Капчи: работа на вводе капч. Самый надёжный и простой заработок в интернете

Капчи: работа на вводе капч. Самый надёжный и простой заработок в интернете

Содержание

Что такое капча и зачем она нужна

Капча (captcha) — это защитный код, который выводится на страницах интернета в ряде случаев. Смысл ее заключается в том, чтобы автоматические программы, так называемые «боты», не смогли пробиться на сайт.

 

Обычно капча — это сочетание букв и цифр, которые нужно ввести в окошко.

Но бывают и более хитрые варианты. Например, нужно решить уравнение, выбрать из нескольких картинок определенную или сделать что-нибудь еще.

Пока вы этого не сделаете, сайт будет заблокирован, то есть выполнить на нем определенные действия не получится.

 

Зачем нужна капча

Есть программы, которые могут автоматически что-то делать в интернете. Например, рассылать рекламу, публиковать фальшивые отзывы. И вот чтобы их заблокировать, владельцы сайтов ставят капчу.

Например, есть страница в интернете, где посетители оставляют отзывы. Любой человек может заполнить несколько полей (имя, адрес почты) и отправить на сайт свое сообщение, где оно и будет опубликовано.

Эти действия легко сымитировать программой. Ее можно «научить» заполнять поля и публиковать нужные отзывы, чем и пользуются мошенники. Поэтому и была придумана капча – ведь ее программа не введет, а, значит, не сможет опубликовать сообщение.

Но капча появляется и в других случаях. Например, вы просто общаетесь на своей страничке Вконтакте, и вдруг ни с того ни с сего она возникает. Пока вы ее не пройдете, на сайте ничего сделать не получится.

Это происходит потому, что системе показалось что-то в ваших действиях подозрительным. Например, вы слишком быстро отвечали на сообщения, и сайт заподозрил, что это делает не человек, а программа.

Вот и приходится вводить в окошко то, что нарисовано на картинке. Оно, конечно, не очень удобно, зато защищает страницы от взлома.

Следует заметить, что применение капчи всё равно не спасает сайты от рекламы, взломов и прочих нехороших вещей. Но всё-таки избавляет их от излишне настойчивых притязаний.

Какие бывают капчи и как их вводить

reCAPTCHA – проверка, разработанная Гугл.

Чтобы ее пройти, нужно поставить галочку в квадратик возле «Я не робот».

Обычно через пару секунд после этого появляется птичка зеленого цвета – значит, капча пройдена.

Но бывает системе этого недостаточно и открывается окошко, где нужно выбрать картинки определенного вида. Например, все фотографии, где есть витрины. Значит, нужно щелкнуть по каждой из них левой кнопкой мышки.

На заметку. Нажимать нужно по каждой картинке, где есть хотя бы часть требуемого изображения. И выбирайте их не слишком быстро – между щелчками должно пройти 1-2 секунды.

Текстовые/цифровые капчи. В окошко нужно ввести кривоватые буквы/цифры, изображенные на картинке. Обычно английские, но бывают и русские.

Часто для удобства есть кнопка, нажав на которую картинка поменяется. Это нужно в случае, если буквы сложно разобрать. Ну, или когда вроде бы всё печатаешь верно, а система не пускает – выдает ошибку.

А еще бывает кнопка, которая озвучивает то, что написано. Нажав на нее, вы услышите голос, который проговорит буквы/цифры с картинки.

Образные. Это капчи в виде картинок. Как правило, нужно просто выбрать подходящее изображение.

Логические. В этом случае нужно решить какую-то задачку. Обычно она несложная: типа напечатайте, сколько будет 6 + 3. Значит, в уме (ну, или на калькуляторе) нужно сложить эти два числа, а результат напечатать в окошко.

Или, например, нужно ответить на какой-то вопрос, разгадать загадку.

Никто вас за это оценивать не будет. Просто таким образом система пытается отсеять автоматические регистрации. Если вы напечатаете правильный ответ, она вас пустит дальше. Ну а если нет, то предложит попробовать ввести капчу еще раз, но уже другую.

Автор: Илья Кривошеев

9 альтернатив капче, которые не испортят ваш UX

CAPTCHA это аббревиатура от английских слов «Completely Automatic Public Turing Test to Tell Computers and Humans Apart», что означает — полностью автоматический тест Тьюринга для различения компьютеров и людей. Название содержит сразу и функции и основную цель: автоматический тест, который выявляет настоящих пользователей и устраняет злых роботов, которые распространяют спам и удаляют нужные материалы.

С 2000 года капча — это что-то раздражающее, при этом очень надежное. Но сегодня это уже не так (по крайней мере «надежная» часть). Один стар-ап из Сан Франциско утверждает, что изобрел алгоритм, который может взломать капчу с 90% результатом. Алгоритм Google Maps по распознаванию адреса, привлек взлом капчи с 99,8% точностью. Роботы могут победить.

Автоматические капчи проваливаются практически везде, нарушая процесс работы пользователя, например, во время покупок онлайн, банковских переводов или отправки сообщений.

К тому же, нужда и желание обезопасить свою онлайн-жизнь растет. Изучение анонимности в сети соглашается с тем, что пользователи хотят приватности, и готовы сделать что-нибудь, что бы не закончить, как этот парень. Поэтому, сейчас аутентификация пользователя, с совершенно необходимой, и в тоже время устаревшей капчей — доказанный источник сильного разочарования, особенно для тех, кто в UX. Такие капчи могут означать провал UX. Уменьшают поток пользователей, и даже более того, могут быть просто невозможны в использовании людьми с нарушением здоровья или проблемами со зрением. Это должно быть решено.

Капча, как предмет искусства

Важный, но мало обсуждаемый вопрос, это как подойти к решению такой веб-дилеммы. В то время, как некоторые фокусируются в основном на том, что не так с системой, мы предпочтем путь Уинстона Черчилля, который однажды написал: «Пессимист видит трудности при каждой возможности, оптимист в каждой трудности видит возможности.». Если бы он реинкарнировался в UX дизайнера, бывший премьер-министр Великобритании и лауреат Нобелевской премии по литературе, наверняка использовал бы этот подход с рациональным позитивом, подчеркивая хорошо-разработанную победу пользователю.

Подстегиваемые нуждой в альтернативе, чтобы изменить текст капчи в UX и повысить безопасность, люди по всему миру много работали, руководствуясь принципом Черчилля, чтобы создать более эффективные, простые, лучше выглядящие или даже забавные капчи.

С тех пор, как Гарри Каспаров сыграл с Deep Blue, было совершено множество попыток перехитрить роботов. И эта борьба за достойные меры веб безопасности (читай: которым не наплевать на пользователя) продолжается.

Вот 9 альтернатив капче для лучшего UX

1. Милая капча

Милая капча смело превращает текст в более интересную (хорошо, немного слащавую) игру.

Сопоставлять категории и предметы требует человеческого разума, и привносит веселья чему-то ужасному (капче, конечно). Такая капча может быть отличным вариантом для некоторых, но, определенно не для всех сайтов. Можно представить себе портфолио, детские сайты или игры, которые только выиграют от этого. Это вряд ли подойдет более серьезным компаниям. Кроме того, они проблемы не решают. Конечно, их пройти легче, чем неприятный закодированный текст классической капчи. Но пользователям все также придется расшифровывать картинку или работать с изображениями.

2. Игровая капча

Попадите в список проверенных людей. Вы же человек, правда?

Как показано на видео, игровая капча использует сходный с милой капчей принцип проверки. Их игры могут быть действительно приятной функцией для некоторых сайтов. В любом случае, более интересный способ, чтобы доказать свою человечность (робот бы точно перепутал такси с едой).

3. Биометрическая безопасность

Использовать данные, которые связаны с вашей ДНК для обычной онлайн проверки может быть очень эффективно... и немного жутко.

У ваших девайсов наверняка есть камера и интеллектуальный экран/трекпад, и разработчики хотят повлиять на уровень безопасности. Что может отражать вас больше, чем ваши глаза, лицо или отпечатки пальцев, верно? Доступ к вашему телу очень сильно ограничит спамеров при создании учетных записей электронной почты. Это захватывающая разработка, но все же есть обоснованные опасения о краже, которая переходит на другой уровень с данными ДНК. А именно, когда кто-то крадет ваш пароль, вы создаете новый. Если кто-то украдет вашу сетчатку или отпечатки пальцев... ужасно.

4. Подтверждение по СМС

Двух — ступенчатая аутентификация эффективна против взломов, однако требует второго устройства, с не всегда хорошим UX

.

Безопасность мобильных приложений, особенно игровых, пытается не отставать от массы, опираясь в основном на телефоны пользователей, а не на традиционные пароли и ID. Одна статья даже предрекает смерть паролей в игровых приложениях из-за этого нового тренда. Это может быть сигналом большого изменения в безопасности (учитывая, что у каждого пользователя есть телефон).

Подтверждение по СМС с помощью привлечения личных девайсов, привязанных только к аккаунту, решает вопрос с хакерами. Это также сигнализирует о возможности для большей персональности в процессе обеспечения безопасности с сообщениями, которые могут обращаться к некоторым пользователям.

5. Капча, в зависимости от активности пользователя

Некоторые капчи труднее расшифровать, чем другие. Подобная капча будет легкой для тех, кто ведет себя как реальный человек.

В ответ на проблемы UX традиционной капчи, такая капча задает вопрос: «Сколько будет стоит отказ пользователя вашей компании?». Ее адаптивная аутентификация отслеживает активность пользователей. Например, пользователь, который ведет себя как спам-робот получит сложную капчу, а пользователь, который больше напоминает человека, более простую. Умная и простая, но при этом все та же капча.

6. Метод ловушки

Скрытые поля обманывают роботов при заполнении того, чего обычные пользователи не видят. Я использовал это на Digital Telepathy в некоторых проектах с успехом.

Метод ловушки пытается полностью покончить с прерыванием рабочего процесса пользователя, как делают все остальные капчи. Он отсеивает ботов, обманывая их авто-заполнением. Поскольку эти поля невидимы обычным пользователям, риск совсем небольшой. Проблемы возникают из-за браузеров, когда они сами авто-заполняют иноформацию без предупреждения пользователя (да, да, Safari, я о тебе), и когда роботы более продвинутые.

7. Математическая капча

Оказывается, спам-боты не так уж сильны в математике. Простые вопросы, типа этих, могут помочь вычислить спамеров, сохраняя UX на уровне.

Разработчики выяснили, что подобные математические вопросы могут быть одними из самых эффективных вариантов для определения реальных пользователей. С этим плагином WordPress — математическая капча, можно выбрать, когда ваша капча будет активирована, а также несколько интересных форматов, которые можно применить. Например, можно выбрать простую математическую задачу или очень сложную, а также задачу со словами.

8. Взаимодоверяющая капча

Как быстро вы разглядите птицу на этой картинке? Вот настолько быстро эта капча может работать!

Это еще одно распознавание человека на основе изображения. Это дает 96% точности, что очень неплохо, к тому же работает в два раза быстрее, чем классическая капча. Взаимодоверяющая капча действует по такому принципу: показывает около девяти картинок и затем спрашивает три вопроса об этих картинках. Например, когда я первый раз попробовал, у меня спросили: «Найдите среди картинок напиток, деньги и космос». После того, как я успешно нашел их, мне сказали, что я хомосапиенс. Ура!

9. NoCAPTCHA от reCAPTCHA

Во-первых, Google создал алгоритм, который может взломать капчу. Теперь они меняют систему, путем отслеживания ваших данных. Удивленны?

NoCAPTCHA чуть больше года. Это следующий шаг от reCAPTCHA от Google. На самом деле, это копает канаву всему замыслу капчи.

Их решение? Показатели. Отслеживание данных пользователя покажет, человек он или нет, и просто предложит отметить это галочкой. UX в том, что NoCAPTCHA просит вас отметить галочку в поле «Я не робот». После этого — все, готово. Быстрый вариант еще проще. Он покажет вам изображение, скажем, кошки. Затем панель с изображениями под картинкой кошки. Нужно будет найти все картинки, связанные с кошкой (котята, тигры, львы, подумать только!) и тогда он поймет, да, вы человек.

