«Да не робот я!»: CAPTCHA исчезнет или станет ёщё более раздражающей?
Вместе с ростом числа интернет-пользователей развивались боты для спам-рассылок и создания фейковых учетных записей. В 2000 году исследователями из Университета Карнеги-Меллона была разработана CAPTCHA, Completely Automated Public Turing Test to tell Computers and Humans Apart.
Капча служит защитным механизмом, генерируя задачи, которые легко решить людям и тяжело — ботам. Она не давала спамерам и мошенникам обманывать веб-сайты. Но с годами простые пользователи стали все больше уставать от капчи и воспринимать ее как раздражитель, а не механизм аутентификации.
Кроме того, сегодня роботы легко обходят капчи с помощью методов компьютерного зрения. Это привело к дилемме: актуальна ли сейчас технология? Или капча — это устаревший механизм, который только тратит время?
Докажи, что ты не робот
Аббревиатура CAPTCHA переводится как «полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей». Это значит, что если вы постоянно ошибаетесь при ее решении, то вы явно компьютер или робот.
Логично же. Мы тратим время на просмотр изображений и выбор тех, на которых есть светофор, пешеходный переход или велосипед. И это только для того, чтобы доказать, что мы есть мы. А теперь приходится поворачивать трехмерное животное так, чтобы оно смотрела в том же направлении, в котором указывает рука. По идее, это должно быть просто, но почему-то нет.
Виноват ли в таких изощрениях искусственный интеллект? Ответ: да.
При чем здесь искусственный интеллект
Arkose Labs, разработчик головоломки с вращающимися животными, сообщила, что система «итерирована против машинного обучения». Эта центрифуга — результат того, что ИИ может выполнять все больше человеческих задач. Arkose Labs и другие компании, производящие различные виды капчи, разрабатывают все более сложные головоломки. В какой-то момент, если у них закончатся идеи, капчи станут бесполезными.
Как это сказывается на пользователях и машинах
Уже сегодня есть много примеров, когда капчи размещены не к месту. Веб-сайты, на которые вы заходите неоднократно с одного и того же компьютера, могут настаивать на повторном подтверждении человечности. Ресурсы, требующие 2FA, настаивают на проверке, чтобы убедиться, что вы используете капчу.
Между тем, эти бесполезные капчи таковыми только кажутся. На самом деле, они дают Google еще больше информации о том, кто вы такие, ведь часто капча ссылается именно на reCAPTCHA поискового гиганта. Некоторые сайты используют альтернативных поставщиков, кто-то пишет собственные головоломки, которые могут стать еще более невыносимыми, чем привычные игры от Google.
Кроме того, агрегаторы капчи могут использовать свои творения, чтобы обучать нейросети, например, классификации изображений. Тем самым закрывают разом две задачи: создают новый ChatGPT и помогают настроить аутентификацию. По крайней мере, до поры до времени.
Быстро, дешево или хорошо — выбирайте 2/3
Каждая капча пытается балансировать в безопасности, удобстве использования и точности. Из этих критериев для большинства людей важнее удобство: капча должна быть относительно простой, чтобы ее мог решить даже ребенок.
Однако чем проще будет головоломка, тем больше вероятность того, что боты смогут ее решить. Поэтому придется сосредоточиться на создании точной системы. И еще есть безопасность: капча должна быть разработана так, чтобы никто не мог взломать систему и полностью ее обойти. Каждая из этих трех задач сложна, а ИИ делает их еще сложнее.
В недавнем исследовании Калифорнийского университета в Ирвине большинству из 1400 участников-людей потребовалось от 15 до 26 секунд, чтобы решить капчу с точностью до 81%. Между тем, бот, протестированный в марте 2020 года, решает аналогичные головоломки за 19,9 секунд с точностью до 83%.
Исследование показало, что машины уже лучше и быстрее нас в решении классической капчи. И это без учета того, насколько быстро развивается ИИ. На этапе тестирования GPT-4 модель решила капчу, наняв реального фрилансера. Теперь, когда GPT-4 может видеть, OpenAI заявляет, что бот может решать эти головоломки, не нуждаясь в помощи человека. Хотя компания приняла меры, которые не позволяют использовать чат-бота для решения капчи. Насколько они надежны — покажет время.
