Cách thức hoạt động của CAPTCHA

Bạn đang sử dụng máy tính của mình để mua vé xem một buổi hòa nhạc tại một địa điểm địa phương. Trước khi bạn có thể mua vé, trước tiên bạn phải vượt qua một bài kiểm tra. Đó không phải là một bài kiểm tra khó - trên thực tế, đó chính là điểm mấu chốt. Đối với bạn, bài kiểm tra phải đơn giản và dễ hiểu. Nhưng đối với một máy tính, bài kiểm tra gần như không thể giải quyết được.

Loại kiểm tra này là CAPTCHA , một từ viết tắt của Kiểm tra Turing công cộng hoàn toàn tự động để nói với máy tính và con người khác . Chúng còn được gọi là một loại Bằng chứng Tương tác Con người ( HIP ). Bạn có thể đã thấy các bài kiểm tra CAPTCHA trên rất nhiều trang Web. Dạng CAPTCHA phổ biến nhất là hình ảnh của một số chữ cái bị bóp méo. Công việc của bạn là nhập một chuỗi các chữ cái chính xác vào một biểu mẫu. Nếu các chữ cái của bạn khớp với các chữ cái trong hình ảnh bị méo, bạn đã vượt qua bài kiểm tra.

Tại sao mọi người lại cần tạo một bài kiểm tra có thể phân biệt con người và máy tính? Đó là do mọi người cố gắng chơi trò chơi hệ thống - họ muốn khai thác các điểm yếu trong các máy tính chạy trang web. Mặc dù những cá nhân này có thể chiếm thiểu số trong tất cả những người trên Internet , nhưng hành động của họ có thể ảnh hưởng đến hàng triệu người dùng và các trang Web. Ví dụ, một dịch vụ e-mail miễn phí có thể bị tấn công bởi các yêu cầu tài khoản từ một chương trình tự động. Chương trình tự động đó có thể là một phần của nỗ lực lớn hơn để gửi thư rác cho hàng triệu người. Kiểm tra CAPTCHA giúp xác định người dùng nào là con người thực và người dùng nào là chương trình máy tính.

Một điều thú vị về các bài kiểm tra CAPTCHA là những người thiết kế bài kiểm tra không phải lúc nào cũng khó chịu khi bài kiểm tra của họ không thành công. Đó là bởi vì để một bài kiểm tra CAPTCHA không thành công, ai đó phải tìm cách dạy máy tính cách giải bài kiểm tra đó. Nói cách khác, mọi thất bại của CAPTCHA thực sự là một bước tiến của trí tuệ nhân tạo.

Chúng ta hãy xem xét kỹ hơn chính xác CAPTCHA là gì trong phần tiếp theo.

Xin kính chào Chương trình!

Một trong những điều trớ trêu của chương trình CAPTCHA là ứng dụng CAPTCHA có thể tạo ra một bài kiểm tra mà ngay cả nó cũng không thể giải được nếu chưa biết câu trả lời.

Nội dung

1. CAPTCHA và Kiểm tra Turing
2. Ai sử dụng CAPTCHA
3. Tạo CAPTCHA
4. Phá vỡ CAPTCHA
5. CAPTCHA và Trí tuệ nhân tạo

Công nghệ CAPTCHA có nền tảng trong một thử nghiệm được gọi là Thử nghiệm Turing . Alan Turing, đôi khi được gọi là cha đẻ của máy tính hiện đại, đã đề xuất thử nghiệm này như một cách để kiểm tra xem liệu máy móc có thể suy nghĩ - hoặc dường như suy nghĩ - giống như con người hay không. Bài kiểm tra cổ điển là một trò chơi bắt chước. Trong trò chơi này, một người thẩm vấn hỏi hai người tham gia một loạt câu hỏi. Một trong những người tham gia là máy móc và người kia là con người. Người thẩm vấn không thể nhìn hoặc nghe thấy những người tham gia và không có cách nào để biết đó là người nào. Nếu người hỏi không thể xác định người tham gia nào là máy dựa trên các câu trả lời, máy sẽ vượt qua Kiểm tra Turing.