Очевидность — лучшее решение

Открытая Аутентификация (OAuth) работает со сторонними организациями (думаю, Facebook, LinkedIn, Twitter), и проверяет вашу личность с помощью существующего профиля, который требует проверки подлинности, например, с помощью капчи, при самом первом использовании им вами. Результатом OAuth, как известно разработчикам, является «безопасный доступ», и наблюдается тенденция к распространению.

Разработчики, как те, кто создает альтернативы капче, обращают веб разочарования в дизайн возможности. Это указывает на более оптимистичную эпоху UX. Дизайнеры, с другой стороны, всегда ищут способы сократить помехи на сайтах и приложениях. От веселья, людей и проверочных тестов, до компаний, которые превращают свои 404 экраны в игры, мы видим разумность и легкость (признак хорошего дизайна), а также внедрение новых технологий, связанных с нашей ДНК, что делает аутентификацию и навигацию более естественной.

Современные потребители (и продукты) создают функции, которые плохо выглядят или работают. Функции, которые когда-то были ненадежными, становятся более интуитивными, красивыми и запоминающимися. Но даже если капча улучшается, мир по прежнему полон дизайнерских проблем, которые представляют множество возможностей для улучшения.

Что такое капча? Зачем нужен ввод captcha?


Привет всем. Скорее всего Вы уже знаете что такое капча, возможно просто видели ее, но не знали как называется эта кривая и раздражающая картинка, которую нужно вводить на каждом шагу. Так вот, для тех, кто не знал — это капча (captcha).

Что такое капча?

Капча — это автоматически генерируемый тест-проверка, является ли пользователь человеком или компьютером. Представляет собой в подавляющем большинстве случаев искаженную надпись из букв и/или цифр. Они могут быть написаны в различных цветовых сочетаниях с применением шума, искривления, наложения дополнительных линий или произвольных фигур.

Назначение и функция капчи

Для чего нужен ввод капчи, ведь это может отталкивать пользователей?
Например, в любимой всеми социальной сети ВКонтакте ее нужно вводить, если количество действий в определенный промежуток времени превысит допустимый параметр. Грубо говоря, если вы отправите подряд 50 сообщений с интервалом в 1 секунду, то, наверняка, выскочит капча, так как вас заподозрят в спаме. А спамят, как известно, в большинстве своем роботы, которые не смогут (по задумке авторов) ввести текст с рисунка. Соответственно, это вынужденная мера, которая защищает ресурсы от спама и повышенной нагрузки при атаке ботов.

Однако, captcha не всегда помогает, ведь на каждый замок можно найти ключ, иначе этот замок просто сломан и бесполезен. Большинство рисунков можно распознать нейронными сетями, предварительно натаскав их на многочисленных (несколько десятков, а то и сотен тысяч) примерах. Эти примеры подготавливают добровольцы, которые днями напролет за небольшое вознаграждение сидят и вбивают капчи. Дабы не быть голословным, вот пример с habrahabr по взлому капчи яндекса. Также существуют специальные сервисы, такие как antigate, которые предоставляют услгу по распознаванию. Они имеют огромную готовую базу примеров, а те случаи, которых еще нет в базе, распознаются вручную.
[ содержание ]

Примеры captcha, случаи использования

Может быть можно придумать что-то не такое раздражающее как прыгающий и скачущий текст\цифры? Да, конечно можно придумать. И более того, уже придумали. Сейчас я покажу Вам примеры капчи, которые не так раздражают посетителей. Начнем со стандартной — текстовой.

Теперь перейдем к более интересным примерам. К таковым можно отнести капчу, где нужно выставить вертикально 3 картинки. На мой взгляд, это одна из наиболее удачных вариаций в данной области, просто потому, что она не раздражает, а даже наоборот, увлекает и немного веселит. Это даже не ввод captcha, а просто мини игра.

Далее хотелось бы пару слов сказать про математическую капчу. Она может быть как простой, так и сложной. Лично мне нравится капча, где требуется сложить или вычесть два числа. Это гораздо удобней, чем сидеть и разбирать кривой текст. Однако, если чуть чуть перебрать со сложностью, то могут возникнуть проблемы.

Ну и в заключение, опасный пример мнимой безопасности, капча — «поставь галочку». Многие считают, что этого достаточно, но не подозревают, что программно поставить галочку очень просто и обучить этому бота — дело 1 минуты. Ведь при этом ввод капчи как таковой не происходит, а происходит изменение параметра CheckBox’a.

Теперь вы знаете что такое капча (captcha) и представляете, примерно, какими они могут быть.

Текстовые капчи легко распознаются нейронными сетями глубокого обучения / Хабр

Нейронные сети глубокого обучения достигли больших успехов в распознавании образов. В тоже время текстовые капчи до сих пор используются в некоторых известных сервисах бесплатной электронной почты. Интересно смогут ли нейронные сети глубоко обучения справится с задачей распознавания текстовой капчи? Если да то как?

Что такое текстовая капча?

Капча (англ. “CAPTCHA”) — это тест на “человечность”. То есть задача, которую легко решает человек, в то время как для машины эта задача должна быть сложной. Зачастую используется текст со слипшимися буквами, пример на картинке ниже, также картинку дополнительно подвергают оптическим искажениям.

Капча, как правило, используется на странице регистрации для защиты от ботов рассылающих спам.

Полносверточная нейронная сеть

Если буквы “слиплись”, то их обычно очень трудно разделить эвристическими алгоритмами. Следовательно, нужно искать каждую букву в каждом месте картинки. С этой задачей справится

полносверточная нейронная сеть

. Полносверточная сеть — сверточная сеть без полносвязного слоя. На вход такой сети подается изображение, на выходе она выдает тоже изображение или несколько изображений (карты центров).


Количество карт центров равно длине алфавита символов использованных в определенной капче. На картах центров отмечаются центры букв. Масштабное преобразование, которое в сети происходит из-за наличия пуллинг слоев, учитывается. Ниже показан пример карты символа для символа “D”

В данном случае используются сверточные слои с паддингом так, чтобы размер изображений на выходе сверточного слоя равнялся размеру изображений на входном слое. Профиль пятна на карте символа задается двумерной гауссовой функцией с ширинами 1.3 и 2. 6 пикселей.
Первоначально полносверточная сеть была проверена на символе “R”:

Для проверки применялась небольшая сеть с 2мя пуллингами, натреннированная на CPU. Убедившись, что идея хоть как то работает, я приобрел б/у видеокарту Nvidia GTX 760, 2GB. Это дало мне возможность тренировать более крупные сети для всех символов алфавита, а также ускорило обучение (примерно в 10 раз). Для тренировки сети использовалась библиотека Theano, на текущий момент уже не поддерживаемая.

Тренировка на генераторе

Разметить большой датасет вручную казалось делом долгим и трудозатратным, поэтому было решено генерировать капчи специальным скриптом. При этом карты центров генерируются автоматически. Мною был подобран шрифт, используемый в капче для сервиса

Hotmail

, сгенерированная капча визуально была похожа по стилю на реальные капчи:


Финальная точность тренировки на сгенерированных капчах, как оказалось, в 2 раза ниже, по сравнению с тренировкой на реальных капчах. Вероятно, такие нюансы как степень пересечения символов, масштаб, толщина линий символов, параметры искажения и т. п., важны, и в генераторе эти нюансы воспроизвести не удалось. Сеть тренированная на сгенерированных капчах давала точность на реальных капчах около 10%, точность — какой процент капч распознался правильно. Капча считается распознанной, если все символы в ней распознаны правильно. В любом случае этот эксперимент показал, что метод рабочий, и требуется повысить точность распознавания.

Тренировка на реальном датасете

Для ручной разметки датасета реальных капч был написан скрипт на Matlab с графическим интерфейсом:

Здесь кружочки можно расставлять и двигать мышкой. Кружочком отмечается центр символа. Ручная разметка занимала 5-15 часов, однако есть сервисы, где за не большую плату размечают вручную датасеты. Однако, как оказалось, сервис Amazon Mechanical Turk не работает с российскими заказчиками. Разместил заказ на разметку датасета на известном сайте фриланса. К сожалению, качество разметки было не идеальным, поправлял разметку самостоятельно. Кроме того, поиск исполнителя занимает время (1 неделя) и также это показалось дорого: 30 долларов за 560 размеченных капч. От данного способа отказался, в итоге пришел к использованию сайтов ручного распознавания капч, где самая низкая стоимость 1 доллар за 2000 капч. Но полученный ответ там — это строка. Таким образом, ручной расстановки центров избежать не удалось. Более того, исполнители в таких сервисах допускают ошибки или вовсе действуют недобросовестно, печатая произвольную строку в ответе. В итоге приходилось проверять и исправлять ошибки.

Более глубокая сеть

Очевидно точность распознавания была недостаточна, поэтому возник вопрос подбора архитектуры. Меня интересовал вопрос “видит” ли один пиксель на выходном изображении весь символ на входном изображении:

Таким образом, мы рассматриваем один пиксель на выходном изображении, и есть вопрос: значения каких пикселей на входном изображении влияют на значения этого пикселя? Я рассуждал так: если пиксель видит не весь символ, то используется не вся информация о символе и точность хуже. Для определения размера этой области видимости (будем называть ее так), я провел следующий эксперимент: установил все веса сверточных слоев равным 0.01, а смещения равным 0, на вход сети подается изображение, в котором значения всех пикселей равны 0 кроме центрального. В результате на выходе сети получается пятно:


Форма данного пятна близка к форме гауссовой функции. Форма получившегося пятна вызывает вопрос, почему пятно круглое, тогда как ядра сверток в сверточных слоях квадратные? (В сети использовались ядра сверток 3x3 и 5x5). Мое объяснение такое: это похоже на центральную предельную теорему. В ней, как и здесь, присутствует стремление к гауссовому распределению. Центральная предельная теорема утверждает, что для случайных величин, даже с разными распределениями, распределение их суммы равно свертке распределений. Таким образом, если мы сворачиваем любой сигнал сам с собой много раз, то по центральной предельной теореме результат стремится к гауссовой функции, а ширина гауссовской функции растет как корень из количества сверток (слоев). Если для такой же сети с константными весами посмотреть, где в выходном изображении значения пикселей больше нуля, то получается все таки квадратная область (см. рисунок ниже), размер этой области пропорционален сумме размеров сверток в сверточных слоях сети.


Раньше думал, что из-за ассоциативного свойства свертки две последовательные свертки 3x3 эквивалентны свертке 5x5 и потому, если свернуть 2 ядра 3x3 получится одно ядро 5x5. Однако, потом пришел к выводу, что это не эквивалентно хотя бы потому, что у двух сверток 3x3 9*2=18 параметров, а у одной 5x5 25 параметров, таким образом, у свертки 5x5 больше степеней свободы. В итоге, на выходе сети получается гауссова функция с шириной меньше суммы размеров сверток в слоях. Здесь ответил на вопрос какие пиксели на выходе подвержены влиянию одного пикселя на входе. Хотя изначально вопрос ставился обратный. Но оба вопросы эквивалентны, что можно понять из рисунка:


На рисунке можно представить, что это вид на изображения с боку или, что у нас высота изображений равна 1. Каждый из пикселей A и B имеет свою зону влияния на выходном изображении (обозначены синим цветом): для А это D-C, для B это C-E, на значения пикселя C влияют значения пикселей A и B и значения всех пикселей между A и B. Расстояния равны: AB = DC = CE (с учетом масштабирования: в сети присутствуют пуллинг слои, поэтому входное и выходное изображения имеют разные разрешения). В итоге, получается следующий алгоритм нахождения размера области видимости:

  1. задаем константные веса в сверточных слоях, весам-смещениям задаем значения 0
  2. на вход подаем изображения с одним ненулевым пикселем
  3. получаем размер пятна на выходе
  4. умножаем этот размер на коэффициент учитывающий разное разрешение входного и выходного слоя (например, если у нас 2 пулинга в сети, то разрешение на выходе в 4 раза меньше, чем на входе, значит этот размер надо умножать на 4).