Есть и обратная сторона медали: ряд компаний предлагают решать капчи за деньги. Среди них — 2Captcha, которая способна решить тысячу головоломок за доллар — помогают с этим те же фрилансеры. То есть и без ИИ капчу можно легко обойти. Но есть и компании, которые уже активно используют ИИ и взимают примерно ту же цену. Среди них — Capsolver.
А как же мониторинг активности
Самая популярная капча для мониторинга активности — это reCAPTCHA v3 от Google. Обычно она проверяет вашу человечность, отслеживая активность на веб-сайтах еще до того, как вы нажмете на флажок. И сравнивает поведение с моделями «человеческого взаимодействия».
Мониторинг активности уже более распространен, чем визуальные головоломки reCAPTCHA. Но последние будут продолжать существовать в обозримом будущем. Отслеживание не идеально, поэтому Google продолжит показывать велосипеды.
Возможно, эти тексты тоже вас заинтересуют:
Капча против ИИ, а страдают люди
Сегодня капча отстает, ИИ побеждает. Как следствие, капча усложняется и не все могут решить ее с первого раза. Например, пожилым людям или пользователям со слабым зрением может понадобиться больше времени для решения головоломок. У системы hCAPTCHA, которую использует компания Rakuten Kobo, есть запасной вариант: пользователи могут указать свой адрес электронной почты, который используется для подтверждения их личности. Однако это поднимает проблему конфиденциальности. Так что идеального решения пока не существует.
Сложно сказать, какое решение поможет держать роботов на расстоянии в долгосрочной перспективе. Что думаете по этому поводу вы? Поделитесь своим мнением в комментариях!
- Блог компании Selectel
- Спам и антиспам
- Информационная безопасность
- Машинное обучение
- Искусственный интеллект
CAPTCHA
CAPTCHA (капча) — это картинка с искаженным текстом или небольшое задание на сайте, которое проверяет, что вы не робот. Капча генерируется автоматически — так, чтобы пройти тест не смог бот, но смог человек.
«IT-специалист с нуля» наш лучший курс для старта в IT
Название — аббревиатура от английского предложения Completely Automated Public Turing Test To Tell Computers and Humans Apart. На русский его примерно можно перевести как «полностью автоматический тест Тьюринга для отделения компьютеров от людей». Это название очень длинное, поэтому его и сократили до «капчи».
Тестом Тьюринга называют испытание, которое может пройти только умеющее мыслить существо, — его придумал английский математик Алан Тьюринг. Мы подробнее расскажем о тесте ниже.
Зачем нужна капча
Капча нужна, чтобы определить, кто пытается совершить операцию — человек или робот. Без ее прохождения нельзя выполнить то или иное действие: войти на сайт, авторизоваться, оставить комментарий. Задание обычно довольно простое для человека и практически невыполнимое для робота.
Зачем вообще отсеивать ботов? Есть несколько причин:
- злоумышленники. Боты могут использоваться для разных видов атак на сайты. В первую очередь это DDoS-атаки — автоматизированные массовые запросы, которые перегружают сервер. Еще есть брутфорс — подбор логина и пароля с помощью робота, пробующего разные варианты практически бесконечно;
- спам. Частый вариант использования бота — отправка «мусорных» рекламных сообщений, которые мешают полезному контенту;
- махинации. Например, интернет-магазины иногда проводят ограниченные по времени акции вида «Успей купить», и роботы могут мониторить такие предложения, скупая весь акционный товар за несколько секунд.
Есть и роботы, которые не наносят вреда, например поисковые. От них защищаться капчей не нужно — потенциально опасных действий они не совершают.
Профессия / 8 месяцев
IT-специалист с нуля
Попробуйте 9 профессий за 2 месяца и выберите подходящую вам
Кто пользуется капчей
Капчу устанавливают владельцы сайтов или специалисты, которые занимаются их обслуживанием. Нужна она или нет — зависит от целей и задач ресурса, а еще от возможностей его владельцев.
