CAPTCHA是否真的提高了登录安全性?

CAPTCHA Login Security

我们每一秒都依赖于互联网。如果在线任务无法以最快、最有效的方式进行,即使是最耐心的用户也会感到心烦意乱。因此,即使是脾气最好的人也因为CAPTCHA而感到困扰 - 这些简单的测试通常放在注册表和评论中。

对于一个外行人来说,CAPTCHA似乎不想让人们的生活变得麻烦,而它本身却带来了一些不必要的烦恼。更多用户知道虽然它们会给整体体验带来不便,但出于安全考虑,我们仍需要它们。但事实上,很少人知道CAPTCHA测试解决了多少问题,以及它们有多重要。

CAPTCHA测试是什么?

CAPTCHA的全称是全自动区分计算机和人类的图灵测试。 它的名字有些长,但至少准确反映了它到底是一项什么技术 - 它是一种区分用户是计算机还是人类的程序算法。但我们为什么需要它呢?

正如我们前面所提到的,在网络世界中,在尽可能短的时间内完成尽可能多的事。不仅是普通计算机用户,对于一些图谋不轨的人来说也是如此。自动化脚本可以执行大部分操作——发表评论、登录在线账户以及注册新的服务。通常情况,不良分子会编写自动脚本来执行所有这些操作,来对用户造成损害或是侵犯隐私。CAPTCHA的目标是限制这些恶意活动。

CAPTCHA解决了许多恼人的问题

如果您正在开发服务或产品,了解人们对其看法是很重要的。通过互联网,这项工作变得更轻松。负面的客户评论可能会影响人们交易的欲望,自然而然,供应商就害怕这些评论。很多人应对批评的方法是主动去发现产品设计和开发过程中的错误,然后投入时间和来解决。

可悲的是,也有一些人采取了不同的方法——他们使用自动机器发布大量关于自己产品的好评。铺天盖地的好评淹没了真实的用户想法,潜在客户无法得知其他使用者的意见和看法。当然,这项技术也可以用户完全相反的目的——在评论中对某个产品发布大量的负面评论,让人们对其失去兴趣。

CAPTCHA测试不允许自动机器人发布评论,这意味着如果想要通过影响用户想法从而获得不公平的竞争优势,需要手动来完成这些工作。这样即缓慢又低效。这只是其中一个好的方面,CAPTCHA能做的比这更多。

有很多人希望收集尽可能多关于您的信息。这项活动被称为网络抓取,虽然它可能在某些国家产生法律影响,但显然这不足以阻止许多人和组织这么做。速度至关重要。一些可以自动收集数据的工具应运而生。CAPTCHA测试会降低它们的效率。

CAPTCHA还解决了一些更重要的问题

个人信息被一些营销人员收集显然是件烦人的事情,同样烦人的还有被忽悠购买低质量的产品。这两件事或许不会对您的生活产生特别持久的影响。然而不幸的是,自动脚本有时会带来严重后果。

很多人可能知道,垃圾邮件是网络安全专业人员面临的最大问题之一。它被用于推销不可靠的药品、散布恶意软件,甚至可以成为网络骗子手中强大的武器。犯罪分子需要从某个地方发送垃圾邮件,这往往会带来一些问题。

他们可以(并且经常会)使用一些疑心较低的用户的受感染电子邮箱。对于垃圾邮件发送者来说,问题是发送完一批欺诈性消息后,发件人就会被迅速添加到黑名单中,之后便无法正常发送消息。

注册页面上没有CAPTCHA测试的免费电子邮件提供商让骗子有机可乘。垃圾邮件制造者可以简单地编写一个自动工具,在几分钟内创建数百个新的,独特的电子邮件账户。如果这些邮箱被屏蔽,脚本可以注册另一批帐户,依此类推。他们只需点击一些按钮,然后等待结果。

网络犯罪分子发起在线攻击,基本都是这么做的。大家普遍认为“黑客攻击”是个很复杂的过程,而事实上正相反,只要找到了合适的工具并进行部署。CAPTCHA测试可能决定一场在线攻击是否成功,特别是当攻击者不是非常复杂时。不幸的是,情况有时候很复杂。

CAPTCHA的演变

当讨论CAPTCHA时,大多数人可能会想到含有扭曲词语的图像。但是,CAPTCHA测试在过去几年中已经有所改变。

CAPTCHA测试的重点在于它对于人类来说应该是容易的,但对于计算机来说是不可逾越的障碍。几年前,带有扭曲词语的经典CAPTCHA就是这样。然而,多年来,光学字符识别(OCR)技术变得越来越好,计算机开始“阅读”扭曲的单词。开发人员尝试让测试变得更加困难,但是,人们一度抱怨这些词语完全读不懂。为视障用户提供的音频方式也被证明对复杂的攻击无效。

意识到必须要采取措施,谷歌开发了noCAPTCHA reCAPTCHA——这个测试看起来比传统的CAPTCHA更容易解决。现在,在大多数网站上,你只需要点击一个复选框来证明你是一个人。还有另一种选择比如选择一组有相似物体的照片,这些都十分简单。

谷歌对这项技术的运作方式保持缄默,但它应该比传统的CAPTCHA更可靠。显然,在尝试确定真人是否正在与服务进行交互时,需要考虑许多不同的因素。如果它认为你可能是一个机器人,它将呈现复选框验证,如果它仍然不确定,它会给你一些照片,要求你选出其中特别的。

如您所见,CAPTCHA是为了解决各种不同问题而出现的非常重要且相当聪明的解决方案。它在过去一直受到批评,但多年来,它使用户体验和安全性都有了突飞猛进的发展。

CAPTCHA是完美的解决方案吗?

不,它不是。首先,虽然谷歌的新系统对自动机器人非常有效,但一些黑客仍然认为他们可以以相当可观的成功率组织攻击。即使他们现在无法做到这一点,他们迟早会找到一种骗过谷歌机器人识别系统的方法,专家们需要努力工作才能保持领先一步。

不仅如此,正如我们已经提到的,有些人认为围绕CAPTCHA测试工作对他们的业务成功至关重要。当然,有些组织愿意迎合他们。用谷歌一搜就能找到许多破解CAPTCHA的服务,其中一些是基于OCR技术的工具,也有报道说一部分人付钱聘请许多真人来完成CAPTCHA测试。

事实上,尽管它可以解决相当多的问题,但它不是(也绝不会是)灵丹妙药。例如,在离线暴力攻击中,它的作用就非常有限。

所以,CAPTCHA并不完美。然而,它的设计目的却相当不错,虽然它通常意味着我们需要花费更多时间来完成一项特定操作,但我们不应低估它的重要性。

January 8, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
8 + 4是什么?