Полностью автоматизированный публичный тест Тьюринга для различения компьютеров от людей, более известный как CAPTCHA, которую мы видим на входе многих сайтов, теперь может быть неправильным названием, поскольку исследователи обнаружили, что компьютеры намного лучше справляются с ними.
Мера по защите от ботов восходит к 1997 году, а аббревиатура – к 2003 году, когда технология начиналась как искаженная последовательность букв и/или цифр. Реализация Google, reCAPTCHA, в конечном итоге покончила со многими из этих махинаций, чтобы заставить браузер идентифицировать пользователей с низким уровнем риска в фоновом режиме, но метод проверки с помощью изображения по-прежнему время от времени появляется, если риск не может быть установлен.
Обычные люди считают их пустой тратой времени, веб-разработчики видят в них важнейшую защиту от ботов, а преступники – еще одно препятствие, которое необходимо преодолеть.
«Мы точно знаем, что их очень не любят. Нам не нужно было проводить исследование, чтобы прийти к такому выводу», сказал руководитель группы Джин Цудик из Калифорнийского университета в Ирвине. «Но люди не знают, действительно ли эти усилия, эти колоссальные глобальные усилия, которые вкладывают в решение CAPTCHA каждый день, каждый год, каждый месяц, стоят того».
Благодаря неумолимому движению прогресса ответ оказался отрицательным.
Обнаружив, что 120 из 200 самых популярных веб-сайтов используют те или иные тесты CAPTCHA, команда привлекла 1000 человек всех возрастов, полов, местоположений и образования и заставила каждого пройти по 10 тестов CAPTCHA на этих сайтах.
Затем они сравнили эти успехи с успехами ряда ботов, написанных исследователями и опубликованных в журналах с целью прохождения тестов CAPTCHA.
Для искаженных текстовых полей людям требовалось 9-15 секунд с точностью всего 50-84%. Боты проходили тест менее чем за секунду с точностью 99,8%.
«Нет простого способа использовать эти небольшие задачи с изображениями или что-то еще, чтобы отличить человека от бота», прокомментировал член команды Эндрю Сирлз, рекомендуя организациям использовать для различения людей от ботов вместо CAPTCHA «интеллектуальные алгоритмы».
Шуджун Ли, профессор кибербезопасности в Кентском университете, объяснил, что стремительное развитие передовых методов машинного обучения сделало защиту устаревшей.
«В целом, как концепция CAPTCHA не достигла цели безопасности и в настоящее время представляет собой скорее неудобство для менее квалифицированных злоумышленников», сказал он. «Необходимы новые подходы, такие как более динамичные подходы с использованием поведенческого анализа».
Джесс Лерой, старший директор по управлению продуктами в Google Cloud, добавил: «Мы все больше внимания уделяем распознаванию и пресечению злонамеренных действий, совершаемых ботами или людьми. Таким образом, мы можем помочь нашим клиентам предотвратить потери, даже когда боты ИИ лучше маскируются под людей. Кроме того, мы уделяем большое внимание тому, чтобы помочь нашим клиентам защитить своих пользователей, не демонстрируя визуальных проблем, поэтому мы запустили reCAPTCHA v3 в 2018 году».