Tất nhiên, với CAPTCHA, mục tiêu là tạo ra một bài kiểm tra mà con người có thể vượt qua dễ dàng nhưng máy móc thì không. Điều quan trọng nữa là ứng dụng CAPTCHA có thể trình bày các CAPTCHA khác nhau cho những người dùng khác nhau. Nếu một CAPTCHA trực quan trình bày một hình ảnh tĩnh giống nhau cho mọi người dùng, sẽ không mất nhiều thời gian trước khi kẻ gửi thư rác phát hiện ra biểu mẫu, giải mã các ký tự và lập trình ứng dụng tự động nhập câu trả lời chính xác.

Hầu hết, nhưng không phải tất cả, CAPTCHA dựa trên một bài kiểm tra trực quan. Máy tính thiếu sự tinh vi mà con người có khi xử lý dữ liệu trực quan. Chúng ta có thể nhìn vào một hình ảnh và chọn ra các mẫu dễ dàng hơn so với máy tính. Tâm trí con người đôi khi nhận thức được các mô hình ngay cả khi không tồn tại, một điều kỳ quặc mà chúng ta gọi là pareidolia . Bạn đã bao giờ nhìn thấy một hình dạng trên mây hoặc một khuôn mặt trên mặt trăng ? Đó là bộ não của bạn đang cố gắng liên kết thông tin ngẫu nhiên thành các mẫu và hình dạng.

Nhưng không phải tất cả các CAPTCHA đều dựa trên các mẫu hình ảnh. Trên thực tế, điều quan trọng là phải có một giải pháp thay thế cho CAPTCHA trực quan. Nếu không, người quản trị trang Web có nguy cơ tước quyền sử dụng của bất kỳ người dùng Web nào bị khiếm thị. Một thay thế cho kiểm tra hình ảnh là kiểm tra âm thanh. CAPTCHA âm thanh thường hiển thị cho người dùng một loạt các chữ cái hoặc số được nói. Không có gì lạ khi chương trình làm sai lệch giọng nói của người nói và việc chương trình bao gồm tiếng ồn xung quanh trong bản ghi cũng là điều bình thường. Điều này giúp ngăn chặn các chương trình nhận dạng giọng nói.

Một tùy chọn khác là tạo CAPTCHA yêu cầu người đọc diễn giải một đoạn văn bản ngắn. CAPTCHA theo ngữ cảnh đánh đố người đọc và kiểm tra kỹ năng hiểu. Mặc dù các chương trình máy tính có thể chọn ra các từ chính trong các đoạn văn bản, nhưng chúng không giỏi lắm trong việc hiểu những từ đó thực sự có nghĩa là gì.

Trong phần tiếp theo, chúng ta sẽ xem xét kỹ hơn các loại trang web sử dụng CAPTCHA để xác minh xem bạn có bắt mạch hay không.

Tôi xin lỗi, tôi sẽ đọc lại

Đôi khi, CAPTCHA trình bày một hình ảnh hoặc âm thanh bị bóp méo đến mức, ngay cả con người cũng không thể giải mã được. Đó là lý do tại sao nhiều ứng dụng CAPTCHA cung cấp cho người dùng tùy chọn tạo CAPTCHA mới và thử lại. Hy vọng rằng lần thứ hai sẽ không khó hiểu như lần đầu tiên.

Một ứng dụng phổ biến của CAPTCHA là để xác minh các cuộc thăm dò trực tuyến . Trên thực tế, một cuộc thăm dò trước đây của Slashdot đóng vai trò là một ví dụ về những gì có thể xảy ra nếu những người thăm dò ý kiến ​​không triển khai các bộ lọc trên các cuộc khảo sát của họ. Năm 1999, Slashdot công bố một cuộc thăm dò yêu cầu du khách chọn trường sau đại học có chương trình tốt nhất về khoa học máy tính. Sinh viên từ hai trường đại học - Carnegie Mellon và MIT - đã tạo ra các chương trình tự động gọi là bot để bỏ phiếu liên tục cho các trường tương ứng của họ. Trong khi hai trường đó nhận được hàng nghìn phiếu bầu thì các trường khác mỗi trường chỉ có vài trăm phiếu. Nếu có thể tạo một chương trìnhcó thể bỏ phiếu trong một cuộc thăm dò, làm thế nào chúng ta có thể tin tưởng vào kết quả thăm dò trực tuyến? Biểu mẫu CAPTCHA có thể giúp ngăn lập trình viên lợi dụng hệ thống bỏ phiếu.