Чтобы посмотреть какие признаки сеть использует, провел следующий эксперимент: в тренированную сеть подаем изображение капчи, на выходе получаем изображения с отмеченными центрами символов, из них выбираем какой-нибудь задетектированный символ, на изображениях-картах центров оставляем ненулевой только ту карту, которая соответствует рассматриваемому символу. Такой выход сети запоминаем как

, затем градиентным спуском минимизируем функцию:

Здесь — входное изображение сети, — выходные изображения сети, — некоторая константа, которая подбирается экспериментально (). При такой минимизации вход и выход сети считаются переменными, а веса сети константами. Начальное значение переменной это изображение капчи, является начальной точкой оптимизации алгоритма градиентного спуска. При такой минимизации мы уменьшаем значения пикселей на входе изображения, при этом сдерживаем значения пикселей на выходном изображении, в результате оптимизации на входном изображении остаются только те пиксели, которые сеть использует в распознавании символа.
Что получилось:
Для символа “2”:

Для символа “5”:

Для символа “L”:

Для символа “u”:

Изображения слева — исходные изображения капч, изображения справа — это оптимизированное изображение . Квадратом на изображениях обозначена область видимости output>0, окружности на рисунке — это линии уровня Гауссовой функции области видимости. Малая окружность — уровень 35% от максимального значения, большая окружность — уровень 3%. Примеры показывают, что сеть видит в пределах своей области видимости. Однако, у символа “u” наблюдается выход за область видимости, возможно это частичное ложное срабатывание на символ “n”.

Было проведено много экспериментов с архитектурой сети, чем более глубокая и широкая сеть, тем более сложные капчи она может распознавать, самой универсальной архитектурой оказалась следующая:

Синим цветом, поверх стрелок, показано количество изображений (feature maps). c- сверточный слой, p — max-pooling слой, зеленым цветом внизу показаны размеры ядер. В сверточных слоях используются ядра 3x3 и 5x5 без strade, пуллинг слой имеет патч 2x2. После каждого сверточного слоя есть ReLU слой (на рисунке не показан). На вход подается одно изображение, на выходе получется 24 (количество символов в алфавите). В сверточных слоях паддинг подобран таким образом, чтобы на выходе слоя размер изображения был таким же как и на входе. Паддинг добавляет нули, однако это никак не влияет на работу сети, потому что значение фонового пикселя капчи — 0, так как всегда берется негативное изображение (белые буквы по черному фону). Паддинг лишь незначительно замедляет работу сети. Так как в сети 2 пуллинг слоя, то разрешение изображения на выходе в 4 раза меньше разрешения изображения на входе, таким образом каждый пуллинг уменьшает разрешение в 2 раза, например, если на входе у нас капча размером 216x96 то на выходе будет 24 изображения размером 54x24.

Улучшения

Переход от решателя SGD к решателю ADAM дал заметное ускорение обучения, и финальное качество стало лучше. Решатель ADAM импортировал из модуля

lasagne

и использовал внутри theano-кода, параметр learning rate ставил 0.0005, регуляризация L2 была добавлена через градиент. Было замечено, что от тренировки к тренировке результат получается разный. Объясняю это так: алгоритм градиентного спуска застревает в недостаточно оптимальном локальном минимуме. Частично поборол это следующим образом: запускал тренировку несколько раз и выбирал несколько самых лучших результатов, затем продолжал их тренировать еще несколько эпох, после из них выбирал один лучший результат и уже этот единственный лучший результат долго тренировал. Таким образом удалось избежать застревания в недостаточно оптимальных локальных минимумах и финальное значение функции ошибок (loss) получалась достаточно малым. На рисунке показан график — эволюция значения функции ошибок:


По оси x — число эпох, по оси y — значение функции ошибок. Разными цветами показаны разные тренировки. Порядок обучения примерно такой:

1) запускаем 20 тренировок по 10 эпох
2) выбираем 10 лучших результатов (по наименьшему значению loss) и тренируем их еще 100 эпох
3) выбираем один лучший результат и продолжаем тренировать его еще 1500 эпох.

Это занимает около 12 часов. Конечно, для экономии памяти, данные тренировки проводились последовательно, например, в пункте 2) 10 тренировок проводились последовательно одна за другой, для этого провел модификацию решателя ADAM от Lasagne, чтобы иметь возможность сохранять и загружать состояние решателя в переменные.

Разбиение датасета на 3 части позволяло отслеживать переобучение сети:

1 часть: тренировочный датасет — исходный, на котором сеть обучается
2 часть: тестовый датасет, на котором сеть проверяется в процессе тренировки
3 часть: отложенный датасет, на нем проверяется качество обучения после тренировки

Датасеты 2 и 3 небольшие, в моем случае было по 160 капч в каждом, также по датасету 2 определяется оптимальный порог срабатывания, порог который устанавливается на выходное изображение. Если значение пикселя превышает порог, то в данном месте обнаружен соответствующий символ. Обычно оптимальное значение порога срабатывания находится в диапазоне 0.3 — 0.5. Если точность на тестовом датасете значительно ниже, чем точность на тренировочном датасете — это значит что произошло переобучение и тренировочный датасет необходимо увеличить. В случае, если эти точности примерно одинаковы, но не высокие, то архитектуру нейронной сети нужно усложнять, а тренировочный датасет увеличивать. Усложнять архитектуру сети можно двумя путями: увеличивать глубину или увеличивать ширину.

Предварительная обработка изображений также повышала точность распознавания. Пример предобработки:

В данном случае методом наименьших квадратов найдена средняя линия повернутой строки, производится поворот и масштабирование, масштабирование проводится по средней высоте строки. Сервис Hotmail часто делает разнообразные искажения:

Эти искажения необходимо компенсировать.

Неудачные идеи

Всегда интересно почитать про чужие неудачи, опишу их здесь.

Существовала проблема малого датасета: для качественного распознавания требовался большой датасет, который требовалось разметить вручную (1000 капч). Мной предпринимались различные попытки каким-то образом обучить сеть качественно на малом датасете. Делал попытку обучать сеть на результатах распознавания другой сети. при этом выбирал только те капчи и те места изображений, в которых сеть была уверена. Уверенность определял по значению пикселя на выходном изображении. Таким образом можно увеличить датасет. Однако идея не сработала, после нескольких итераций обучения качество распознавания сильно ухудшилось: сеть не распознавала некоторые символы, путала их, то есть ошибки распознавания накапливались.

Другая попытка обучиться на малом датасете — использовать сиамские сети, сиамская сеть на входе требует пару капч, если у нас датасет из N капч, то пар будет N2, получаем гораздо больше обучающих примеров. Cеть преобразует капчу в карту векторов. В качестве метрики сходства векторов выбрал скалярное произведение. Предполагалось что сиамская сеть будет работать следующим образом. Сеть сравнивает часть изображения на капче с некоторым эталонным изображением символа, если сеть видит, что символ тот же с учетом искажения, то считается, что в данном месте качи есть соответствующий символ. Сиамская сеть тренировалась с трудом, часто застревала в неоптимальном локальном минимуме, точность была заметно ниже точности обычной сети. Возможно проблема была в неправильном выборе метрики сходства векторов.

Также была идея использовать автоэнкодер для предварительного обучения нижней части сети (та, что ближе к входу), чтобы ускорить обучение. Автоэнкодер — это сеть, которая обучается выдавать на выходном изображении то же что и подается на вход, при этом в архитектуре автоэнкодера организуют узкий участок. Тренеровка автоэнкодера есть обучение без учителя.

Пример работы автоэкодера:

Первое изображение — входное, второе — выходное.
У обученного автоэнкодера берут нижнюю часть сети, добавляют новых необученных слоев, все это дотренировывают на требуемую задачу. В моем случае применение автоэнкодера никак не ускоряло обучение сети.

Также был пример капчи, которая использовала цвет:

На данной капче описанный метод с полносверточной нейронной сетью не давал результата, он не появился даже после различных предобработок изображения повышающих контрастность. Предполагаю что, полносверточные сети плохо справляются с неконтрастными изображениями. Тем не менее, данную капчу удалось распознать обычной сверточной сетью с полносвязным слоем, получена точность около 50%, определение координат символов осуществлялось специальным эвристическим алгоритмом.

Результат

Примеры Точность Коментарий


42 % Капча Микрософт
, jpg
61 %
63 %
93 % капча mail.ru, 500x200, jpg
87 % капча mail.ru, 300x100, jpg
65 % Капча Яндекс, русские слова, gif
70 % капча Steam, png
82 % капча World Of Tanks, цифры, png

Что еще можно было бы улучшить

Можно было бы сделать автоматическую разметку центров символов. Сервисы ручного распознавания капч выдают лишь распознанные строки, поэтому автоматическая разметка центров помогла бы полностью автоматизировать разметку тренировочного датасета. Идея такова: выбрать только те капчи, в которых каждый символ встречается один раз, на каждый символ натренировать отдельную обычную сверточную сеть, такая сеть будет отвечать лишь на вопрос: есть ли в данной капче символ или нет? Затем посмотреть какие признаки использует сеть, используя метод минимизация значений пикселей входной картинки (описано выше). Полученные признаки позволят локализовать символ, далее тренируем полносверточную сеть на полученных центрах символов.

Выводы

Текстовые капчи распознаются полносверточной нейронной сетью в большинстве случаев. Вероятно, уже настало время отказываться от текстовых капч. Google давно не использует текстовую капчу, вместо текста предлагаются картинки с различными предметами, которые нужно распознать человеку:


Однако и такая задача кажется решаемой для сверточной сети. Можно предположить, что в будущем возникнут центры регистрации людей, например, человека по скайпу интервьюирует живой человек, проверяет сканы паспортов и тому подобное, затем человеку выдается цифровая подпись, с которой он может автоматически регистрироваться на любом сайте.

© Максим Веденев

CAPTCHA (капча) — что это такое и для чего используется

Обновлено 24 июля 2021
  1. Капча — это защита от автоматического спама
  2. Можно ли упростить прохождение CAPTCHA?

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Многие из вас только начиная свое знакомство с интернетом, кроме составляющих учетной записи (ник и логин\пароль), при регистрации также сталкиваются еще и с такой вещью, как капча.

Например, вас могли попросить ввести в поле те символы, что вы видите на расположенной выше картинке, или выполнить простейшее арифметическое действие. Иногда просят указать те картинки, где изображено что-то определенное. Все эти ребусы называют одним общим словом — CAPTCHA.

Но что это такое и зачем нужно? Слово капча образовано от английского исходника, который представляет из себя довольно сложную аббревиатуру. Приводить ее расшифровку я, думаю не стоит. Просто скажу в двух словах, что CAPTCHA — это специальный тест, призванный отличить действия человека от действий компьютера (программы, скрита). Другими словами, эта штука проводит верификацию пользователя на предмет его человечности.

Зачем это может понадобиться? Какие виды капч бывают? Исчезнут ли они когда-нибудь, чтобы не усложнять жизнь пользователям интернета? На эти вопросы я как раз и постараюсь ответить в этой заметке.

Капча — это защита от автоматического спама

В интернете существует очень много способов заработать себе на хлеб насущный. Многие из них являются легальными, а многие нет. Как раз к последним относятся взломы сайтов, рассылка спам-сообщений по блогам и форумам, массовая регистрация аккаунтов на различных сервисах и т.п.

Все эти способы заработка на первый взгляд кажутся малоэффективными (копеечными), но не торопитесь с выводами. Если рассылать спам, ломать сайты и регистрироваться где ни попадя будет не реальный человек, а программа, которая никогда не устанет, то это в корне меняет расклад. А если представить, что запускается она на тысячах чужих взломанных компьютерах (ресурсов которых не жалко), то заработать можно таким образом очень большие деньги.

Но от всего этого автоматического спама (когда грязную работу выполняет безустанная программа) уже довольно давно придумали защиту. Это капча! Разработали эту концепцию уже давно, как вариант реализации теста Тьюринга, способного достоверно определить кто именно проходит данный тест — человек или машина.

В идеале ребус заданный CAPTCHA с легкостью должен разгадывать практически любой человек, а вот компьютер на этом тесте должен забуксовать или вообще спасовать перед неразрешимой задачей. Так ли это на самом деле? Давайте посмотрим. Например, довольно сложно будет программе решить показанную на рисунке задачку, не правда ли? А человеку это будет совсем не сложно.

Однако, чаще всего используют буквенную или цифровую капчу, на которой надписи изображены не четко, а также присутствую различные помехи, которые как бы человеку особо задачу не усложняют (на самом деле все же усложняют, а иногда и до нервного срыва доводят), а вот автоматические системы распознавания текстов (есть целое направление софта, которое ориентировано на эти задачи, к примеру программы, помогающие оцифровывать книги в библиотеках) могут на этих помехах «споткнуться».

Однако и человеку доставляет мало радости разбираться где закорючка добавлена специально, а где она к букве относится. Иногда глядя на CAPTCHA, которую просят разгадать, вообще начинаешь думать — а надо ли мне здесь регистрироваться (оставлять комментарий) или ну его на фиг!

С другой стороны, «редиски» зарабатывающие описанным выше способом тоже не лыком шиты и у них на вооружении есть ряд инструментов, которые позволяют таки обойти капчу, поэтому ее и усложняют повышая тем самым ее непробиваемость.

В некоторых случаях кому-то бывает выгодно использовать человеческое распознавание капч на потоке. Этой цели например служит биржа Рукапча и сервис для заработка КолотиБабло, где все желающие могут заработать на вводе CAPTCHA, а заказы поступают от тех, кому такие распознавания нужны в больших количествах (например, с сервиса Anti Captcha).

Но несомненно, что наличие этой защиты все равно существенно снижает эффективность атак и отсекает большую часть потоков спама, льющегося в интернете нескончаемым потоком. Хотелось бы, конечно, обойтись без этих ребусов, на которых теряется часть посетителей, но не получается пока.

Можно ли упростить прохождение CAPTCHA? Оказывается да!

Хотя, безусловно, шаги в нужном направлении уже совершаются. Один из лидеров онлайн-бизнеса (вряд ли вам известная компания Google 🙂 ) примерно год назад существенно упростила свою капчу (они ее называют reCAPTCHA), сделав ее прохождение наверное самым простым из возможных вариантов. Судите сами. Так выглядела CAPTCHA от Гугла раньше:

А так она выглядит сейчас:

Насколько проще поставить одну единственную галочку, а не разгадывать буквенный ребус и не искать в темноте нужные клавиши на клавиатуре (капчи ведь чаще всего именно английскими буквами вводятся).

В общем сделан шаг в нужном направлении, и по мере распространения именно этого вида защиты будет упрощаться жизнь пользователей интернета (лично я именно reCAPTCHA использую для защиты своих комментариев — можете сами ее опробовать прокрутив эту страниц вниз до конца).

Удачи вам! До скорых встреч на страницах блога KtoNaNovenkogo.ru

Настройка капчи - База знаний uCoz

Настройка капчи

  1. Типы капчи 
  2. Как подключить reCAPTCHA (для сайтов с подключённым доменом)
  3. Как отключить капчу

Типы капчи

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart – полностью автоматизированный публичный тест Тьюринга, позволяющий различать компьютеры и людей). Капча затрудняет выполнение автоматических действий: авторегистрация, ввод данных, спам и др.

Конструктор сайтов uCoz предоставляет пять видов капчи на выбор:

  • Стандартный, Простой, Сложный, Арифметический и reCAPTCHA.

Для изменения и выбора типа капчи авторизуйтесь в Панели управления (http://ваш сайт/admin) - Настройки - Системные - Код безопасности (капча). Выберите оптимальный вид капчи и сохраните.

  • Если у вас на сайте мало спама, вам подойдет Стандартный, Простой или Арифметический вид капчи.
  • Если у вас на сайте мало спама и активность пользователей не подразумевает частого введения капчи, вам подойдет Сложный вид капчи.
  • Если на сайте много спама или наблюдается его резкое увеличение, вам нужно выбрать reCAPTCHA.

Как подключить

reCAPTCHA (для сайтов с подключённым доменом)

При наличии подключенного домена к сайту необходимо обязательно получить и установить свои ключи! 
Для получения ключей перейдите по ссылке в Панели управления (Настройки - Системные - Код безопасности (капча) - reCAPTCHA) получить API-ключи.

Управление ключами ReCaptcha API

Регистрация сайта

В поле “Ярлык” введите текст названия для вашего сайта, под каким именем будут выданы эти ключи. Введенное название в данном поле,  будет отображаться в списке сайтов, к которым подключена reCAPTCHA.

Так же важный этап, в пункте "Тип reCAPTCHA", выбрать "reCAPTCHA v2", если выберите 3 версию, она у вас на сайте работать не будет.



В поле “Домены” введите адрес вашего сайта как показано на скриншоте выше под цифрой 3 (в примере показан другой сайт, вы вводите свой).

Галку на пункте “Отправлять владельцам оповещения” не снимайте, вы будете получать оповещения об ошибках настройки или увеличении подозрительного трафика. Нажмите на кнопку “Отправить”.

Добавление reCAPTCHA на сайт

После завершения регистрации вы переместитесь на страницу настроек. Вам понадобится первый пункт: Добавление reCAPTCHA на сайт - Ключи.

Вам понадобится только Ключ и Секретный ключ.

Для завершения настроек и вставки ключей перейдите в Панель управления (Настройки - Системные - Код безопасности (капча) - reCAPTCHA).

  • В поле “Ключ” вставьте скопированное значение одноименного поля настроек reCAPTCHA.
  • В поле “Секретный ключ” вставьте скопированное значение одноименного поля настроек reCAPTCHA.

Сохраните настройки.

Как отключить капчу

По умолчанию код безопасности (капча) не показывается при добавлении материалов, сообщений на форуме и комментариев для следующих групп пользователей: “Проверенные”, “Модераторы”, “Администраторы” и “Друзья сайта”. Для группы “Гости” невозможно отключить код безопасности.

Если вы хотите отключить капчу для группы “Пользователи” или подключить её для созданных вами групп, авторизуйтесь в Панели управления - Пользователи - Группы - Выберите нужную группу - Права - Разное - Не показывать код безопасности - Активируйте или деактивируйте настройку и сохраните.

В настройках расширения “Мини-чат” можно подключить или отключить показ кода безопасности для системной группы “Пользователи”.

Настройка капчи

Взлом капчи за 0.05 секунд с помощью Машинного Обучения

Оказывается, нейросети уже давно могут «притворяться» людьми — рассказываем про новую модель генеративно-состязательной сети (GAN), которая распознаёт системы CAPTCHA на 32 посещаемых веб-сайтах.

Автор: Roberto Iriondo, Machine Learning Department of Carnegie Mellon University

ДИСКЛЕЙМЕР

Текст данной статьи приведен исключительно в образовательных целях для информирования пользователей о возможных уязвимостях при разработке сайтов. Информация предоставляется в целях противодействия эксплуатации уязвимостей. Редакция сайта не поддерживает никакие виды противозаконной деятельности в сети Интернет.

Никто не любит капчи (в смысле, никто из людей, ведь у ботов нет эмоций) — надоедливые картинки с трудно читаемым текстом, который вы должны ввести для доступа к чему-либо в интернете. CAPTCHA (Completely Automated Public Turing tests to tell Computers and Humans Apart) разработана для того, чтобы автоматические программы не могли злонамеренно использовать онлайн-контент (заполнять формы, запрашивать доступ к закрытым файлам, многократно заходить на один и тот же сайт и т. д.). Она должна убедиться, что вы человек, а не бот. Тем не менее, в прошлом были попытки доказать несовершенство систем CAPTCHA. Но ни одна из них не была настолько же точной и быстрой, как алгоритм машинного обучения, предложенный группой исследователей из университета Ланкастера, Северо-Западного университета и Пекинского университета.

Схема алгоритма:

Исследователи используют небольшой набор несинтезированных капч для обучения синтезатора CAPTCHA. Синтезатор (1) используется для генерации синтетических CAPTCHA (2), которые применяются для обучения базового решателя (base solver) (3). Base solver затем совершенствуется для создания точно настроенного решателя (fine-tuned solver) несинтезированных капч.

Одним из первых известных людей, которые продемонстрировали уязвимость CAPTCHA, был Эдриан Роузброк. В своей книге “Deep Learning for Computer Vision with Python” Эдриан рассказывает, как он обошёл системы CAPTCHA на сайте E-ZPass New York. Для обучения своей глубокой модели он использовал большой набор изображений с примерами CAPTCHA.

Основное отличие решения Адриана от подхода учёных из Ланкастера, Северо-Западного университета и Пекина — последние не использовали набор данных с примерами, а синтезировали CAPTCHA с помощью генеративно-состязательной сети (GAN). Почти вся обучающая выборка состояла из сгенерированных капч, и лишь небольшая часть — из реальных.

Генеративно-состязательные сети, представленные Яном Гудфеллоу вместе с другими учёными — это глубокие архитектуры, состоящие из двух нейросетей. Эти сети «соревнуются» друг с другом в игре с нулевой суммой (zero-sum game) и синтезируют образцы, близкие к подлинным. Это может быть очень полезно в случае, когда модель не имеет доступа к большому набору данных.

Исследователи оценили свой подход с помощью 33 текстовых схем CAPTCHA, 11 из которых в настоящее время используют 32 самых популярных веб-сайта по данным Alexa. Туда входят схемы Google, Microsoft, eBay, Wikipedia, Baidu и многие другие. Модели, создаваемой для работы с этими системами, понадобилось всего 500 реальных капч, в то время как другим (в том числе модели Эдриана) требовались миллионы примеров.

Сеть GAN инициализируется с учётом параметров безопасности капчи, показанных на рисунке:

Затем она генерирует партию CAPTCHA, чтобы обучить синтезатор с помощью 500 реальных изображений из различных схем капч:

Список текстовых схем капчи, используемых в качестве обучающих данных для синтезатора и тестовых данных для решателя

Исследователи использовали 20 тыс. капч для обучения модели Preprocessing и 200 тыс. сгенерированных капч для обучения базового решателя.

Прототип создан с помощью Python, модель Preprocessing построена в приложении Pix2Pix, которое реализовано с помощью TensorFlow. Точно настроенный решатель сделан с помощью Keras.

Реальные Google CAPTCHA и сгенерированные версии, созданные синтезатором CAPTCHA

После обучения GAN со сгенерированными и реальными капчами, решатель CAPTCHA использовался для атаки на системы защиты таких сайтов как Megaupload, Blizzard, Authorize, Captcha.net, Baidu, QQ, reCaptcha, Wikipedia и т.д. Большинство капч было определено с точностью около 80%, а на сайтах Blizzard, Megaupload и Authorize.net — 100%. Этот метод оказался более точным, чем все предыдущие решения, в которых использовались большие несинтезированные наборы обучающих данных.

Сравнение решателя CAPTCHA с четырьмя другими методами

Помимо увеличения точности, исследователи упоминают в статье, что их подход также оказался более эффективным и не таким дорогостоящим, как другие решения. Это первая GAN-нейросеть для распознавания капч с открытым исходным кодом — отсюда её эффективность и дешевизна.

Однако, у модели есть некоторые ограничения: например, капчи с переменным количеством символов. В текущем подходе используется фиксированное число — если его увеличить, то прототип не будет работать. Ещё модель не поддерживает многословные и фото- или видео-капчи. В теории её можно обучить так, чтобы избавиться от этих ограничений, но пока что они присутствуют.

Посещаемым веб-сайтам следует использовать более надёжные способы защиты своих систем, такие как меры по обнаружению ботов, диагностика кибербезопасности и аналитика. Следует также поддерживать отслеживание местоположения устройства, его тип, используемый браузер и т.д., поскольку теперь сайты стали ещё более лёгкой мишенью для атаки.

Ссылка на оригинальную статью на портале medium.com.

Официальный сайт CAPTCHA

CAPTCHA - это программа, которая защищает веб-сайты от ботов, генерируя и оценивая тесты, которые люди могут пройти, но современные компьютерные программы не могут. Например, люди могут читать искаженный текст, как показано ниже, но современные компьютерные программы не могут:

Термин CAPTCHA (полностью автоматизированный общедоступный тест Тьюринга для различения компьютеров и людей) был придуман в 2000 году Луисом фон Ан, Мануэлем Блюмом, Николас Хоппер и Джон Лэнгфорд из Университета Карнеги-Меллона.

