Bezpieczeństwo
„Czy jesteś robotem?”. Boty lepiej i szybciej niż ludzie rozwiązują testy CAPTCHA
CAPTCHA od ponad dwóch dekad stanowią jedną z popularniejszych metod blokady stron przed spamem i botami. Nowe badanie przeprowadzone na Uniwersytecie Cornella podaje w wątpliwość ich skuteczność.
CAPTCHA nieskuteczne w walce z botami
Maszyny są lepsze niż ludzie w udowadnianiu, że „nie są robotami”, wynika z analizy porównawczej grupy naukowców pod przewodnictwem Andrew Searlesa z amerykańskiego Uniwersytetu Cornella.
Badacze wzięli pod lupę wciąż popularne na wielu stronach formy testów Turinga, powszechnie znane jako CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), które w teorii mają być stosunkowo łatwe do przejścia dla ludzi i niemal niemożliwe do rozwiązania dla maszyn. W praktyce jest jednak zupełnie inaczej – boty nie tylko są w stanie z łatwością pokonać te zabezpieczenia, ale też robią to szybciej i dokładniej niż ludzie.
W badaniu udział wzięło 1400 osób w różnym wieku i o różnym stopniu wykształcenia, a każda z nich rozwiązała po sto testów Turinga z sześciu najczęściej występujących kategorii. Największe różnice widać było w przypadku CAPTCHA ze zniekształconym tekstem. Ludzie rozwiązywali je średnio w czasie od 9 do 15 sekund z dokładnością od 50 do 84%, przy czym maszynom zajmowało to mniej niż sekundę ze skutecznością 99,8%.
Najmniejszy rozdźwięk między wynikami zaobserwowano z kolei przy testach polegających na identyfikowaniu konkretnych elementów otoczenia np. sygnalizatorów świetlnych czy autobusów. Tutaj maszyny osiągnęły 85% poprawnych wyników w średnim czasie 17,5 sekundy, z kolei ludzie – 81% poprawnych odpowiedzi w czasie od 15 do 26 sekund.
– Ogólna skuteczność botów waha się od 85 do 100%, przy czym większość z nich przekracza 96%. To znacznie przewyższa obserwowany przez nas zakres dokładności człowieka (50-85%) – czytamy we wnioskach badaczy.
Niepokój dodatkowo może budzić fakt, że według naukowców spośród 200 najczęściej odwiedzanych stron internetowych aż 120 nadal używa CAPTCHA. Zautomatyzowane boty mogą więc stanowić dla nich poważne zagrożenie, ponieważ są w stanie nie tylko podszywać się pod prawdziwych użytkowników, ale też przeprowadzać na dużą skalę szkodliwe operacje takie jak masowe tworzenie fałszywych kont, publikowanie nienawistnych komentarzy, zbieranie danych czy ataki DDoS.
Z powyższych względów CAPTCHA nie cieszą się również dobrą opinią w środowiskach technologicznych. Często podkreśla się ich czasochłonność i bezużyteczność, a także fakt, że wiele z nich przechowuje prywatne dane użytkowników takie jak numery telefonów czy nawet odciski palców. To dlatego firmy takie jak Cloudfare, Google, Apple czy Fastly od lat prowadzą własne kampanie na rzecz likwidacji CAPTCHA i zastąpienia ich bardziej efektywnymi rozwiązaniami.