- капчу устанавливают для публикации комментариев на ресурсах, где живо общаются пользователи;
- капча может появляться при авторизации или попытке купить товар, чтобы убедиться, что пользователя не взломали;
- некоторые сервисы предлагают ввести капчу, если активность пользователя кажется им подозрительной. Иногда они срабатывают по ошибке, например из-за VPN или опечатки при вводе пароля.
Коммерческие сайты могут устанавливать капчу, чтобы защититься от парсинга — считывания данных со страниц с помощью робота. Но это обычно бесполезно, к тому же парсинг редко наносит прямой вред — только косвенный, так как помогает конкурентам собрать информацию.
Как может выглядеть капча
Распространенный вариант — картинка, на которой изображено сочетание из букв, слов или цифр. Чтобы пройти тест, нужно разобрать написанное и ввести результат в специальное поле. Но это не единственный тип. Кроме него, бывают:
- простые вопросы, на которые может однозначно ответить человек, например, «Как звали Пушкина?»;
- математические примеры, которые нужно решить и ввести результат;
- мини-игры вида «Кликните на красную кнопку» или «Соберите пазл»;
- выбор правильных вариантов из списка — обычно это задания вида «Укажите все картинки со светофорами».
Последний пример активно используется в популярном сервисе Google reCAPCHA. Он считается довольно надежным в сравнении с традиционными методами вроде сочетания букв.
Это не исчерпывающий список: вариантов капчи множество, а конкретное исполнение зависит только от фантазии ее создателей. Есть даже невидимая капча, которая делает выводы по деятельности пользователей, — ей пользуется Google.
Идея капчи: тест Тьюринга
Разгадывание капчи — это задача, которую легко выполнить человеку и невозможно решить примитивному роботу. Идея возникла несколько десятков лет назад как реализация теста Тьюринга.
Алан Тьюринг придумал эмпирический тест, задача которого — определить, может ли существо мыслить. Классический тест устроен так: у человека есть два невидимых собеседника — машина и другой человек. Если тот не может правильно определить, который из них робот, значит, машина способна к мышлению.
Позже было создано намного больше вариаций теста. Капча — один из них, но проверкой в ней занимается не абстрактный человек, а алгоритм.
До последнего времени тест Тьюринга не могла пройти ни одна машина. Недавно это удалось искусственному интеллекту LaMDA от Google. А некоторые рисунки нейросетей GPT-3 и DALL-E 2 уже невозможно отличить от человеческих. Но это не значит, что они могут мыслить: уже доказано, что прохождение теста говорит не о наличии мышления, а об умении его имитировать.
Как устроена капча
Капча — это примитивный тест Тьюринга, автоматизированный и публичный. В ее основе лежит алгоритм, который показывает задание посетителю, а потом считывает отправленный ответ.
Вопросы и задания реализованы по-разному. Иногда их придумывает сам человек — так чаще всего создают варианты с загадками, ответами на вопросы и математическими примерами. Но большинство задач капчи генерируются автоматически. Изображение создается на основе сгенерированного ответа, автоматически искажается, на него добавляются помехи — все это способен сделать компьютер.
Пока капча не пройдена, алгоритм не дает посетителю выполнить то или иное действие. Обычно он сообщает о неправильном ответе и снова дает пользователю задание. Когда оно выполнено, доступ открывается.
Некоторые современные варианты капчи — умные: они не включаются, если пользователь ведет себя естественно, и запускаются только при подозрительной активности. Например, посетитель отправляет слишком много сообщений, чересчур активно скачивает контент, зашел через VPN или анонимный режим.
Курс для новичков «IT-специалист
с нуля» – разберемся, какая профессия вам подходит, и поможем вам ее освоить
Может ли робот обойти капчу
Капча может быть «сильной» и «слабой». «Слабую» капчу легко пройти роботам, а «сильную» — почти невозможно. Впрочем, у нее часто есть другой недостаток: ее становится тяжело пройти людям.
Распознавание. Технологии развиваются, и современные роботы запросто пройдут легкую капчу — такую, где символы расположены на контрастном фоне и не слишком искажены. Поэтому используются всё более сложные алгоритмы и задания.
Есть даже специальные сервисы для распознавания капчи. Впрочем, мы не рекомендуем ими пользоваться: для нормальных пользователей это излишне. К тому же они обычно рассчитаны на конкретный «вид» капчи.
