16 Августа, 2018

Captcha умирает? Что нас будет защищать в будущем?

Panda Security в России и СНГ
Возможно, вы не знаете, что такое CAPTCHA, но вы ее точно использовали много раз. Помните, это искаженный текст, который необходимо напечатать перед тем, как отправить форму на веб-сайте? Вот это и есть CAPTCHA.

CAPTCHA на самом деле является очень важным инструментом для защиты веб-сайтов от ботов и автоматизированных хакерских утилит. Вредоносные приложения научились очень хорошо заполнять формы автоматически, но они не так хороши при расшифровке текста, скрытого в изображениях. Именно этот принцип привел к созданию проверок CAPTCHA.

Вы - человек?
Боты были серьезной проблемой для владельцев веб-сайтов на протяжении многих лет. Чтобы помочь отделить реальных людей от ботов, технологи изобрели полностью автоматизированный публичный тест Тюринга, чтобы определить, кто вводит данные в форме – человек или компьютер. Так и появилась CAPTCHA (Completely Automated Public Turing Test to tell Computers and Humans Apart). Реальные люди могут спокойно «читать» текст, скрытый в изображениях, а вот компьютеры – не могут.

Недавно тест CAPTCHA несколько изменился. Теперь вам могут показывать девять небольших картинок, а вы должны нажать на все картинки, которые соответствуют определенной инструкции: например, все картинки, которые содержат витрину магазина. Основной принцип остается прежним: боты не могут четко анализировать изображение, поэтому они не могут обмануть систему.

Компьютеры могут пройти тест
Но проблема заключается в том, что компьютеры становятся все умнее. Искусственный интеллект и технологии машинного обучения способствуют тому, чтобы боты научились анализировать изображения и идентифицировать буквы, скрытые в них. Они даже могут аккуратно идентифицировать элементы в изображениях, позволяя обходить новейшие версии систем CAPTCHA.

Что дальше?
К сожалению, это означает, что CAPTCHA не может далее предлагать полную защиту от ботов. Это также означает, что дальнейшее использование CAPTCHA на веб-сайтах может подвергнуть их риску взлома.
Специалисты по веб-технологиям ищут другие способы определить, является ли пользователь человеком или компьютером. Одним из решений, предлагаемых компанией Amazon, является использование теста, который человек, наоборот, должен провалить: например, за определенное время указать, сколько раз буква «е» встречается в длинном предложении. Боты такие тесты всегда проходят, а вот человек в подавляющем большинстве случаев - нет.

Google разработал другой альтернативный вариант, который они называют «Invisible reCaptcha». Система использует искусственный интеллект для обнаружения того, как вы взаимодействуете  веб-страницей, отслеживая, например, движения мышки и количество нажатий. А все потому, что бот не делает таких «человеческих» движений, в результате этого система может определить ботов и заблокировать их, при этом вы даже не будете знать о работе этой системы.

Нам нужна рабочая замена
Держа ботов подальше от своих сайтов, операторы сайтов гарантируют, что их списки для рассылок точны, конкурсы проводятся честно, товары и билеты не продаются незаконным перепродавцам и спекулянтам, а ваши данные не будут украдены. Таким образом, работающая система CAPTCHA приносит реальную пользу и вам тоже.

Если не получится сделать подходящую замену CAPTCHA, возможно, владельцы веб-сайтов будут вынуждены использовать альтернативную систему, которая будет проверять достоверность людей. Вполне полезная опция – социальные логины (например, Facebook и Google), но они также могут эксплуатироваться ботами.

Может быть, борьба с ботами становится гонкой между системами с искусственными интеллектами: хорошие операторы сайтов сражаются с хакерами с еще более умными компьютерными системами, которые могут тренироваться, чтобы выдавать себя за человека. По иронии судьбы, в будущем мы можем ожидать меньшего участия человека в процессе принятия решения.


Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru