CAPTCHA 的是是非非

最近,一種最新的 3D 風格的 CAPTCHA 機制的出現讓我又一次對 CAPTCHA 開始了一番思考,APTCHA 作為一種防止對網站進行濫用的機制,似乎可以防止惡意程序或機器人搗亂,然而這種機制是否真的有效,是否真的可以阻擋網絡濫用?本文講述了 CAPTCHA 的是是非非,以及它必將衰落的原因。

這種最新的 CAPTCHA 機制應用在 YUNiTi 網站的用戶注冊頁面,它被認為是當前計算機技術無法破解的 CAPTCHA 機制。傳統的 CAPTCHA 機制通過讓用戶辨認一些變形的,被干擾的字母來區分真實用戶和機器人,而這個最新的 CAPTCHA 則讓用戶通過辨認圖形猜謎,不過,這個 CAPTCHA 所保護的服務似乎并不是很受關注,否則,人們會很快找到破解的方法,就像他們攻破很多變形字母 CAPTCHA 那樣。

然而問題并不在于這些 CAPTCHA 機制如何,或者有一天人們終究會設計出終極方案,而問題的關鍵在于,CAPTCHA 這種技術存在很多問題,這些問題將導致它最終的失敗:

CAPTCHA 讓人費神

誠然,人比機器聰明,然而這并不意味著人可以很容易展示這種聰明。在國際機器智能圖靈比賽中,人有時候還分辨不出機器人。網站的訪問者們并不愿意在這方面費神,很多人抱怨有些 CAPTHCHA 太難,我們希望 CAPTCHA 盡可能簡單,而不是讓我們絞盡腦汁。

CAPTCHA 存在嚴重的可訪問性問題

CAPTCHA 對某些方面的殘疾人來說是一場噩夢(并屢屢因此遭人詬病)。盲人無法看到基于圖像的 CAPTCHA,而視力不濟的人也不容易看清那些故意扭曲的文字。有些網站提供的語音選項要么對人太難,要么對機器人又太容易,當然,耳聾者也無法使用這個選項。即使視力和聽力都沒問題,那些閱讀困難者也很難辨認那些基于扭曲文字的 CAPTCHA,因此,將你的 CAPTCHA 機制做得盡可能簡單,并提供多種多種選項是網站可訪問性的一個重要因素。

CAPTCHA 經濟學

試想我們果真設計出了某種非常難以破解的 CAPTCHA 機制,用來限制對某些有價值資源的惡意訪問,如基于 Web  的電子郵件或社會網絡賬戶。試想你是一個垃圾信息發送者,想創建10萬個這樣的賬戶,你可以從第三世界找一些人來幫你通過人工的方式實現,有人計算,假如人工可以在10秒內解決一個 CAPTCHA,10萬個賬戶只需要大約278個小時,也就一個人月多一點的工作量。如果你把這個作為一種生意,還可以進一步降低成本。我并非惡意軟件經濟學家,但我相信你通過這種方式獲得的回報會比付出多得多。這還可能形成一個外包市場,幫人解 CAPTCHA (Craigslist 就是一個很好的例子,有不少人靠幫人解 Craigslist 的 CAPTCHA 為生 - 譯者)。甚至一些黑客可以已經在使用更聰明的辦法,他們將需要解的 CAPTCHA 部署在自己的色情或盜版資源網站上,讓需要這些資源的人自愿去解。

雇人去解 CAPTCHA 和 CAPTCHA 機制的初衷是契合的,普通用戶不會為了一點微不足道的價值而在 CAPTCHA 上花費大量時間,因此解 CAPTCHA 所花費的精力必須小于網站所提供資源的價值,而這些惡資源的價值對黑客來說可能更高,因此雇人破解的代價事實上更低。

如此說來,對那些提供免費服務的網站來說,CAPTCHA 并不應該大量使用,我們是否有其它選項,也許有,也許沒有,不過有一些技術我們似乎應該嘗試:

  • 對免費賬戶使用配額或一些限制措施。比如那些使用 Gmail 發送垃圾郵件的人會受到配額限制,Facebook 也是。
  • 對機器程序進行探測。
  • 垃圾信息過濾,不僅對進入的垃圾信息過濾,對發出的垃圾信息也要過濾。
  • 如果發送的信息接收人不需要,則讓發送者支付一點費用,這樣,那些大規模發送垃圾信息的人會因為不劃算而停止,而對正常用戶,因為費用微不足道也不會造成負擔。

 

本文國際來源:http://technobabblepro.blogspot.com/2009/04/captcha-gotcha.html
中文翻譯來源:COMSHARP CMS 官方網站





評論
...
發表評論


用戶


評論(不超過1000字)


 2 - 4 = ? 請將左邊的算術題的結果填寫到左邊的輸入框  


  發送給朋友| 打印友好
7 x 12 小時服務熱線
0532 - 83669660
微信: comsharp
QQ: 13885509
QQ: 592748664
Skype: comsharp