Иногда для распознавания капчи могут использовать нейросети и компьютерное зрение.
Другие способы. Если вопрос и ответ придумал человек, рано или поздно они могут появиться в базах данных роботов — и те смогут проходить капчу просто по сведениям из базы.
А еще у капчи бывают уязвимости: например, ответ, который расположен прямо в названии картинки на странице. Робот может заметить его и ввести. Такая капча, по сути, нефункциональна.
Есть и более сложные способы: например, вирусные боты, которые перенаправляют капчу на живого пользователя, а потом читают, что он ввел. Пользователь может даже ничего не подозревать. Но такое встречается реже.
Как защитить капчу от роботов
Есть несколько способов: пользоваться более мощными алгоритмами или применять альтернативные виды защиты от спамеров и атак.
Более мощные алгоритмы — это или стандартная текстовая капча с символами, которые сложно разобрать, или другой вид задания. Например, довольно эффективной считается reCAPTCHA с распознаванием определенного вида изображений — не все боты достаточно тренированы, чтобы их различать.
Использовать капчу, которая сильно искажает символы, тоже можно, но это неудобно для пользователей, особенно для тех, у кого плохое зрение или есть неврологические особенности.
Про альтернативные виды защиты, такие как специальные файерволы против атак, мы поговорим чуть ниже.
Преимущества капчи
Это просто. Установить капчу на сайт — довольно быстро и несложно: в интернете десятки плагинов, которые предлагают разные виды заданий. При этом некоторые из них довольно трудно обойти роботам.
Это удобно. Обычно сервисы капчи интегрируются в CMS, и управлять ими владелец сайта может прямо из административной панели.
Это дешево. Некоторые такие расширения для сайтов — бесплатные, другие стоят недорого и точно обходятся дешевле иных мер защиты. К тому же разработчик всегда может создать собственный алгоритм: статьи о том, как они устроены, есть в сети в открытом доступе.
Это эффективно. Конечно, существуют продвинутые роботы, которые могут обходить даже сложную капчу, но от большинства простейших ботов она защитит. Особенно если выбрать вариант с хорошим уровнем защиты.
Недостатки капчи
Неудобство для пользователя. Пользователей может раздражать капча, особенно если она появляется слишком часто. Для информационных сайтов это не так критично, а вот для коммерческих важно: человек может уйти и не сделать заказ, который почти оформил. В результате компания может потерять клиента. К тому же падают поведенческие факторы: люди не выполняют какие-то действия, потому что не хотят тратить время на капчу.
Проблемы с доступностью. Отдельная категория пользователей может иметь особенности здоровья, мешающие распознать капчу. Сюда можно отнести плохое зрение, различные неврологические нарушения и иные состояния. Если вы создаете ресурс с расчетом в том числе на таких пользователей, вам стоит подумать об альтернативных вариантах.
Влияние на скорость. Чтобы подгрузить страницу с капчей, нужно больше времени, чем без нее. Поэтому страницы, где есть проверка, могут загружаться медленнее, а скорость загрузки — критично важный параметр. Он влияет и на поведение пользователей, и на отношение со стороны поисковых систем.
Непрочность. Некоторые популярные в прошлом виды капчи, например phpBB или vBulletin, сейчас считаются уязвимыми и неспособными защитить от роботов. И даже для более современных алгоритмов находятся способы обхода; впрочем, их намного меньше.
Чем можно заменить капчу
Некоторые считают, что капча как метод устарела: появляются более продуманные и продвинутые роботы. Действительно, сейчас в теории программа может преодолеть даже хорошо защищенные алгоритмы капчи. Но это не значит, что капча совсем бесполезна, — это все еще удобный и нетребовательный метод, который помогает отсечь большую часть ботов. Просто, если вы беспокоитесь о защите сайта, капчу следует комбинировать с другими методами:
- файерволами — они не пропускают вредоносный или подозрительный трафик;
- спам-фильтрами — специальными расширениями, которые распознают и блокируют спам;
- более сложным входом в аккаунт — например, двухфакторной аутентификацией через одноразовые коды или номер телефона;
- фильтрами ботов — программами, которые отслеживают роботов по заранее заданным правилам;
- сервисами защиты от злоумышленников — они платные, но успешно отсеивают даже полноценные DDoS-атаки.
Как установить капчу на сайт
Обычно для капчи существуют специальные плагины, которые встраиваются в CMS. Их нужно скачать и установить в систему управления контентом сайта по инструкции. Затем понадобится настроить плагин, например установить режим его включения, определить страницы, на которых он будет работать. После этого стоит протестировать, нормально ли работает капча: если что-то не так, есть риск, что действия пользователей будет блокировать все время.
На что обратить внимание при установке капчи
Старайтесь выбирать надежные алгоритмы, которые не были скомпрометированы, но при этом остаются более-менее понятными для пользователей. Например, reCAPTCHA с выбором картинок или простым кликом на кнопку, если трафик не подозрительный.
Помните, что роботы постоянно совершенствуются и капча не сможет защитить от всего. А если вы хотите создать свой уникальный алгоритм — можете разработать генератор капчи самостоятельно. Понадобится изучить основы программной работы с изображениями и принципы, которые помогают защитить капчу от распознавания роботом.
Если вы хотите узнать больше об интернет-технологиях, записывайтесь на наши курсы. Получите новую профессию в современной сфере, востребованную и увлекательную.
IT-специалист с нуля
Наш лучший курс для старта в IT. За 2 месяца вы пробуете себя в девяти разных профессиях: мобильной и веб-разработке, тестировании, аналитике и даже Data Science — выберите подходящую и сразу освойте ее.
Статьи по теме:
Эксперты рассказывают об изменениях в работе специалистов по кибербезопасности после начала кризиса, требованиях и перспективах профессии
Вы точно не робот? Что такое Капча
Сложно найти человека, не испытывающего негативных чувств при очередном требовании доказать, что он — не робот. А медленно всплывающие картинки и нечитаемый текст вообще способны вывести из себя кого угодно. Зачем это сделано? И что вообще за дискриминация роботов? Ответы — в этой статье.
Что такое капча и зачем она нужна?
CAPTCHA — это «Completely Automated Public Turing test to tell Computers and Humans Apart». В переводе — «Полностью автоматизированный публичный тест Тьюринга для разделения людей и компьютеров». Тут можно усмотреть некоторую тавтологию, так как тест Тьюринга изначально предназначен для выявления запрограммированного, а не разумного поведения. Но суть остается та же. Капча действительно нужна, чтобы понять, кто заходит на сайт — человек или робот.
Неужели роботы так часто ходят в интернет, что это стало проблемой? Да. Точнее, не роботы, а боты — программы для выполнения тех или иных автоматических действий на сайтах.
В начале 2000-х Интернет из энциклопедии с картинками начал превращаться в средство обмена информацией. На многих сайтах появилась возможность оставлять комментарии и отзывы, возникли форумы и имиджборды. Это оживило Интернет и привлекло в него множество пользователей. В том числе и тех, кто увидел в новых функциях возможность легкого заработка. Ведь можно настроить несложную программу, и она разошлет по тысячам сайтов текст с рекламой, «письмом счастья» или ссылкой на вирус.
Вредоносные программы быстро развивались, они уже могли сами искать в сети сайты с возможностью оставления комментариев и заполнять любые формы обратной связи. Буквально за 2-3 года дело дошло до того, что стоило только создать никому еще неизвестный сайт с возможностью оставления комментариев, как за сутки там появлялись сотни рекламных и вредоносных сообщений. Тогда и появилась необходимость разделения реальных посетителей сайта и программ-роботов.
Виды капчи их особенности
Первые капчи ставили задачей сбить алгоритм бота, дать ему задачу, на решение которой он не был запрограммирован. Это был текст с простым вопросом и строчка для ввода ответа. «Как звали В.И.Ленина», «Сколько будет 1+2», «Введите буквами число 23» и так далее. Такая капча отсеивала все боты и заметно снижала количество мусорных сообщений в Интернете. Узкоспециализированным сайтам с небольшой аудиторией такой капчи достаточно и сегодня.