Các mẫu đăng ký trên các trang Web thường sử dụng CAPTCHA. Ví dụ, các dịch vụ e-mail miễn phí trên nền Web như Hotmail, Yahoo! Mail hoặc Gmail cho phép mọi người tạo tài khoản e-mail miễn phí. Thông thường, người dùng phải cung cấp một số thông tin cá nhân khi tạo tài khoản, nhưng các dịch vụ thường không xác minh thông tin này. Họ sử dụng CAPTCHA để cố gắng ngăn chặn những kẻ gửi thư rác sử dụng bot để tạo ra hàng trăm tài khoản thư rác .

Các công ty môi giới vé như TicketMaster cũng sử dụng các ứng dụng CAPTCHA. Các ứng dụng này giúp ngăn chặn những người bán vé bắn phá dịch vụ với lượng mua vé lớn cho các sự kiện lớn. Nếu không có một số loại bộ lọc, người mở rộng có thể sử dụng bot để đặt hàng trăm hoặc hàng nghìn đơn đặt hàng chỉ trong vài giây. Những khách hàng hợp pháp trở thành nạn nhân khi các sự kiện bán hết vé chỉ vài phút sau khi có vé. Scalpers sau đó cố gắng bán vé trên mệnh giá. Mặc dù các ứng dụng CAPTCHA không ngăn chặn việc mở rộng quy mô, nhưng chúng khiến việc xác định vé trên quy mô lớn trở nên khó khăn hơn.

Một số trang Web có bảng thông báo hoặc biểu mẫu liên hệ cho phép khách truy cập đăng thông báo lên trang web hoặc gửi trực tiếp đến quản trị viên Web. Để ngăn chặn sự tràn lan của thư rác, nhiều trang web trong số này có chương trình CAPTCHA để lọc tiếng ồn. CAPTCHA sẽ không ngăn ai đó quyết tâm đăng một tin nhắn khiếm nhã hoặc quấy rối quản trị viên, nhưng nó sẽ giúp ngăn bot tự động đăng tin nhắn.

Hình thức CAPTCHA phổ biến nhất yêu cầu khách nhập một từ hoặc một loạt các chữ cái và số mà ứng dụng đã làm sai lệch theo một cách nào đó. Một số người sáng tạo CAPTCHA đã nghĩ ra một cách để tăng giá trị của một ứng dụng như vậy: số hóa sách. Một ứng dụng có tên reCAPTCHA khai thác các phản hồi của người dùng trong các trường CAPTCHA để xác minh nội dung của một mẩu giấy được quét. Bởi vì máy tính không phải lúc nào cũng có thể nhận dạng các từ từ bản quét kỹ thuật số, con người phải xác minh nội dung của trang in. Sau đó, các công cụ tìm kiếm có thể tìm kiếm và lập chỉ mục nội dung của một tài liệu được quét.

Đây là cách hoạt động: Đầu tiên, quản trị viên của chương trình reCAPTCHA quét kỹ thuật số một cuốn sách. Sau đó, chương trình reCAPTCHA chọn hai từ từ hình ảnh số hóa. Ứng dụng đã nhận ra một trong các từ. Nếu khách truy cập nhập từ đó vào một trường chính xác, ứng dụng sẽ giả định rằng từ thứ hai mà người dùng nhập cũng đúng. Từ thứ hai đó đi vào một nhóm các từ mà ứng dụng sẽ trình bày với những người dùng khác. Khi mỗi người dùng nhập một từ, ứng dụng sẽ so sánh từ đó với câu trả lời ban đầu. Cuối cùng, ứng dụng nhận đủ phản hồi để xác minh từ đó với mức độ chắc chắn cao. Từ đó sau đó có thể đi vào nhóm đã xác minh.

Nghe có vẻ tốn thời gian, nhưng hãy nhớ rằng trong trường hợp này, CAPTCHA đang thực hiện nhiệm vụ kép. Nó không chỉ xác minh nội dung của một cuốn sách số hóa, nó còn xác minh rằng những người điền vào biểu mẫu thực sự là con người. Đổi lại, những người đó đang có quyền truy cập vào một dịch vụ mà họ muốn sử dụng.

Tiếp theo, chúng ta sẽ xem xét quá trình tạo CAPTCHA.