Бесплатная, безопасная и доступная реализация CAPTCHA доступна в проекте reCAPTCHA . Простые в установке плагины и элементы управления доступно для WordPress, MediaWiki, PHP, ASP.NET, Perl, Python, Java и многие другие среды. reCAPTCHA также поставляется с аудиотестом, чтобы убедиться, что слепые пользователи могут свободно перемещаться по вашему сайту. reCAPTCHA официально рекомендована Реализация CAPTCHA.

  • reCAPTCHA . Остановите спам и помогите оцифровывать книги одновременно! Показанные слова взяты непосредственно из старых книг, которые переводятся в цифровую форму.

  • СКВИГЛ-ПИКС . Наша новейшая CAPTCHA!

  • ESP-PIX . Скрипт CAPTCHA, который нам близок. Вместо того, чтобы вводить письма, вы подтверждаете себя как человек распознавая, какой объект является общим в наборе изображений. Это был первый пример CAPTCHA, основанного на распознавании изображений.

Наш новый сайт duolingo.com предлагает вам возможность изучать языки на 100% бесплатно, помогая переводить Интернет.

У

CAPTCHA есть несколько приложений для практической безопасности, включая (но не ограничиваясь):

  • Предотвращение спама в комментариях в блогах. Большинство блоггеров знакомы с программами, которые отправляют фальшивые комментарии, обычно с целью повышение рейтинга некоторых веб-сайтов в поисковых системах (например, «купите здесь копеечные акции»). Это называется спамом в комментариях. Используя CAPTCHA, только люди могут войти комментарии в блоге. Нет необходимости заставлять пользователей регистрироваться до того, как они введут комментарий, и нет никаких законных комментариев. когда-либо потеряно!

  • Защита регистрации на сайте. Несколько компаний (Yahoo !, Microsoft и др.) Предлагают бесплатные услуги электронной почты. Еще несколько лет назад большинство этих сервисов подвергалось атакам определенного типа: «боты», которые подписывались на тысячи учетных записей электронной почты каждую минуту. Решением этой проблемы было использование CAPTCHA, чтобы гарантировать, что только люди получить бесплатные аккаунты. Как правило, бесплатные сервисы должны быть защищены CAPTCHA, чтобы предотвратить злоупотребления со стороны автоматизированные скрипты.

  • Защита адресов электронной почты от парсеров. Спамеры сканируют Интернет в поисках адресов электронной почты, размещенных в открытом виде. CAPTCHA - это эффективный механизм, позволяющий скрыть ваш адрес электронной почты от веб-парсеров. Идея состоит в том, чтобы потребовать от пользователей решите CAPTCHA, прежде чем показывать свой адрес электронной почты. Бесплатную и безопасную реализацию, использующую CAPTCHA для обфускации адреса электронной почты, можно найти на reCAPTCHA. ПочтаСкрыть.

  • Онлайн-опросы. В ноябре 1999 г. сайт http://www.slashdot.org опубликовал онлайн-опрос, в котором лучшая аспирантура по информатике (опасный вопрос в сети!).Как и в случае с большинством онлайн-опросы IP-адреса избирателей записывались, чтобы отдельные пользователи не могли проголосовать более одного раза. Однако студенты Карнеги-Меллона нашли способ набить бюллетени с помощью программ, которые голосовали за CMU тысячами раз. Оценка CMU начала быстро расти. На следующий день студенты Массачусетского технологического института написали свою программу, и результаты опроса стали соревнование между голосующими «ботами». Массачусетский технологический институт закончил с 21 156 голосами, Карнеги-Меллон с 21 032 голосами и все остальные школы. с менее чем 1000.Можно ли доверять результату любого онлайн-опроса? Нет, если только опрос не подтвердит, что только люди могут голосование.

  • Предотвращение словарных атак. CAPTCHA также можно использовать для предотвращения атак по словарю при вводе пароля. системы. Идея проста: запретить компьютеру перебирать все пространство паролей путем требуя от него решения CAPTCHA после определенного количества неудачных входов в систему. Это лучше, чем классический подход блокировка учетной записи после серии неудачных попыток входа в систему, поскольку это позволяет злоумышленнику заблокировать учетные записи по своему усмотрению.

  • Поисковые боты. Иногда желательно, чтобы веб-страницы оставались неиндексированными, чтобы другие не могли их найти их легко. Существует тег html для предотвращения чтения веб-страниц роботами поисковых систем. Однако тег не гарантировать, что боты не будут читать веб-страницу; он служит только для того, чтобы сказать «пожалуйста, никаких ботов». Боты поисковых систем, так как они обычно принадлежат крупным компаниям, уважайте веб-страницы, которые не хотят их впускать. Однако для того, чтобы по-настоящему Гарантия того, что боты не зайдут на сайт, необходимы CAPTCHA.

  • Черви и спам. CAPTCHA также предлагают надежное решение против почтовых червей и спама: «Я принимайте электронные письма только в том случае, если я знаю, что за другим компьютером стоит человек ». Некоторые компании уже продвигают эту идею.

Если ваш сайт нуждается в защите от злоупотреблений, рекомендуется использовать CAPTCHA. Существует множество реализаций CAPTCHA, некоторые из которых лучше, чем другие. Следующие правила настоятельно рекомендуются для любого кода CAPTCHA:

  • Доступность. CAPTCHA должны быть доступны. CAPTCHA, основанные исключительно на чтении текста или других задачи визуального восприятия - предотвращение доступа слабовидящих пользователей к защищенному ресурсу. Такие капчи может сделать сайт несовместимым с Разделом 508 в США. Любая реализация CAPTCHA должна позволять слепой пользователей, чтобы обойти барьер, например, разрешив пользователям выбирать звуковую или звуковую CAPTCHA.

  • Безопасность изображения. CAPTCHA изображения текста должны быть случайным образом искажены перед показом пользователю.Многие реализации CAPTCHA используют неискаженный текст или текст с незначительными искажениями. Эти реализации уязвимы для простых автоматических атак.

  • Безопасность скриптов. Создать безопасный код CAPTCHA непросто. Помимо того, что изображения не читаются компьютеров, система должна гарантировать, что не существует простых способов обойти это на уровне сценария. Общие примеры К уязвимостям в этом отношении относятся: (1) системы, которые передают ответ на CAPTCHA в виде обычного текста как часть сети форма.(2) Системы, в которых решение одной и той же CAPTCHA может использоваться несколько раз (это делает CAPTCHA уязвимой для так называемые «атаки повторного воспроизведения»). Большинство скриптов CAPTCHA, которые можно найти в свободном доступе в Интернете, уязвимы для этих типов атак.

  • Безопасность даже после широкого распространения. Существуют различные "CAPTCHA", которые будут небезопасными, если значительное количество сайтов начали их использовать. Примером такой головоломки является задание текстовых вопросов, таких как математический вопрос («что такое 1 + 1»).Поскольку можно легко написать парсер, который позволил бы ботам обойти это проверки, такие "CAPTCHA" основаны на том факте, что их используют немногие сайты, и поэтому у автора бота нет стимула для запрограммируйте своего бота для решения этой задачи. Настоящие CAPTCHA должны быть безопасными даже после значительного количества веб-сайтов. принять их.

  • Стоит ли делать собственную капчу? В общем, создание собственного сценария CAPTCHA (например, с использованием PHP, Perl или .Net) - плохая идея, так как есть много ошибок. режимы.Мы рекомендуем вам использовать хорошо протестированная реализация, такая как reCAPTCHA.

Иногда ходят слухи, что спамеры используют порнографические сайты для решения CAPTCHA: изображения CAPTCHA отправляются на порносайт, а пользователи порносайтов спросил чтобы выполнить CAPTCHA до того, как вы сможете увидеть порнографическое изображение. Это не проблема безопасности для CAPTCHA . Хотя может случиться так, что некоторые спамеры используют порно сайтов для атаки CAPTCHA, ущерб, который это может нанести, крошечный (настолько крошечный, что мы даже не заметили вмятины!).В то время как написать бота, который миллионы раз в день злоупотребляет незащищенным сайтом, перенаправляя CAPTCHA для решения людьми, просматривающими порнография позволит спамерам злоупотреблять системами только несколько тысяч раз в день. Экономика этой атаки просто не складывается: каждый раз, когда на порносайте показывают CAPTCHA перед порнографией, они рискуют потерять клиента на другой сайт, который этого не делает.

Тесты

CAPTCHA основаны на открытых проблемах искусственного интеллекта (AI): например, декодирование изображений искаженного текста выходит за рамки возможностей современные компьютеры.Таким образом, CAPTCHA также ставят перед сообществом ИИ четко определенные задачи и способствуют обеспечению безопасности. исследователи, а также программисты-злоумышленники, работающие над развитием ИИ. Таким образом, CAPTCHA - беспроигрышная ситуация: либо CAPTCHA не сломан, и есть способ отличить людей от компьютеров, или CAPTCHA не работает, и проблема ИИ решена.

  • Луис фон Ан, Бен Маурер, Колин МакМиллен, Дэвид Абрахам и Мануэль Блюм. reCAPTCHA: распознавание персонажей с помощью средств веб-безопасности.В г. Наука.

  • Дженнифер Там, Иржи Симса, Шон Хайд и Луис фон Ан. Взлом аудио CAPTCHA. В достижениях в системах обработки нейронной информации (НИПС).

  • Луис фон Ан, Мануэль Блюм и Джон Лэнгфорд. Рассказывая Люди и компьютеры автоматически отделяются друг от друга. В Связь с ACM .

  • Луис фон Ан, Мануэль Блюм, Николас Хоппер и Джон Лэнгфорд. CAPTCHA: Использование сложных задач искусственного интеллекта для обеспечения безопасности.В Еврокрипт .

  • Кумар Челлапилла и Патрис Ю. Симард. Использование машинного обучения, чтобы сломать человека Доказательства взаимодействия (HIP). В NIPS . (Объясняет, как разбить простые CAPTCHA, для которых сегментирование символов несложно.)

  • Грег Мори и Джитендра Малик. Распознавание объектов в состязательном беспорядке: нарушение визуального восприятия CAPTCHA. В CVPR . (Объясняет, как взломать простую CAPTCHA.)

  • Google Tech Talk о CAPTCHA и человеческих вычислениях.

Что такое капча? - Panda Security

При вводе учетных данных или информации о кредитной карте на веб-сайтах вас могут попросить скопировать последовательность слов или математическую сумму, чтобы продолжить. Хотя в большинстве случаев это быстрый шаг, прежде чем вы сможете продолжить свою деятельность, многие люди задаются вопросом, что такое CAPTCHA? И какова его цель?

Что означает CAPTCHA?

CAPTCHA означает полностью автоматизированный общедоступный тест Тьюринга, позволяющий отличить компьютеры от людей.Другими словами, CAPTCHA определяет, настоящий пользователь или спам-робот. CAPTCHA растягивают или манипулируют буквами и цифрами и полагаются на человеческую способность определять, какие это символы.

Как работает капча?

CAPTCHA были изобретены, чтобы блокировать рассылку спама программам от размещения комментариев на страницах или одновременной покупки лишних товаров. Самая распространенная форма CAPTCHA - изображение с несколькими искаженными буквами. Также часто выбирают из множества изображений, где вам нужно выбрать общую тему.

Интернет и компьютеры на самом деле состоят из уникального языка программирования. Компьютерам трудно понимать языки из-за странных и замысловатых правил, которые принимают человеческие языки, а также сленг, который используют люди.

Кто использует CAPTCHA?

CAPTCHA используется на различных веб-сайтах, которые хотят убедиться, что пользователь не робот. В первую очередь, CAPTCHA используется для проверки онлайн-опросов. В 1999 году Slashdot провел опрос, в котором посетителям предлагалось выбрать аспирантуру с лучшей программой по информатике.Студенты из университетов Карнеги-Меллона и Массачусетского технологического института создали ботов или автоматизированные программы для многократного голосования за свои школы.

Эти школы получили тысячи голосов, в то время как другие школы набрали всего несколько сотен. CAPTCHA вступила в игру, так что пользователи не могли воспользоваться системой опроса.

Еще одно использование CAPTCHA - для регистрационных форм на таких веб-сайтах, как Yahoo! Почта или Gmail, где люди могут создавать бесплатные учетные записи. CAPTCHA не позволяет спамерам использовать ботов для создания множества учетных записей электронной почты для спама.