Другое дело, если на сайте зарегистрированы десятки или сотни тысяч человек. Такие площадки становятся интересны не только ботам, но их хозяевам. Настроить бот на решение арифметической задачи — дело нескольких минут, и если злоумышленнику аудитория сайта интересна, он эти минуты найдет. Потребовалось создание такой капчи, которую в принципе нельзя было решить программными методами.
Текстовые капчи. Возможности OCR (программного распознавания текста) тогда были невелики, что обеспечило большую популярность текстовых капчей (text-based CAPTСHA). Тем более, что на сервере такая капча создавалась легко и быстро, а результат представлял собой обычную картинку, без проблем отображаемую всеми браузерами.
Для создания капчи на сервере формировался случайный набор символов, на его основе генерировалось изображение. Потом оно деформировалось с добавлением оптического шума для усложнения распознавания.
Изображение выводилось пользователю, а его ответ сравнивался с записанным на сервере значением. Текстовые капчи стали причиной появления седых волос у многих пользователей, пытающихся разобрать жуткую мешанину пикселей на экране. Но на несколько лет они обезопасили Интернет от черного маркетинга. Многие сайты до сих пор используют текстовую капчу.
ReCAPTCHA v1
В 2007 году в университете Карнеги-Меллона решили извлечь пользу из труда миллионов Интернет-серферов по распознаванию нечитаемых символов. Новая капча предлагала пользователю два поля, в одном была фотография слова из какой-либо книги, а в другом — слово, уже известное системе.
При ответе пользователя, если второе слово совпадало с известным, то первое считалось результатом распознавания фотографии. Идея понравилась как владельцам сайтов, так и пользователям, так что повсеместное распространение ReCAPTCHA стало только делом времени.
В 2009 году капчу купил Google и использовал ее для оцифровки книг, доступных в Google Book Search. Позже ReCAPTCHA использовалась компанией для привязки фотографий улиц в Google Street Map к адресам на карте.
Развитие OCR. Системы распознавания становились все совершеннее, и многие текстовые капчи уже не обеспечивали должной защиты. Настройка OCR под конкретную капчу давала результат, не худший, чем у человека. Усложнение приводило к тому, что она становилась неразличимой и для людей. ReCAPTCHA также пала в этой борьбе — уже было ясно, что для ее прохождения достаточно правильно распознать только половину капчи (уже распознанную самим Гуглом). Причем эта половина на картинке часто читалась лучше, так что «поумневшие» боты начали заваливать ReCAPTCHA некорректными переводами.
В 2015 году Google прекратил использование ReCAPTCHA v1.
Графические капчи с использованием скриптов. Новые капчи сделали упор на широкое использование логических связей, вроде бы доступное только людям. На капче предлагалось составить паззл, указать на случайной картинке с животным глаза, хвост или уши, выбрать все автобусы и т.д.
Кроме того, капчи уже не являлись просто картинкой, без проблем загружаемой вместе со страницей сайта. Новые капчи стали результатом работы сложного скрипта, а их элементы динамически подгружались с сервера. Так, даже простое автоматизированное получение капчи, стало нетривиальной задачей. Теперь бот не мог просто получить картинку по заданному адресу — он должен был «притвориться» полноценным браузером, с возможностью выполнения скриптов и интерактивным обменом данными с сервером.
ReCAPTCHA v2. Всем знакомая и многим надоевшая табличка с фотографиями. «Выберите все лодки», «Выберите все светофоры», «Выберите все гидранты».
При этом алгоритм работы ReCAPTCHA сложнее, чем просто сравнение выбора пользователя с матрицей правильных ответов. Анализируются также движения мыши, скорость ответа, надежность IP, с которого идет запрос и т.д.
Верная принципу «извлекать прибыль из всего», компания Google и здесь нашла способ заставить миллионы людей работать себе на пользу. Выбирая светофоры, дорожные знаки и пешеходные дорожки, мы обучаем систему ИИ, которую Google использует в своих беспилотных автомобилях.
ReCAPTCHA v3. Последнюю версию капчи от Google можно назвать революционной — это капча, которой нет. Точнее говоря, она есть, но пользователь ее не видит. Вставляемый в тело страницы скрипт капчи постоянно анализирует действия пользователя. Система оценивает задержки при печати, движения мыши, характер прокрутки страницы, реакцию на интерактивные элементы и прочие действия.
