęczeniem haseł", firmy i badacze nie mogą się doczekać zastąpienia haseł testami CAPTCHA, jeszcze bardziej rozszerzając wykorzystanie CAPTCHA. Jednak niektóre podstawowe testy CAPTCHA zostały złamane, więc naukowcy starają się wzmocnić bezpieczeństwo, czyniąc rozwiązania testów CAPTCHA bardziej złożonymi. Należy zauważyć, że nie wszystkie boty są złośliwe. Istnieją zautomatyzowane programy, które uzyskują dostęp do stron internetowych, aby ułatwić dostarczanie użytkownikom dokładnych i nowych informacji z Internetu, takie jak roboty typu spider, handel, media i RSS. Białe listy dla łagodnych botów i czarne listy dla złośliwych botów to tylko niektóre z metod wykorzystywanych do filtrowania ruchu, który podejrzewa się, że pochodzi od bota.

Rodzaje CAPTCHA

Zdefiniowano i opracowano kilka rodzajów testów CAPTCHA. W tej sekcji opisano pięć najczęściej używanych ich typów. Inne typy testów CAPTCHA wywodzą się z tych podstawowych.

1. Tekstowy test CAPTCHA jest najczęściej stosowanym rodzajem testu, składającym się z sekwencji cyfr i liter, przekręconych i pokazanych w zniekształcony sposób, głównie z nagryzmolonym tłem, które utrudnia rozszyfrowanie znaków. Użytkownik musi określić, co jest wyświetlane i wpisać dokładną sekwencję w polu tekstowym. Jeśli użytkownik nie może rozszyfrować wyświetlanego tekstu, można ponowić próbę z innym tekstem. Istnieje również opcja odsłuchiwania liter, która została opracowana z myślą o osobach z dysfunkcją wzroku. W tej opcji użytkownik słyszy sekwencję liter i/lub cyfr i musi ją wpisać w pole tekstowe, ale często dzieje się to na hałaśliwym tle, co nie pomaga zbytnio. Kiedy tekst jest wpisywany pomyślnie użytkownik uzyskuje dostęp do serwisu. Jeden z mechanizmów tekstowych CAPTCHA, zwany reCAPTCHA, miał pierwotnie pomóc w digitalizacji drukowanego tekstu, który był trudny do odczytania za pomocą technologii optycznego rozpoznawania znaków. Google nabył ją w 2009 roku, aby zdigitalizować antyczne rękopisy, wykorzystując tzw. mądrość tłumów. Zasada jest prosta: użytkownik otrzymuje tekstowy test CAPTCHA składający się z dwóch słów. Pierwsze słowo to automatyczny test generowany przez system, na który odpowiedź jest znana systemowi. Drugie słowo to obraz nieodszyfrowanego słowa ze starej książki lub gazety, w którym zawiódł skomputeryzowany mechanizm optycznego rozpoznawania znakówdo digitalizacji. Jeśli osoba odpowiadająca na reCAPTCHA wpisze poprawnie pierwsze słowo, system zakłada, że drugie słowo również zostało wpisane poprawnie. Uzyskanie tej samej odpowiedzi od różnych użytkowników zatwierdzi tę decyzję, a słowo może zostać zaakceptowane i zdigitalizowane.

2. Wprowadzony w 2013 roku test no CAPTCHA reCAPTCHA rozpoczął wdrażanie analizy behawioralnej interakcji użytkownika z CAPTCHA i przeglądarką. Ta analiza jest wykonywana przez system, ukryty przed użytkownikiem, przed wyświetleniem testu CAPTCHA , a w przypadkach, gdy system jest zaniepokojony autentycznością użytkownika, przedstawia regularny i trudniejszy test tekstowy CAPTCHA. Od 2014 roku mechanizm ten jest osadzony w większości usług Google. Dla większości użytkowników jest to najprostszy test CAPTCHA, w którym wystarczy zaznaczyć okienko potwierdzające, że nie jest robotem.

3. Test CAPTCHA oparty na operacjach arytmetycznych zawiera bardzo podstawową operację arytmetyczną, na przykład "16 + 12 = ". Użytkownik musi wpisać wynik operacji w polu tekstowym. Ten rodzaj testu CAPTCHA wymaga podwójnego wysiłku poznawczego, po pierwsze, aby odszyfrować przedstawione liczby i znaki, a po drugie, aby wykonać właściwą operację arytmetyczną. Jednak liczba znaków i liczb arytmetycznych jest stosunkowo niewielka, więc tego rodzaju test jest bardziej podatny na złamanie.