Билетные веб-сайты, такие как TicketMaster, также используют CAPTCHA, чтобы спекулянты по билетам не покупали билеты на крупные мероприятия. Это позволяет законным клиентам покупать билеты честно и не дает скальперам размещать тысячи заказов на билеты.

Наконец, веб-страницы или блоги, содержащие доски сообщений или контактные формы, используют CAPTCHA для предотвращения спамовых сообщений или комментариев. Это не защищает от киберзапугивания, но предотвращает автоматическую отправку сообщений ботами.

У CAPTCHA работает?

К сожалению, по мере того, как технологии и хакеры становятся все более продвинутыми, их тактика мошенничества также меняется. Хотя CAPTCHA по большей части безопасна, киберпреступники начали использовать CAPTCHA на своих ложных или мошеннических веб-сайтах, чтобы сделать свои мошенничества более правдоподобными.

Вот несколько способов, которыми киберпреступники могут обмануть пользователей Интернета:

  • Афера содержит интригующие сообщения в вашей ленте новостей. Бывший. КИМ КАРДАШЯН НИКОГДА НЕ ПРОСМОТРЕЛА ВИДЕО.После того, как вы нажмете на это сообщение, вам нужно будет ввести поддельный код CAPTCHA и перейти на целевую страницу. В это время вирус захватывает вашу учетную запись.
  • Афера содержит диковинное название ex. ДЕВУШКА СЛУЧАЙНО ПИСЫВАЕТ МАМУ ВМЕСТО ДРУГА, который побуждает пользователей прочитать историю. Ссылка ведет на сайт фейковых новостей, где может начаться взлом программного обеспечения.

Как CAPTCHA предотвращает мошенников

CAPTCHA имеет множество приложений для обеспечения безопасности веб-сайтов и пользователей.К ним относятся, но не ограничиваются:

  • Защита адресов электронной почты от мошенников
  • Защитить регистрации на сайте
  • Защищает онлайн-опрос
  • Защищает от почтовых червей / нежелательной почты
  • Предотвращает атаки по словарю
  • Предотвращает рассылку спама в комментариях в блогах

История CAPTCHA

Термин CAPTCHA впервые был использован компьютерными учеными из Университета Карнеги-Меллона в 2000 году. Хотя аббревиатура имеет смысл (автоматизированный тест для различения компьютеров и людей), часть теста Тьюринга может быть вам незнакома.

Тест Тьюринга

Алан Тьюринг, известный как отец современных вычислений, предложил этот тест в качестве эксперимента, чтобы выяснить, могут ли машины думать или казаться думающими как люди. Тест Тьюринга основан на имитации. Следователь задает двум участникам серию вопросов. Один из участников - машина, а другой - человек. Допрашивающий не знает, какой из них какой, и пытается угадать, какой участник является машиной. Если дознавателю не удается это выяснить, машина прошла тест Тьюринга.

Хотя CAPTCHA предназначена для обмана машин и создания теста, который проходят только люди, этот тест был создан для того, чтобы приложение CAPTCHA могло представлять различные CAPTCHA различным пользователям.

Еще одна причина, по которой CAPTCHA считается трудной для чтения компьютером, - это ее визуальный компонент. Поскольку символы имеют формат изображения, компьютерам сложнее сканировать изображение с текстом, особенно если текст искажен. Люди могут легче смотреть на изображение и обнаруживать закономерности.

Помимо визуальных паттернов, CAPTCHA также доступны в звуковом формате для слабовидящих. В некоторых случаях CAPTCHA может попросить читателя интерпретировать короткий отрывок текста. Затем он предложит читателю пройти короткую викторину по материалу.

Как защитить коды CAPTCHA

Если вашему сайту нужна надежная защита от мошенников, рекомендуется использовать CAPTCHA. При использовании любого кода CAPTCHA необходимо предпринять несколько дополнительных мер:

.

Защищенные изображения: Изображения должны произвольно искажаться при представлении пользователю.С небольшими искажениями изображение более уязвимо для автоматических атак.

Уникальных CAPTCHA: Если бы каждый сайт использовал одинаковые коды CAPTCHA, хакеры могли бы уловить и создать ботов, которые бы обходили этот тест. Вот почему важно время от времени менять тип CAPTCHA и избегать распространенных математических уравнений, таких как 1 + 1.

Безопасность сценария: Помимо того, что ваши изображения не могут быть прочитаны компьютерами, вы также должны убедиться, что не существует простых способов обойти уровень сценария.

Сюда входят:

  • Система передает ответ на CAPTCHA в виде простого текста как часть веб-формы.
  • Система, в которой решение одной и той же CAPTCHA может использоваться несколько раз. Лучше избегать любых сценариев CAPTCHA, которые можно свободно найти в Интернете, поскольку они более уязвимы для атак.

Доступность: CAPTCHA должны быть доступны для каждого пользователя. В этом отношении CAPTCHA не может основываться исключительно на чтении текста или выборе изображений.Важно, чтобы у пользователей была возможность выбрать звуковую CAPTCHA, если это необходимо.

Если владелец веб-сайта или блога решит отказаться от использования CAPTCHA, у него будут ежедневные серьезные проблемы с зарегистрированными пользователями спама и комментариями. Многие спамеры или программы для рассылки спама ищут в системе взломы, чтобы взломать ваш сайт. Согласно исследованиям экспертов Microsoft Кумару Челлапилле и Патрису Симарду, люди имеют около 80 процентов успеха при решении любой CAPTCHA, но машины имеют только 0.01 процент успеха.

Следовательно, использование CAPTCHA полезно для обеспечения безопасности вашего сайта. Хотя идея создания собственной CAPTCHA кажется идеальной, мы не рекомендуем ее создавать из-за множества режимов сбоя, с которыми вы можете столкнуться. Мы рекомендуем веб-сайт, который создает его для вас, например reCAPTCHA от Google. Чтобы обеспечить безопасность вашего устройства в дополнение к CAPTCHA, обязательно загрузите антивирус, чтобы оставаться в безопасности.

Источники:

Словарь.com | Как работает материал | Digital Unite | Captcha |

Почему CAPTCHA стали такими сложными

В какой-то момент прошлого года постоянные запросы Google доказать, что я человек, стали становиться все более агрессивными. Все чаще и чаще за простой, немного слишком милой кнопкой с надписью «Я не робот» следовали требования доказать это - путем выбора всех светофоров, пешеходных переходов и витрин в сетке изображений. Вскоре светофоры утонули в далекой листве, пешеходные переходы искривлены и повернуты за угол, вывески на фасаде магазина расплывчаты и на корейском языке.Есть что-то однозначно удручающее в том, что вас просят определить пожарный гидрант и что с ним не удается справиться.

Эти тесты называются CAPTCHA, аббревиатура от полностью автоматизированного общедоступного теста Тьюринга, позволяющего отличить компьютеры от людей, и они уже достигли такого плато непостижимости. В начале 2000-х простых изображений текста было достаточно, чтобы сбить с толку большинство спам-ботов. Но десятилетие спустя, после того как Google купил программу у исследователей Карнеги-Меллона и использовал ее для оцифровки Google Книг, тексты пришлось все больше искажать и скрывать, чтобы не отставать от улучшающих программ оптического распознавания символов - программ, которые окольными путями, все эти люди, решающие капчи, помогали совершенствоваться.

Все эти навесы, которые могут быть или не быть витринами? Это финал гонки вооружений человечества с машинами.

Поскольку CAPTCHA - такой элегантный инструмент для обучения ИИ, любой конкретный тест может быть только временным, что изначально признали его изобретатели. Со всеми этими исследователями, мошенниками и обычными людьми, решающими миллиарды головоломок на пороге возможностей ИИ, в какой-то момент машины должны были пройти мимо нас. В 2014 году Google противопоставил один из своих алгоритмов машинного обучения людям при решении самых искаженных текстовых CAPTCHA: компьютер прошел тест правильно 99.8 процентов времени, в то время как люди получали всего 33 процента.

Затем Google перешел на NoCaptcha ReCaptcha, которая отслеживает пользовательские данные и поведение, позволяя некоторым людям пройти через них, нажав кнопку «Я не робот», и представляет другим маркировку изображений, которые мы видим сегодня. Но машины снова догоняют. Все эти навесы, которые могут быть витринами, а могут и не быть? Это финал гонки вооружений человечества с машинами.

Джейсон Полакис, профессор информатики в Университете Иллинойса в Чикаго, лично отмечает недавнее увеличение сложности CAPTCHA.В 2016 году он опубликовал статью, в которой использовал стандартные инструменты распознавания изображений, в том числе собственный поиск Google по обратным изображениям, для решения CAPTCHA Google с изображениями с точностью 70%. Другие исследователи преодолели проблемы Google CAPTCHA с помощью собственных программ распознавания звука.

По словам Полакиса, сегодня машинное обучение

примерно так же хорошо, как люди, справляется с базовыми задачами распознавания текста, изображений и голоса. На самом деле, алгоритмы, вероятно, лучше справляются с этим: «Мы находимся на этапе, когда усложнение программного обеспечения в конечном итоге делает его слишком сложным для многих людей.Нам нужна альтернатива, но конкретного плана пока нет ».

Проблема многих из этих тестов не обязательно в том, что боты слишком умны, а в том, что люди их отстой

Литература по CAPTCHA изобилует фальстартами и странными попытками найти что-то, кроме текста или распознавания изображений, в чем люди универсально хороши, а машины с которыми борются. Исследователи пытались попросить пользователей классифицировать изображения людей по выражению лица, полу и этнической принадлежности.(Вы можете себе представить, как хорошо это прошло.) Были предложения по пустяковым CAPTCHA и CAPTCHA, основанным на детских стишках, распространенных в области, где якобы вырос пользователь. Такие культурные CAPTCHA нацелены не только на ботов, но и на людей, работающих на зарубежных фермах CAPTCHA, решающих головоломки за доли цента. Люди пытались заблокировать распознавание изображений, прося пользователей идентифицировать, скажем, свиней, но при этом создавая карикатуры на свиней и давая им солнцезащитные очки. Исследователи попросили пользователей идентифицировать объекты в пятнах, похожих на Magic Eye.В 2010 году исследователи предложили использовать CAPTCHA для индексации древних петроглифов, поскольку компьютеры не очень хорошо расшифровывают жесты оленей, нацарапанные на стенах пещер.

Недавно были предприняты попытки разработать похожие на игры CAPTCHA, тесты, которые требуют, чтобы пользователи поворачивали объекты на определенные углы или перемещали части головоломки в нужное положение, с инструкциями, которые даются не в тексте, а в символах или подразумеваются контекстом игрового поля. Есть надежда, что люди поймут логику головоломки, но компьютеры, не имеющие четких инструкций, будут поставлены в тупик.Другие исследователи пытались использовать тот факт, что у людей есть тела, используя камеры устройств или дополненную реальность для интерактивного доказательства человечности.

Проблема многих из этих тестов не обязательно в том, что боты слишком умны, а в том, что люди с ними плохо справляются. И дело не в том, что люди глупы; дело в том, что люди очень разнообразны по языку, культуре и опыту. Как только вы избавитесь от всего этого, чтобы сделать тест, который может пройти любой человек , без предварительной подготовки или особых размышлений, у вас останутся грубые задачи, такие как обработка изображений, именно то, что будет делать индивидуальный ИИ. хорош в.

«Тесты ограничены человеческими возможностями», - говорит Полакис. «Дело не только в наших физических возможностях, вам нужно что-то, что [может] кросс-культурное, кросс-языковое. Вам нужен вызов, который подходит для кого-то из Греции, кого-то из Чикаго, кого-то из Южной Африки, Ирана и Австралии одновременно. И он должен быть независимым от культурных сложностей и различий. Вам нужно что-то, что легко для обычного человека, это не должно быть привязано к определенной подгруппе людей, и в то же время это должно быть сложно для компьютеров.Это очень ограничивает то, что вы на самом деле можете делать. И это должно быть что-то, что человек может делать быстро и не слишком раздражает ».

Выяснение того, как исправить эти викторины с расплывчатыми изображениями, быстро вводит вас в область философии: какое универсальное человеческое качество можно продемонстрировать машине, но которое никакая машина не может имитировать? Что значит быть человеком?