По результатам оценки ReCAPTCHA v3 выставляет пользователю балл — от 0.0 до 1.0. При этом 1.0 означает «точно человек», 0.0 — «точно робот». Этот балл сообщается серверу площадки и уже он принимает решение — пропускать пользователя дальше или нет.
Надежность капчи
Насколько надежны современные капчи? Способны ли они со 100% вероятностью определить — человек заходит на сайт или бот? Нет.
Если цена, которую злоумышленник может извлечь из автоматизированного прохождения капчи, достаточно высока, она будет пройдена.
Современные программы обходят все известные защиты, цены на их использование идут от $1 за 1000 прохождений капчи. Как они это делают?
Ручное распознавание капчи. Метод работал и будет работать всегда, со всеми видами капчи. Другое дело, что метод медленный и довольно дорогостоящий. Заключается он в том, что для распознавания капчи привлекаются реальные люди.
Первый способ — работа за деньги. Сгенерированную сервером капчу бот передает на сайт взломщика, где привлеченные люди распознают ее и вводят ответ, возвращаемый обратно боту.
Второй способ — подмена капчи. Взломщик создает сайт, привлекает туда посетителей, которым для выполнения каких-то действий нужно пройти капчу. Фишка в том, что эта капча передана ботом с другого сайта, где ее нужно взломать.
Нейросети — развивающийся в последние годы метод взлома капчи, дающий наилучшие результаты. Для прохождения капчи используют нейросеть — систему, способную обучаться и самостоятельно строить логические цепочки. Так же, как это делают люди.
Такой подход делает бесполезным все используемые попытки отличить робота от человека.
Для обучения нейросети взломщики также используют обычных пользователей сети. Встречались сайты, которые просят при входе «выбрать все мотоциклы», при том, что вы не собирались писать никакой комментарий или отзыв? Вполне возможно, что эта капча используется для обучения нейросети, анализирующей правильные ответы для автоматизированного взлома.
Вывод
Капчи вызывают порой раздражение, но без них было бы намного хуже. Они защищают сайты от заполнения автоматически сгенерированными сообщениями с рекламой, вирусами и другим вредным контентом. Однако полной защиты капчи не дают — любую подобную защиту можно обойти.
Подтвердите, что вы не робот
Что написано на изображении? Найдите все автомобили. Отметьте все светофоры. В Интернете по этому поводу гуляют шутки – а если крошечный уголок светофора попал в отдельный квадратик, его отмечать? Ненавистная капча достала всех – и больше людей, чем роботов, против которых она придумывалась. Как создавали этот тест на человечность?
freepik.com
Полностью автоматический публичный тест Тьюринга для различения людей от компьютера – так расшифровывается с английского CAPTCHA. Классическая капча – это набор смазанных, искаженных букв. С ее созданием чаще всего ассоциируют математика Луиса Фон Ана (Luis von Ahn), хотя над ней трудилась целая исследовательская группа из Университета Карнеги-Мелона. Когда капчу придумали в 2000 году, считалось, что машина по распознаванию текста не сможет прочесть такие буквы, а человек – легко. Так обеспечивалась защита сайтов от ботов, спама и накруток. Одновременно запустили аудиокапчу – для людей с нарушением зрения.
Поначалу это было прорывом, но скоро стало понятно, что у капчи куча недостатков. Во-первых, иногда ее реально невозможно прочитать. Пользователям приходилось вводить символы несколько раз, тратя на это время и злясь. Во-вторых, если программист не особо старался, бот легко мог обойти защиту. Ответ скрывался в коде страницы – например, из «/captcha.php?code=1234» легко вычленить, что в капче зашифрованы цифры 1234. В-третьих, стали появляться целые сайты по продаже капча-услуг – в среднем, цена за расшифровку одной стоила цент.