Bước đầu tiên để tạo CAPTCHA là xem xét các cách khác nhau của con người và máy móc xử lý thông tin. Máy thực hiện theo bộ hướng dẫn. Nếu có điều gì đó nằm ngoài phạm vi của những hướng dẫn đó, máy sẽ không thể bù đắp. Một nhà thiết kế CAPTCHA phải tính đến điều này khi tạo thử nghiệm. Ví dụ, thật dễ dàng để xây dựng một chương trình xem siêu dữ liệu - thông tin trên Web không thể nhìn thấy đối với con người nhưng máy móc có thể đọc được. Nếu bạn tạo CAPTCHA trực quan và siêu dữ liệu của hình ảnh bao gồm giải pháp, thì CAPTCHA của bạn sẽ bị hỏng ngay lập tức.

Tương tự, thật không khôn ngoan khi xây dựng một CAPTCHA không làm sai lệch các chữ cái và số theo một cách nào đó. Một chuỗi ký tự không bị biến dạng không an toàn lắm. Nhiều chương trình máy tính có thể quét hình ảnh và nhận dạng các hình dạng đơn giản như chữ cái và số.

Một cách để tạo CAPTCHA là xác định trước hình ảnh và giải pháp mà nó sẽ sử dụng. Cách tiếp cận này yêu cầu một cơ sở dữ liệu bao gồm tất cả các giải pháp CAPTCHA, có thể ảnh hưởng đến độ tin cậy của bài kiểm tra. Theo các chuyên gia Kumar Chellapilla và Patrice Simard của Microsoft Research, con người nên có tỷ lệ thành công 80% khi giải bất kỳ CAPTCHA cụ thể nào, nhưng máy móc chỉ nên có tỷ lệ thành công 0,01 [nguồn: Chellapilla và Simard ]. Nếu kẻ gửi thư rác tìm được danh sách tất cả các giải pháp CAPTCHA, họ có thể tạo một ứng dụng tấn công CAPTCHA bằng mọi câu trả lời có thể trong một cuộc tấn công vũ phu . Cơ sở dữ liệu sẽ cần hơn 10.000 CAPTCHA khả thi để đáp ứng các tiêu chuẩn của một CAPTCHA tốt.

Các ứng dụng CAPTCHA khác tạo ra các chuỗi ký tự và số ngẫu nhiên. Bạn không bao giờ có thể nhận được cùng một loạt hai lần. Sử dụng ngẫu nhiên loại bỏ khả năng xảy ra một cuộc tấn công vũ phu - tỷ lệ bot nhập đúng chuỗi các chữ cái ngẫu nhiên là rất thấp. Chuỗi ký tự càng dài, bot càng ít có khả năng gặp may.

CAPTCHA thực hiện các cách tiếp cận khác nhau để bóp méo các từ. Một số kéo dài và uốn cong các chữ cái theo những cách kỳ lạ, như thể bạn đang nhìn từ này qua thủy tinh nóng chảy. Những người khác đặt từ sau một mô hình thanh chéo để phá vỡ hình dạng của các chữ cái. Một số ít sử dụng các màu khác nhau hoặc trường chấm để đạt được hiệu quả tương tự. Cuối cùng, mục tiêu là giống nhau: làm cho máy tính thực sự khó tìm ra những gì trong CAPTCHA.

Các nhà thiết kế cũng có thể tạo ra các câu đố hoặc các vấn đề mà con người có thể dễ dàng giải quyết được. Một số CAPTCHA dựa vào nhận dạng mẫu và ngoại suy . Ví dụ: một CAPTCHA có thể bao gồm một loạt các hình dạng và hỏi người dùng rằng hình dạng nào trong số một số lựa chọn sẽ xuất hiện một cách hợp lý tiếp theo. Vấn đề với phương pháp này là không phải tất cả mọi người đều xử lý tốt những loại vấn đề này và tỷ lệ thành công của một người dùng có thể giảm xuống dưới 80 phần trăm.

Tiếp theo, chúng ta sẽ xem xét cách máy tính có thể phá vỡ CAPTCHA.

Bạn có thể nghe tôi nói bây giờ không?