Но, возможно, наша человечность измеряется не тем, как мы выполняем задачу, а тем, как мы перемещаемся по миру - или, в данном случае, через Интернет.Игровые CAPTCHA, видео CAPTCHA, любой тест CAPTCHA, который вы придумаете, в конечном итоге будет сломан, говорит Шуман Гхосемаджумдер, который ранее работал в Google по борьбе с мошенничеством с кликами, прежде чем стать техническим директором компании Shape Security, занимающейся обнаружением ботов. Вместо тестов он предпочитает так называемую «непрерывную аутентификацию», по сути наблюдая за поведением пользователя и ища признаки автоматизации. «Настоящий человек не очень хорошо контролирует свои двигательные функции, поэтому он не может двигать мышью одним и тем же способом более одного раза при нескольких взаимодействиях, даже если они очень стараются», - говорит Гхосемаджумдер.«Хотя бот будет взаимодействовать со страницей, не двигая мышью или очень точно перемещая мышь, человеческие действия имеют« энтропию », которую трудно подделать, - говорит Гхосемаджумдер.

Команда Google, занимающаяся CAPTCHA, думает в том же духе. Последняя версия reCaptcha v3, анонсированная в конце прошлого года, использует «адаптивный анализ рисков» для оценки трафика в зависимости от того, насколько он кажется подозрительным; Затем владельцы веб-сайтов могут решить бросить вызов сомнительным пользователям, например запрос пароля или двухфакторную аутентификацию.Google не сказал бы, какие факторы влияют на эту оценку, кроме того, что Google наблюдает, как выглядит группа «хорошего трафика» на сайте, по словам Сай Хормаи, менеджера по продукту в команде CAPTCHA, и использует это для определения « плохое движение. " Исследователи безопасности говорят, что это, скорее всего, сочетание файлов cookie, атрибутов браузера, шаблонов трафика и других факторов. Одним из недостатков новой модели обнаружения ботов является то, что она может сделать навигацию в Интернете, сводя к минимуму слежку, раздражающим занятием, поскольку такие вещи, как VPN и расширения для защиты от отслеживания, могут пометить вас как подозрительные и затруднительные.

«Я думаю, люди понимают, что существует приложение для моделирования обычного человека-пользователя ... или глупых людей».

Аарон Маленфант, руководитель группы инженеров Google CAPTCHA, говорит, что отказ от тестов Тьюринга призван обойти конкуренцию, которую люди продолжают проигрывать. «По мере того как люди вкладывают все больше и больше средств в машинное обучение, эти задачи будут становиться все сложнее и сложнее для людей, и именно поэтому мы запустили CAPTCHA V3, чтобы опередить эту кривую.Маленфант говорит, что через пять-десять лет проблемы с CAPTCHA, скорее всего, вообще не будут жизнеспособны. Вместо этого большая часть Интернета будет иметь постоянный секретный тест Тьюринга, работающий в фоновом режиме.

В своей книге The Most Human Human Брайан Кристиан принимает участие в конкурсе по тесту Тьюринга в качестве человеческого противника и обнаруживает, что на самом деле довольно сложно доказать свою человечность в разговоре. С другой стороны, создатели ботов обнаружили, что это легко пройти, не будучи самым красноречивым или умным собеседником, а уклоняясь от вопросов шутками, не имеющими смысла, делая опечатки или в случае с ботом, который выиграл соревнование Тьюринга в 2014 году. , утверждающий, что он 13-летний украинский мальчик, плохо владеющий английским языком.В конце концов, человеку свойственно ошибаться. Возможно, подобное будущее ожидает CAPTCHA, наиболее широко используемый тест Тьюринга в мире - новая гонка вооружений, чтобы не создавать ботов, которые превосходят людей в маркировке изображений и синтаксическом анализе текста, а ботов, которые делают ошибки, пропускают кнопки, отвлекаются. и переключать вкладки. «Я думаю, что люди понимают, что существует приложение для моделирования обычного человека-пользователя ... или глупых людей», - говорит Гхосемаджумдер.

тестов CAPTCHA тоже могут сохраниться в этом мире. В 2017 году Amazon получила патент на схему, включающую оптические иллюзии и логические головоломки, которые люди с большим трудом расшифровывают.Этот тест называется тестом Тьюринга через неудачу, единственный способ пройти - получить неправильный ответ.

Что такое капча? - Dictionary.com

Везде, где мы идем в Интернет, мы встречаем CAPTCHA, те искаженные слова, которые блокируют или разрешают запись на веб-сайтах. Вам нужно разместить объявление на Craigslist или войти в электронную почту с нового устройства? Вы можете встретить CAPTCHA. Хотите прокомментировать статью или сообщение в блоге? CAPTCHA.

Итак, почему они у нас?

Как работают капчи?

CAPTCHA были изобретены, чтобы блокировать рассылку спам-машин куда угодно.Чтобы не допустить спамеров, CAPTCHA должна эффективно проверять, являетесь ли вы человеком или машиной. Ученые-компьютерщики выяснили, что один из самых простых способов сделать это - использовать языковые образы. Чтобы обмануть спамеров, языковые образы берут случайно сгенерированный текст и манипулируют изображением, чтобы человек мог прочитать его с некоторым усилием, а компьютер, пытающийся сфотографировать его, не может.

Несмотря на то, что мы читаем слова в Интернете, Интернет и компьютеры не состоят из слов.Таким образом, CAPTCHA используют уникальную человеческую способность видеть буквы, которые были растянуты или обработаны, и при этом иметь возможность расшифровать, какие это буквы.

Почему они называются CAPTCHA ?

Термин CAPTCHA впервые был использован компьютерными учеными в Университете Карнеги-Меллона в начале 2000-х годов. CAPTCHA на самом деле является аббревиатурой от «Полностью автоматизированный общедоступный тест Тьюринга, позволяющий отличить компьютеры от людей.«Это полный рот.

Это также довольно простое название, за исключением части теста Тьюринга. Что такое тест Тьюринга ? Алан Тьюринг (1912–54) был влиятельным английским компьютерным теоретиком, который изобрел своего тезку, тест Тьюринга, который люди используют, чтобы проверить, может ли машина разговаривать как человек. CAPTCHA на самом деле является перевернутым тестом Тьюринга, с помощью которого машина проверяет, являетесь ли вы человеком или нет, но основной принцип остается.

По мере развития технологий (включая изощренность вредоносных угроз) CAPTCHA становятся все более изощренными, включая изображения.Чтобы подтвердить личность, пользователям может потребоваться выбрать в качестве одного экземпляра все изображения в наборе, которые включают школьный автобус или оранжевый цвет. Двухэтапная или двухфакторная аутентификация (например, ввод одноразового кода, отправленного на ваш телефон, который вы используете для входа на компьютер) также становится все более распространенным методом проверки.

Как вы думаете, боты будут фиксировать следующие шаги в технологии CAPTCHA?

Определение CAPTCHA | PCMag

( C полностью A автоматически P ublic T uring test, чтобы определить компьютеры C и H umans A часть) Категория технологий, используемых для подтверждения того, что человек совершает онлайн-транзакцию, а не чем компьютер.Разработанный в Университете Карнеги-Меллона, случайные слова или буквы отображаются в замаскированном и искаженном виде, чтобы их могли расшифровать люди, но не программы. Пользователей просят ввести текст, который они видят, чтобы подтвердить, что они люди.

CAPTCHA были созданы в ответ на ботов (программных агентов), которые автоматически заполняют веб-формы, как если бы они были отдельными пользователями. Боты используются для перегрузки опросов общественного мнения, кражи паролей (см. Атака по словарю) и, что наиболее популярно, для регистрации тысяч бесплатных учетных записей электронной почты, которые будут использоваться для рассылки спама.CAPTCHA были разработаны для того, чтобы люди не могли выполнять такие транзакции.

Битва ботов и CAPTCHA
После развертывания CAPTCHA в 2001 году боты-преступники были обновлены, чтобы анализировать искаженный текст, вводить правильный текст и, таким образом, сделать многие стили CAPTCHA неэффективными. В продолжающейся битве между ботами и CAPTCHA текст CAPTCHA становится все более искаженным и замаскированным, что часто затрудняет его декодирование людьми.

Были включены другие подходы для проверки человечности; например, отображение нескольких изображений и вопрос о том, какой объект среди них является общим, например, дерево или собака.Или может отображаться фраза, и пользователя просят повторно ввести слово; например, «Введите второе слово во фразе». См. ReCAPTCHA, Я не робот, атака по словарю и тест Тьюринга.

Введите слово, которое видите

В этом раннем примере CAPTCHA из Карнеги-Меллона случайное слово замаскировано, и пользователей просят ввести то, что они видят. (Изображение любезно предоставлено Школой компьютерных наук Карнеги-Меллона, www.captcha.net)

Более тупой, более случайный

CAPTCHA все больше искажаются, чтобы обмануть ботов, и реальные слова уступили место на случайные буквы и цифры.Однако, как и писатели вирусов, которые учатся более эффективно кодировать свои программы, так и писатели-боты ... веселые и творческие люди.

КАПЧА для ученых!

Разве эта CAPTCHA не стала бы хорошей проверкой на научном веб-сайте. Правильные квадраты: 30 / Zn (цинк), 49 / In (индий) и 31 / Ga (галий).

Как это можно обойти?

Если вы в последние годы проводили какое-то время в Интернете, вам нужно было поставить галочку, чтобы сказать миру: «Я не робот.Эта маленькая коробочка неизменно сопровождалась небольшим визуальным или звуковым тестом, называемым CAPTCHA.

Вы должны пройти тест CAPTCHA, чтобы доказать, что вы «не робот», прежде чем вы сможете получить доступ к какой-либо части веб-сайта. Обычно это происходит в тот момент, когда вам нужно заполнить форму для регистрации, подписки или совершения покупки на веб-сайте или в приложении.

Для многих пользователей это была раздражающая и отнимающая много времени необходимость в Интернете, часто заставляющая их задаваться вопросом, как избежать CAPTCHA.Однако для компаний, использующих их, инструменты CAPTCHA были обнадеживающей мерой безопасности. Это вселило в них уверенность в том, что люди, заходящие на их веб-сайт, являются настоящими посетителями, а не мошенниками. Но есть одна проблема: они не всегда работают.

В этой статье мы подробно рассмотрим, что такое CAPTCHA, как их можно легко обойти или как они неэффективны и что вы можете сделать вместо этого, чтобы по-настоящему защитить себя от мошенников.

Содержание:

Что такое капча?

По мере того, как в 90-е годы Интернет начал набирать обороты, недобросовестные действия в Интернете последовали за ним.CAPTCHA были созданы в ответ на это как способ отличить настоящих пользователей от плохих ботов, просто сканирующих веб-сайты для совершения некоторой формы мошенничества.

Само название CAPTCHA объясняет эту цель, что означает «полностью автоматизированный общедоступный тест Тьюринга, позволяющий отличить компьютеры от людей», при этом тест Тьюринга создан для того, чтобы различать человеческий интеллект и интеллект машины.

Эти ранние CAPTCHA имели форму текста, измененного каким-то образом, чтобы роботы не могли его читать.Хотя изначально они были очень успешными, быстрое развитие вычислений означало, что боты могли читать то, что говорилось в тексте.

На самом деле, довольно скоро боты настолько научились обходить CAPTCHA, что к 2014 году Google обнаружил, что их программу reCAPTCHA (развитие исходных CAPTCHA) могут обходить боты в 99% случаев.

Хотите узнать больше о ботах? Загрузите электронную книгу Bots 101!

Что такое reCAPTCHA?

reCAPTCHA - это система проверки человеком, разработанная в 2007 году и приобретенная Google в 2009 году.Первоначально инструмент был разработан для помощи в оцифровке книг, которые нельзя было сканировать с помощью компьютеров. После активации для проверки пользователей reCAPTCHA отображала два разных искаженных слова с проходящими через них линиями (по сравнению со случайными последовательностями букв и цифр CAPTCHA).

К 2012 году в проект начали включать изображения из Google Street View. К настоящему времени вы почти наверняка потратили приличное количество времени, щелкая все изображения, на которых есть светофор, чтобы доказать, что вы не бот.И вы, вероятно, тоже провалили некоторые из этих тестов! Как отмечает Baymard Institute : «Только 66% пользователей во время нашего качественного тестирования юзабилити успешно вошли в CAPTCHA с первой попытки».

