最近，一種最新的 3D 風格的 CAPTCHA 機制的出現讓我又一次對 CAPTCHA 開始了一番思考，APTCHA 作為一種防止對網站進行濫用的機制，似乎可以防止惡意程序或機器人搗亂，然而這種機制是否真的有效，是否真的可以阻擋網絡濫用？本文講述了 CAPTCHA 的是是非非，以及它必將衰落的原因。

這種最新的 CAPTCHA 機制應用在 YUNiTi 網站的用戶注冊頁面，它被認為是當前計算機技術無法破解的 CAPTCHA 機制。傳統的 CAPTCHA 機制通過讓用戶辨認一些變形的，被干擾的字母來區分真實用戶和機器人，而這個最新的 CAPTCHA 則讓用戶通過辨認圖形猜謎，不過，這個 CAPTCHA 所保護的服務似乎并不是很受關注，否則，人們會很快找到破解的方法，就像他們攻破很多變形字母 CAPTCHA 那樣。

然而問題并不在于這些 CAPTCHA 機制如何，或者有一天人們終究會設計出終極方案，而問題的關鍵在于，CAPTCHA 這種技術存在很多問題，這些問題將導致它最終的失敗：

CAPTCHA 讓人費神

誠然，人比機器聰明，然而這并不意味著人可以很容易展示這種聰明。在國際機器智能圖靈比賽中，人有時候還分辨不出機器人。網站的訪問者們并不愿意在這方面費神，很多人抱怨有些 CAPTHCHA 太難，我們希望 CAPTCHA 盡可能簡單，而不是讓我們絞盡腦汁。

CAPTCHA 存在嚴重的可訪問性問題

CAPTCHA 對某些方面的殘疾人來說是一場噩夢（并屢屢因此遭人詬病）。盲人無法看到基于圖像的 CAPTCHA，而視力不濟的人也不容易看清那些故意扭曲的文字。有些網站提供的語音選項要么對人太難，要么對機器人又太容易，當然，耳聾者也無法使用這個選項。即使視力和聽力都沒問題，那些閱讀困難者也很難辨認那些基于扭曲文字的 CAPTCHA，因此，將你的 CAPTCHA 機制做得盡可能簡單，并提供多種多種選項是網站可訪問性的一個重要因素。

CAPTCHA 經濟學

試想我們果真設計出了某種非常難以破解的 CAPTCHA 機制，用來限制對某些有價值資源的惡意訪問，如基于 Web  的電子郵件或社會網絡賬戶。試想你是一個垃圾信息發送者，想創建10萬個這樣的賬戶，你可以從第三世界找一些人來幫你通過人工的方式實現，有人計算，假如人工可以在10秒內解決一個 CAPTCHA，10萬個賬戶只需要大約278個小時，也就一個人月多一點的工作量。如果你把這個作為一種生意，還可以進一步降低成本。我并非惡意軟件經濟學家，但我相信你通過這種方式獲得的回報會比付出多得多。這還可能形成一個外包市場，幫人解 CAPTCHA (Craigslist 就是一個很好的例子，有不少人靠幫人解 Craigslist 的 CAPTCHA 為生 - 譯者)。甚至一些黑客可以已經在使用更聰明的辦法，他們將需要解的 CAPTCHA 部署在自己的色情或盜版資源網站上，讓需要這些資源的人自愿去解。

雇人去解 CAPTCHA 和 CAPTCHA 機制的初衷是契合的，普通用戶不會為了一點微不足道的價值而在 CAPTCHA 上花費大量時間，因此解 CAPTCHA 所花費的精力必須小于網站所提供資源的價值，而這些惡資源的價值對黑客來說可能更高，因此雇人破解的代價事實上更低。

如此說來，對那些提供免費服務的網站來說，CAPTCHA 并不應該大量使用，我們是否有其它選項，也許有，也許沒有，不過有一些技術我們似乎應該嘗試：

• 對免費賬戶使用配額或一些限制措施。比如那些使用 Gmail 發送垃圾郵件的人會受到配額限制，Facebook 也是。
• 對機器程序進行探測。
• 垃圾信息過濾，不僅對進入的垃圾信息過濾，對發出的垃圾信息也要過濾。
• 如果發送的信息接收人不需要，則讓發送者支付一點費用，這樣，那些大規模發送垃圾信息的人會因為不劃算而停止，而對正常用戶，因為費用微不足道也不會造成負擔。

本文國際來源：http://technobabblepro.blogspot.com/2009/04/captcha-gotcha.html
中文翻譯來源：COMSHARP CMS 官方網站