CAPTCHA真的能增強登錄安全性嗎?

CAPTCHA Login Security

每一秒都依賴於互聯網,即使是最耐心的用戶也會在以最快,最有效的方式完成在線任務時感到沮喪。因此,即使是最寬容的人也常常被CAPTCHA煩惱 - 這些簡單的測試通常放在註冊表和評論部分。

對於一個外行人來說,CAPTCHAs看起來像是一個不想讓人們的生活變得更難的人造成的不必要的煩惱。更多用戶知道雖然它們會給整體體驗帶來額外的摩擦,但出於安全考慮,我們需要它們。然而,很少有人知道CAPTCHA測試解決了多少問題,以及它們有多重要。

什麼是CAPTCHA測試

CAPTCHA代表C ompletely A utomated P ublic T uring測試告訴C omputers和H umans A part。它不是世界上聽起來最好聽的名字,但至少它能夠傳達技術的全部內容 - 它是一種自動發現鍵盤另一端真人的方式。但為什麼我們需要這樣做呢?

正如我們已經提到的,在網絡世界中,盡可能在盡可能短的時間內盡可能地做到這一點非常重要。這不僅適用於普通計算機用戶,也適用於那些沒有好處的人。自動化腳本現在可以執行大部分操作 - 發表評論,登錄在線帳戶以及註冊新服務。通常情況下,壞人會編寫自動腳本來執行所有這些操作,目的是造成傷害,危及用戶隱私,或者只是惹惱他們。 CAPTCHA的目標是限制這些活動。

CAPTCHA解決的惱人問題

如果您正在開發服務或產品,重要的是聽聽人們對它的看法,並且由於互聯網,這比以往更容易。負面的客戶評論通常可以作為許多人的交易破壞者,自然而然,供應商都害怕它們。許多人試圖通過認識到在產品的設計和開發過程中可能出現的一些錯誤,然後投入時間和精力來修復錯誤來使任何批評沉默。

可悲的是,其他人採取了不同的方法。他們使用自動機器人發布了大量關於他們自己產品的積極評論和評論。積極性淹沒了真正的意見,而潛在客戶會對真實用戶的實際想法產生錯誤的印象。顯然,相同的技術可以用於相反的方向 - 充斥評論部分和討論板,對某個產品進行負面評論,以便讓人們遠離它。

CAPTCHA測試不允許自動機器人發布評論或評論,這意味著想要通過影響用戶意見獲得不公平優勢的人需要手動完成,既不快也不高效。這是個好消息,但CAPTCHA要比這更多。

您可能知道,有很多人希望收集盡可能多的關於您的信息。這項活動被稱為網絡抓取,雖然它可能在某些國家產生法律影響,但這顯然不足以阻止許多人和組織。再一次,速度至關重要,這就是為什麼有一些工具可以自動收集數據。正如您可能已經猜到的那樣,CAPTCHA測試會使它們效率低下。

CAPTCHA解決的問題更為嚴重

由積極的營銷人員收集您的個人信息並不是特別令人愉快,也不會被愚弄購買低質量的產品。然而,這兩件事對你的生活不太可能產生特別持久的影響。不幸的是,自動腳本有時用於具有更嚴重後果的方案。

您可能知道,垃圾郵件是網絡安全專業人員面臨的最大問題之一. 它用於從廣告骯髒的藥品到散佈惡意軟件,它可以成為騙子武器庫中非常強大的武器。然而,犯罪分子需要從某個地方發送垃圾郵件,這通常會帶來一些問題。

他們可以(並且通常會)使用不會懷疑某事物的用戶的受感染電子郵件帳戶。針對垃圾郵件發送者的問題是,在第一波欺詐性郵件被釋放後不久,發件人就會被迅速添加到黑名單中,而後續郵件通常仍然無法傳遞。

在註冊頁面上沒有CAPTCHA測試的免費電子郵件提供商為騙子提供了解決方案。垃圾郵件製造者可以簡單地編寫一個自動工具,在幾分鐘內創建數百個新的,獨特的電子郵件帳然後,當這些被阻止時,腳本可以註冊另一批帳戶,依此類推。所有騙子需要做的就是點擊一些按鈕,坐下來等待結果。

說到這一點,這也是他們發起在線蠻力攻擊時所做的一切。與流行的看法相反,你實際上並不需要做很多“黑客攻擊”才能發動網絡攻擊。通常,一切都取決於找到合適的工具並進行部署。在暴力場景中,CAPTCHA測試可能意味著成功攻擊和失敗之間的區別,特別是當攻擊者不是非常複雜時。不幸的是,他們有時候會。

CAPTCHA的演變

當你討論CAPTCHA時,大多數人可能會想到扭曲詞語的圖像。但是,您可能已經註意到,CAPTCHA測試在過去幾年中有所改變。

CAPTCHA測試的重點在於它對人類來說應該是容易的,但對計算機來說是不可逾越的障礙。幾年前,帶有扭曲詞語的經典CAPTCHA就是這樣。然而,多年來,光學字符識別(OCR)技術變得越來越好,並且緩慢但肯定地,計算機開始“讀取”扭曲的單詞。開發人員的回應是讓挑戰變得更加困難,但有一次,人們開始抱怨這些詞語完全不可讀。為視障用戶提供的音頻等價物也被證明對複雜的攻擊無效。

意識到必須要做的事情,谷歌開發了noCAPTCHA reCAPTCHA - 這個測試看起來比傳統的CAPTCHA更容易解決。現在,在大多數網站上,你只需要點擊一個複選框來證明你是一個人,當有另一個挑戰時,通常很容易就像選擇一組有類似物體的照片一樣。

谷歌對這項技術的運作方式保持緘默,但它應該比傳統的CAPTCHA更可靠。顯然,在嘗試確定真人是否正在與服務進行交互時,需要考慮許多不同的因素。如果它認為你可能是一個機器人,它將呈現複選框挑戰,如果它仍然不確定,它會給你一些照片,要求你挑選奇怪的。

如您所見,CAPTCHA是解決各種不同問題的非常重要且相當聰明的解決方案。它在過去一直受到批評,但多年來,它在用戶體驗和安全性方面都有了突飛猛進的發展。

CAPTCHA是完美的解決方案

不,它沒有。首先,雖然谷歌的新系統應該對自動機器人非常有效,但一些黑客仍然認為他們可以以相當可觀的成功率組織攻擊。即使他們現在不能這樣做,他們遲早會找到一種愚弄谷歌機器人識別系統的方法,專家們需要努力工作才能保持領先一步。

還有更多. 正如我們已經提到的,有些人認為圍繞CAPTCHA測試工作對他們的業務成功至關重要,當然,有些組織願意迎合他們。許多破解CAPTCHA的服務只是谷歌搜索的一部分,其中一些是基於OCR技術的工具,而其他人據報導為真正的人付出了少量的錢來換取解決的CAPTCHA測試。

當然,事實上雖然它可以解決很多問題,但它不是(也絕不會是)靈丹妙藥。例如,在離線暴力攻擊中,它不會做太多。

所以,CAPTCHA並不完美。然而,它相當擅長它的設計目標,雖然它通常意味著我們需要花費更多時間來完成一項特定任務,但我們不應低估它的重要性。

January 28, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
8 + 10是什麼?