Спустя семь лет создатели капчи, которые к тому времени уже запатентовали ее, решили направить силы людей в нужное русло. И с 2007 года капчи представляли собой слова из архивных документов. Технологию прозвали reCAPTCHA, и ее практически сразу купил Google. Для рядового пользователя ничего не поменялось – он просто расшифровывал привычные закорючки. Но этими закорючками были фразы из старых библиотечных книг и архивных номеров газеты The New York Times. Их нужно было оцифровать для сервиса Google Book Search. За один день люди со всего мира прочитывали около 100 млн слов и «прочитывали» до двух миллионов книг в год, сами того не зная. Девизом рекапчи стало Stop Spam, Read Books («Прекратите спамить и читайте книги»).
Секрет reCAPTCHA в том, что она показывает пользователю два слова: одно – известное системе и одно – зашифрованное, из книги. Если человек вводит первое слово правильно, то алгоритм верит ему и по поводу второго – так, при прохождении теста люди помогали воссоздавать старые документы. Позже, в 2012 году в рекапче стали использовать изображения из Google Street View и Google Maps – те самые светофоры и дома.
Иногда вместо слов и картинок просят решить логические и математические задачи, головоломки и игры. Но капча с искаженными буквами считается классической и надоевшей всем версией. Правда, роботы уже давно научились ее обходить. Еще в 2014 году сама компания Google подтвердила, что ею же созданный алгоритм может распознать и взломать даже очень сложные капчи с вероятностью 99,8 %. А в мае 2020 года искусственный интеллект впервые смог обмануть капчу Microsoft. Исследователи из компании F-Secure научили ИИ удалять шум с изображения, и эффективность «отгадывания» выросла до 90 %.
Тем не менее, капчи до сих пор массово используются в «Фейсбуке», «Твиттере», «ВКонтакте», «Гугле» и на тысячах других сервисов. Без курьезов не обходится, и капча породила множество шуток и мемов. Самый известный – Лорд Инглип (Lord Inglip). Это божество из комиксов, которое общается со своими последователями с помощью рекапчи. Все началось с того, как однажды одному из пользователей попалась капча со словами «Inglip summoned» («Инглип был призван»). Рандомный, но нелепо-смешной набор слов породил шутку, что великий властелин капчи Инглип вот-вот явится в мир. Теперь все повелительные капчи вроде «punish cats» шутливо называют посланиями божества к своим соратникам.
Шуточная капча «для программистов». pikabu.ru 
Шутки вызваны чаще всего сложностью капчи. www.pvsm.ru
Про капчу с картинками шутят еще чаще. Самый популярный мем – «Выберите все квадраты». А дальше уже все зависит от фантазии автора. Выберите все квадраты с вьетнамскими солдатами – а на картинке сплошные джунгли. Выберите все квадраты, где нет еды, – а на капче флаг СССР. Люди делают скриншоты с багами системы или придумывают их сами, добавляя забавное описание.
В общем, проблем у капчи много. Начиная с того, что на изображении может быть троллейбус, а просят отметить автобус, и заканчивая тем, что со сложным словом вне контекста легко ошибиться. Например, капчу со словами Captain Infernet (Капитан Инфернэ, участник Трафальгарской битвы) иногда считывали как Captain Internet.
Учтя все ошибки, в 2015 году Google усовершенствовал технологию, иронично назвав ее No CAPTCHA. Система с говорящим названием полностью отошла от стандартной концепции. Как же тогда определить робота? По поведению в сети, а не умению расшифровывать слова. Чтобы доказать, робот вы или нет, теперь нужно лишь один раз нажать галочку рядом с утверждением «Я не робот». Когда вы это делаете, специальный скрипт оценивает параметры, указывающие на возможного бота: сколько времени вы провели на сайте, куда нажимали, с какого IP-адреса заходили и так далее. Если у системы No CAPTCHA появятся подозрения, что вы все-таки бесчувственная машина для имитации жизни, тогда вас уже попросят все-таки выполнить небольшой тест. Обычно это тот же поиск объекта на картинке или ввод текста.
Робот успешно проходит тест «Я не робот»; coub.com
Технология No CAPTCHA намного проще для обычных людей и уже не так бесит. Самая новая версия даже не просит ставить галочку – она ставится автоматически, если скрипт уже уверен, что вы не робот. Сейчас разработчики Google не рассказывают о внутренностях системы, чтобы злоумышленники не научились ее взламывать и людям не пришлось вернуться к старым текстовым методам. А то ведь лорд Инглип и так уже был призван.