4. Test CAPTCHA oparty na obrazkach zawiera kilka obrazków, które są pokazywane użytkownikowi, po których następuje proste pytanie. Użytkownik musi zidentyfikować zdjęcia, a następnie wybrać te, które przedstawiają poprawną odpowiedź. Nie trzeba pisać żadnego tekstu, wystarczy wskazać odpowiednie obrazki i kliknąć na nie. Istnieją pewne odmiany CAPTCHA opartego na obrazach, na przykład zniekształcone lub obrócone obrazy, które użytkownik musi przesuwać myszą lub palcem po dotykowym ekranie, aby uporządkować obraz. Czasami te zniekształcone zdjęcia zawierają reklamy firm. Kolejna odmiana polega na wyświetlaniu różnych zdjęć tego samego obiektu, na przykład różne zdjęcia kotów, i prosi użytkownika o wpisanie nazwy obiektu. W takim przypadku użytkownik musi znać konkretny język, na przykład angielski, aby napisać "kot". 5. Test CAPTCHA oparty na grze obejmuje łamigłówki lub małe interaktywne gry. Grywalizacja, zastosowanie zabawy i doświadczenia motywujące określone zachowanie, są coraz częściej omawiane jako sposób na poprawę doświadczenia użytkowników na stronach internetowych. Aby zachęcić użytkowników do wykonywania żmudnych, ale znaczących zadań, aktywność została wzbogacona o zabawną funkcję, wykorzystującą opcję "przeciągnij i upuść" myszy lub przeciągając obiekty palcem po dotykowym ekranie. Na rysunku 2 widać przykład gry. W tym przykładzie użytkownik musi przeciągnąć zdjęcia które są kwiatami w wazonie. Gdy wszystkie kwiaty zostaną wciągnięte do wazonu, użytkownik uzyska dostęp do strony internetowej.

Problemy z użytecznością

Jednak testy CAPTCHA nie są spersonalizowane. Wszyscy użytkownicy, pomimo swoich unikalnych cech, otrzymują od serwisu te same testy do rozwiązania. Szerokie wykorzystanie CAPTCHA pogarsza wrażenia użytkowników z niepełnosprawnościami, przeszkadza starszym użytkownikom, a nawet denerwuje zwykłych użytkowników. Niektórzy użytkownicy czują się zagrożeni, zirytowani i sfrustrowani tymi testami, ponieważ nie są w stanie zrozumieć potrzeby tych testów i ich częstego używania. Inni użytkownicy uważają, że wyświetlany tekst jest bardzo niejasny i mają trudności z jego rozwiązaniem. Większość użytkowników uważa testy CAPTCHA za przeszkody, które ich spowalniają i zakłócają ich działania na stronach internetowych. Ta irytacja powoduje w niektórych przypadkach spadek zadowolenia z doświadczenia użytkownika, a nawet może spowodować porzucenie strony przez użytkownika. Testy CAPTCHA, które są wdrażane na milionach stron internetowych, podkreślają luki między dostępnością a bezpieczeństwem w Internecie, ponieważ mogą stanowić przeszkodę dla osób niepełnosprawnych fizycznie oraz tych, którzy mają upośledzenie w umiejętności czytania i rozumienia tego, co jest prezentowane w test. Konflikt między dostępnością a ochroną w świecie Internetu jest złożonym zagadnieniem, dotyczącym konieczności z jednej strony umożliwienia szerokiemu gronu różnych użytkowników dostępu do pożądanej strony internetowej, a z drugiej uniemożliwienia dostępu złośliwym elementy. Testy CAPTCHA są skutecznym podejściem do tego celu, ale są trudne dla użytkowników niepełnosprawnych, zwłaszcza z trudnościami w uczeniu się, którzy mają trudności z czytaniem, rozumieniem i/lub wykonywaniem testów. Użytkownicy z problemami ze wzrokiem uważają, że rozszyfrowanie tekstów jest trudne, zwłaszcza ze zniekształconymi znakami. Osoby z trudnościami w uczeniu się mają trudności z czytaniem zwykłych tekstów; w ten sposób czytanie i rozszyfrowywanie zniekształconych liter, jak w przypadku testów tekstowych lub arytmetycznych CAPTCHA, wydłuży ich wysiłek w czytaniu, a zatem czas potrzebny na wykonanie zadania może być dłuższy. Wielu użytkowników z trudnościami w uczeniu się uzna te testy za frustrujące i wyczerpujące, ponieważ łączą wysiłek poznawczy i fizyczny. Muszą czytać zniekształcone teksty, rozumieć je, wykonywać obliczenia, a nawet precyzyjnie przesuwać małe obrazki. Grywalizacja testu może skutkować łatwiejszym zadaniem, którego wykonanie zajmuje mniej czasu dla użytkowników z trudności w uczeniu się. Testy CAPTCHA muszą być z jednej strony bardzo łatwe do przejścia dla użytkownika, a z drugiej bardzo trudne dla botów. Niektórzy badacze i hakerzy próbowali złamać testy CAPTCHA. Ponadto różne rodzaje testów CAPTCHA są wciąż opracowywane, w tym biometryczne alternatywy i kombinacje. Wszystkie opisane wcześniej typy testów wpływają w pewnym stopniu na wrażenia użytkownika. Żaden z tych typów testów nie jest sam w sobie idealny i nie ma idealnego rozwiązania dla całej populacji ze względu na wiele wyzwań związanych z dostępnością, użytecznością i doświadczeniem użytkownika w Internecie. Projektant witryny musi wziąć pod uwagę charakterystykę głównych odbiorców projektowanej witryny i wdrożyć najlepsze rozwiązanie dla tej konkretnej grupy odbiorców, niezależnie od tego, czy jest to konkretny rodzaj CAPTCHA, czy ich kombinacja. Właściwy projekt ze strony ekspertów ds. doświadczenia użytkownika, programistów, projektantów stron internetowych i badaczy może prowadzić do zastosowania rozwiązań, które są bardziej odpowiednie lub dla wielu użytkowników w ogóle, a zwłaszcza dla osób niepełnosprawnych. Takie rozwiązania mogłyby znacząco wpłynąć na dostępność Internetu i poprawić wrażenia użytkownika na wielu stronach internetowych.


Powrót


[ 4 ]