Anonim
[SECURITY STORY] CAPTCHA

Nästan varje gång du registrerar dig för ett onlinekonto måste du bevisa att du är en människa genom att läsa och ange någon trasslad text som förmodligen inte kan avkodas av en dator. Varför? Antag att en con-man kan använda ett skript för att omedelbart skapa en miljon Facebook-konton. Han kan orsaka mycket problem med dem innan Facebook stängde av honom. Med en miljon falska e-postkonton kunde han skicka massor av skräppost. Med hjälp av en miljon falska Amazon-konton kunde han falskt skicka alla produkter till toppens popularitet eller sänka den till kategorin "värsta någonsin". Det är uppenbart att det är vettigt att begränsa dessa konton till faktiska människor.

Forskare vid Carnegie Mellon University myntade begreppet CAPTCHA för att beskriva tekniker för att säkerställa att online-svar kommer från människan, inte skript. Det står, liksom, för " C ompletely A utomated P ublic T uring test to tell C omputers and H umans A part." (OK, jag ska bevilja att det historiska Turing-testet kräver att en dator svarar så att du inte kan berätta det från en människa, men anslutningen är där).

De vanligaste CAPTCHA-systemen presenterar text som är obduktad på något sätt. Tecknen kan vara förvrängda, roterade, visas mot en förvirrande bakgrund eller blandas på något annat sätt. Människor kan fortfarande läsa dem, om än ibland med svårigheter. Skript och bots kan inte läsa dem. Eller kan de?

Massor av problem
Problemet är att det finns många sätt för svindlare att komma runt denna typ av CAPTCHA. Optisk karaktärigenkänning blir bara bättre. Förbehandling kan filtrera bort de "bullriga" bakgrunder som finns i vanliga CAPTCHA-bilder. Avancerade algoritmer kan hantera distorsioner. Kanske en scammers automatiserade system bara kan lösa en CAPTCHA på fyra? Han kan fortfarande skapa en miljon falska konton genom att försöka fyra miljoner gånger.

Alternativt kan bedragare förlita sig på mänsklig uppfinningsrikedom. CAPTCHA-gårdar i fattiga länder betalar människor en pittans för att lösa tusentals CAPTCHA per timme. Visst, ett skript som måste vänta på mänsklig intervention kan inte köra lika snabbt som ett rent kodbaserat skript, men det får jobbet gjort.

Du kanske har blivit grymd i en CAPTCHA-lösande armé helt utan din vetskap, särskilt om du gillar stygga bilder. Ett knepigt system som ses för flera år sedan avslöjade successivt rasare stripteasbilder men krävde att tittaren skulle lösa en CAPTHA för varje ny mindre klädd vy.

Värst av allt är att människor inte alltid tolkar CAPTCHA-texten korrekt. Om en webbplats avvisar ditt inträde, försöker du igen eller bara åker någon annanstans? Vad sägs om det andra avslaget, eller det tredje?

Alternativ Galore
Om medlemmar av Fast IDentity Online (FIDO) Alliance lyckas i deras strävan behöver vi så småningom inte använda någon form av kullerstenssammansatta autentiseringssystem som lösenord eller CAPTCHA. De strävar efter en allomfattande webb av autentisering med standardiserad global kompatibilitet. Med medlemskap som inkluderar så tunga hitters som PayPall och Lenovo är detta en seriös grupp. Tyvärr är alliansen bara bildande; de har inga resultat för oss än.

är du en människa - playthru

Dessa tre är bland de mer framstående, men många andra utvecklare arbetar för att lösa problemet med att separera människor från bots utan att irritera människorna.

Se till framtiden
Jag kan föreställa mig en framtid där vi alla kan skryta med en unik och icke-glömsk elektronisk identitet som accepteras av varje app, webbplats och kafé. Kanske FIDO-alliansen kommer att förverkliga den drömmen? Jag är medveten om att vissa tycker att detta skulle vara en invasion av privatlivet, eller till och med ett tecken på att slutetiderna är nära, men för mig verkar det vara en stor förbättring jämfört med att identifiera oss med lösenord (naturligtvis starka) och bevisa att vi är inte robotar genom att lösa CAPTCHAs eller ekvivalenter.