Было еще несколько итераций reCAPTCHA, включая noCAPTCHA reCAPTCHA (где пользователям с низким уровнем риска нужно было только установить флажок с надписью «Я не робот») и reCAPTCHA v3.

О reCAPTCHA v3

В 2018 году Google представил reCAPTCHA v3, последнюю версию инструмента.Даже если вы невероятно опытный пользователь Интернета, есть большая вероятность, что вы почесываете подбородок и задаетесь вопросом, сталкивались ли вы раньше с reCAPTCHA v3.

С reCAPTCHA v3 вам не нужно расшифровывать искаженные слова, вам не нужно щелкать поля, чтобы указать, что вы знаете, как выглядит машина, и вам даже не нужно нажимать «Я не робот» ». Это связано с тем, что reCAPTCHA v3 существует в основном в фоновом режиме, полностью невидимым для обычного пользователя.

Таким образом, reCAPTCHA v3 помогает компаниям обнаруживать ботов, при этом якобы улучшая взаимодействие с пользователем, но взамен это нарушает конфиденциальность пользователей.

Вот как это работает : Google анализирует поведение пользователей при навигации по веб-сайту и оценивает это поведение, чтобы определить, насколько «рискованным» является пользователь, то есть насколько вероятно, что сеанс на самом деле является ботом, а не человеком.

Хотя reCAPTCHA v3 может помочь веб-сайтам обнаруживать ботов, она подходит только для этого случая использования. Если вы хотите защитить свой веб-сайт от мошенничества с рекламой, вам нужно сделать больше, чем просто положиться на эту услугу. Основываясь на данных о производительности клиентов, тщательно созданное вредоносное ПО и человеческое мошенничество пройдут через reCAPTCHA v3 и будут иметь высокий уровень ложных срабатываний при неправильной маркировке реальных людей как мошенников.

Недостатки CAPTCHA

Какими бы полезными ни были CAPTCHA в прошлом, важно понимать, что у них есть свои недостатки. Эти инструменты оставляют желать лучшего в качестве методов предотвращения рекламного мошенничества. Некоторые ключевые проблемы с CAPTCHA и reCAPTCHA включают:

CAPTCHA вредят пользовательскому опыту

Представьте, что вы переходите на веб-сайт продавца, чтобы завершить транзакцию электронной торговли. Вы только что узнали о новом продукте и хотите купить его как можно скорее.Когда вы начинаете процесс оформления заказа, вы сталкиваетесь с CAPTCHA. Что еще хуже, вы провалите тест. Повлияет ли такой опыт на то, чтобы вы с большей или меньшей вероятностью совершили покупку?

Если тест CAPTCHA выполнен некачественно, он может быть провален несколько раз. Например, если есть требование «выбрать все ящики с пожарным гидрантом», и все это один большой пожарный гидрант с кончиком части на нескольких пикселях на одном ящике, следует ли нажимать на него или нет?

Это может сильно расстраивать пользователей, что влияет на их вовлеченность и конверсию.

CAPTCHA могут напрасно тратить время клиентов

В последних новостях было показано, что CAPTCHA отнимают у пользователей дополнительное время. Например, запуск консолей PS5 и Xbox Series X столкнул покупателей с ботами, принадлежащими и управляемыми скальперами на веб-сайтах розничных продавцов.

Когда человек сталкивается с тестом CAPTCHA, ему приходится тратить драгоценные секунды, глядя на него и отвечая. Бот может обойти проверку, действуя как шкипер CAPTCHA и переходя практически непосредственно к покупке за миллисекунды.Результат? Бот покупает десятки консолей, и к моменту завершения теста человек получает сообщение об ошибке «нет в наличии».

Смертельный коэффициент конверсии

В совокупности неудивительно, что раздражающие впечатления и большее количество времени, необходимого для выполнения действий, приводят к снижению коэффициента конверсии с помощью CAPTCHA на 40%. Стоит отметить, что CAPTCHA не просто помешает вам привлечь больше потенциальных клиентов или продать больше продуктов в этот момент. Поскольку потребители, скорее всего, перестанут поддерживать бренды после неудачного опыта, они вполне могут помешать вам наращивать продажи и в будущем.

Обход CAPTCHA слишком прост с современными ботами

Если причинения вреда пользовательскому опыту было недостаточно, чтобы заставить вас задуматься об отказе от CAPTCHA, вот еще кое-что, о чем следует подумать: в связи с развитием технологий искусственный интеллект (ИИ) дошел до того уровня, когда современный «бот CAPTCHA» или «Блокировка инструмента reCAPTCHA» может с легкостью обойти проверку, полностью лишив их цели.

Поскольку CAPTCHA не предлагает никакой поддержки или аналитики, вы не можете точно определить, откуда исходит мошенничество.Даже если ваши CAPTCHA каким-то образом не позволят ботам обойти их, вам все равно придется иметь дело с вредоносным ПО и человеческим мошенничеством.

К сожалению, несмотря на попытки опередить злонамеренных пользователей в цифровой рекламе, простой поиск в Google предоставит вам множество сайтов, которые точно расскажут, как обойти даже самые сложные тесты.

Кроме того, эти тесты часто настолько сложны или плохо выполнены, что пользователи искренне злятся, имея дело с ними, создавая далеко не идеальную картину CAPTCHA.В лучшем случае это приводит к кислому привкусу во рту из-за пользовательского опыта. В худшем случае они вообще покидают сайт.

Даже когда дело доходит до reCAPTCHA v3, мошенникам невероятно легко набрать высокий балл, используя тщательно созданный бот CAPTCHA или используя человеческие фермы мошенничества. Эти изощренные мошенники могут легко обходить CAPTCHA, с которыми они сталкиваются.

Возлагая ответственность на владельца веб-сайта, вы остаетесь с людьми, решающими, какой трафик, вероятно, должен попадать на их сайты.С учетом всего этого вероятность ложных срабатываний высока. Наиболее часто используемые CAPTCHA сегодня не должны использоваться в качестве окончательного решения для блокировки мошеннического трафика.

Что вы можете сделать с обходом CAPTCHA?

К счастью, есть способы блокировать мошеннический трафик, которые лучше позволяют выявлять злонамеренных ботов, вредоносное ПО и человеческое мошенничество, которые не портят пользовательский опыт и не оставляют принятие решений в ваших руках.

Использование биометрии

С помощью биометрии можно проверить, что пользователи - настоящие люди, а не боты.Например, вы можете попросить людей со смартфонами подтвердить свою личность по отпечатку пальца. Есть и другие виды биометрии, которые следует учитывать, включая набор биометрических данных, распознавание речи и распознавание лиц.

Однако в зависимости от вашего варианта использования биометрия может быть не лучшим вариантом. С одной стороны, такие системы, как правило, довольно дороги. С другой стороны, не так много потребителей хотят отдавать свои биометрические данные, например, компании, которая продает носки.

Многофакторная аутентификация

Вы также можете реализовать метод многофакторной аутентификации (MFA), чтобы убедиться, что реальные люди получают доступ к вашим системам.Например, вы можете попросить кого-то войти в свою учетную запись, а затем отправить ему текстовое сообщение с одноразовым паролем, который он должен ввести на вашем веб-сайте, чтобы перейти к следующему шагу.

Хотя этот метод может быть полезен в безопасных средах, таких как приложения для банковского и брокерского учета, он, вероятно, создаст слишком много неудобств для средней компании.

Решения для борьбы с рекламным мошенничеством

Решение для борьбы с рекламным мошенничеством, такое как Anura, позволяет вам остановить ботов, а также защитить вас от вредоносных программ и мошенничества со стороны людей.Решение находится полностью на заднем плане вашего веб-сайта и никак не влияет на взаимодействие с пользователем.

Есть вопросы об обнаружении мошенничества с рекламой? Получите электронную книгу со всей необходимой информацией!

Anura точно обнаруживает мошенничество с помощью надежного, оптимизированного решения, которое практически не дает ложных срабатываний. Обретите душевное спокойствие, зная, что вы никогда не блокируете реальных посетителей. Этот окончательный и точный подход дает вам свободу вести свой бизнес, не беспокоясь о мошеннических посетителях.

С Anura вы можете продавать больше, привлекать больше потенциальных клиентов и оптимизировать свои кампании, не зная, что ваши данные точны и что мошенники не воспользовались вами. Это самый простой способ остановить трафик ботов, а также несколько других видов мошенничества с рекламой, не нанося ущерба пользовательскому интерфейсу.

Запросите пробную версию или свяжитесь с нами, чтобы узнать больше.

плагин: captcha [DokuWiki]

Плагин предоставляет различные методы CAPTCHA, которые можно выбрать в диспетчере конфигурации.

Метод js отображает 5 случайных символов, которые необходимо скопировать в поле ввода. Эта задача выполняется через JavaScript автоматически, после чего весь тест CAPTCHA скрывается от пользователя. Обычные спам-боты не будут выполнять JavaScript или искать на странице символы, поэтому этот тест должен быть достаточно эффективным, не требуя какого-либо ручного взаимодействия со стороны большинства пользователей. Тест полностью доступен для пользователей с ограниченными возможностями или пользователей без JavaScript.

Метод text работает так же, как метод JavaScript, но без автоматического JavaScript.Это победит SpamBots с включенным JavaScript, но потребует большего взаимодействия от пользователей. Это все еще довольно просто победить, проанализировав источник страницы. Доступность такая же хорошая, как и при первом способе.

Математический метод похож на текстовый режим, но отображает простую математическую задачу в форме сложения или вычитания. Пользователь должен решить проблему и ввести результат. Это требует от пользователей немного большей работы мозга. По-прежнему относительно легко победить настроенного бота.

Метод question позволяет указать один статический вопрос, на который пользователь должен дать один статический ответ. Доступность такая же, как и у текстового метода, но ее очень легко победить с помощью специального спам-бота. Однако, поскольку вопрос можно настроить (изменив параметры конфигурации вопрос и ответ ), его можно использовать для того, чтобы потребовать от пользователей знания конкретной предметной области.

Наконец, метод image отображает случайные символы как автоматически сгенерированное изображение.Этот тест невозможно обойти без дорогостоящих методов распознавания текста. К сожалению, этот метод эффективно блокирует слепых пользователей или пользователей текстовых браузеров. Для этой функции требуется расширение libGD PHP.

audio Метод улучшает доступность CAPTCHA изображения, добавляя загрузку .wav. Файл .wav воспроизводит буквы CAPTCHA, прочитанные в фонетическом алфавите НАТО. Обратите внимание, что из-за того, как создается волновой файл, его может быть проще автоматически декодировать, чем изображение.

Метод svg работает аналогично методу изображения, но создает встроенный SVG из случайных букв. Людям должно быть намного легче читать. Пока спамеры не догонят встроенный SVG с помощью OCR, он должен быть относительно безопасным против автоматического решения. У него те же проблемы с доступностью, что и у метода изображения.

svgaudio Метод сочетает в себе метод svg с методом аудио, обеспечивая альтернативную аудио версию рядом с изображением SVG.

Метод figlet создает художественную визуализацию текста ASCII .У него очень плохая доступность, и его относительно легко победить скриптом, но забавно смотреть на

.

Вы можете указать количество символов, которые будут использоваться для всех CAPTCHA (кроме math и question mode, конечно) в config.

Если вы выбираете тип изображения, вы можете указать размер сгенерированного изображения. Большие изображения занимают больше места на экране, и их легче распознать с помощью оптического распознавания текста. С другой стороны, людям лучше читать изображения большего размера.Убедитесь, что ваше изображение достаточно широкое, чтобы отображать настроенное количество символов.

По умолчанию метод CAPTCHA применяется только для анонимных пользователей. Вы можете включить его также для вошедших в систему пользователей с помощью опции для пользователей .

CAPTCHA по умолчанию защищает следующие действия:

  • редактирование страницы

  • регистрация пользователя

  • сброс пароля

Вы можете дополнительно потребовать CAPTCHA для входа в систему, включив параметр конфигурации loginprotect .

Об авторе

alexxlab administrator

Оставить ответ