Theo nhiều cách, CAPTCHA nghe được tương tự như CAPTCHA trực quan. Trong cách tiếp cận cơ sở dữ liệu, trình tạo CAPTCHA phải ghi trước một người hoặc máy tính nói từng chuỗi ký tự và sau đó khớp chúng với giải pháp phù hợp. Với cách tiếp cận ngẫu nhiên, người tạo ghi trước từng ký tự riêng lẻ và ứng dụng xâu chuỗi các ký tự lại với nhau một cách ngẫu nhiên để tạo CAPTCHA.

The challenge in breaking a CAPTCHA isn't figuring out what a message says -- after all, humans should have at least an 80 percent success rate. The really hard task is teaching a computer how to process information in a way similar to how humans think. In many cases, people who break CAPTCHAs concentrate not on making computers smarter, but reducing the complexity of the problem posed by the CAPTCHA.

Let's assume you've protected an online form using a CAPTCHA that displays English words. The application warps the font slightly, stretching and bending the letters in unpredictable ways. In addition, the CAPTCHA includes a randomly generated background behind the word.

A programmer wishing to break this CAPTCHA could approach the problem in phases. He or she would need to write an algorithm -- a set of instructions that directs a machine to follow a certain series of steps. In this scenario, one step might be to convert the image in grayscale. That means the application removes all the color from the image, taking away one of the levels of obfuscation the CAPTCHA employs.

Next, the algorithm might tell the computer to detect patterns in the black and white image. The program compares each pattern to a normal letter, looking for matches. If the program can only match a few of the letters, it might cross reference those letters with a database of English words. Then it would plug in likely candidates into the submit field. This approach can be surprisingly effective. It might not work 100 percent of the time, but it can work often enough to be worthwhile to spammers.

What about more complex CAPTCHAs? The Gimpy CAPTCHA displays 10 English words with warped fonts across an irregular background. The CAPTCHA arranges the words in pairs and the words of each pair overlap one another. Users have to type in three correct words in order to move forward. How reliable is this approach?

As it turns out, with the right CAPTCHA-cracking algorithm, it's not terribly reliable. Greg Mori and Jitendra Malik published a paper detailing their approach to cracking the Gimpy version of CAPTCHA. One thing that helped them was that the Gimpy approach uses actual words rather than random strings of letters and numbers. With this in mind, Mori and Malik designed an algorithm that tried to identify words by examining the beginning and end of the string of letters. They also used the Gimpy's 500-word dictionary.

Mori and Malik ran a series of tests using their algorithm. They found that their algorithm could correctly identify the words in a Gimpy CAPTCHA 33 percent of the time [source: Mori and Malik]. While that's far from perfect, it's also significant. Spammers can afford to have only one-third of their attempts succeed if they set bots to break CAPTCHAs several hundred times every minute.

You'd think that the inventors of CAPTCHA would be upset that their hard work is being picked apart by hackers, but you'd be wrong. Find out why in the next section.

Electronic Ears

Audio CAPTCHAs aren't foolproof either. In the spring of 2008, there were reports that hackers figured out a way to beat Google's audio CAPTCHA system. To crack an audio CAPTCHA, you have to create a library of sounds representing each character in the CAPTCHA's database. Keep in mind that depending on the distortion, there might be several sounds for the same character. After categorizing each sound, the spammer uses a variation of voice-recognition software to interpret the audio CAPTCHA [source: Networkworld].

Luis von Ahn of Carnegie Mellon University is one of the inventors of CAPTCHA. In a 2006 lecture, von Ahn talked about the relationship between things like CAPTCHA and the field of artificial intelligence (AI). Because CAPTCHA is a barrier between spammers or hackers and their goal, these people have dedicated time and energy toward breaking CAPTCHAs. Their successes mean that machines are getting more sophisticated. Every time someone figures out how to teach a machine to defeat a CAPTCHA, we move one step closer to artificial intelligence.

Khi mọi người tìm ra những cách mới để tiếp cận CAPTCHA, các nhà khoa học máy tính như von Ahn phát triển CAPTCHA để giải quyết những thách thức khác trong lĩnh vực AI. Một bước lùi của CAPTCHA vẫn là một bước tiến của AI - mỗi thất bại cũng là một chiến thắng [nguồn: Human Computation ].

Nhưng những gì về quản trị viên Web? Họ có thể không thấy triết lý của von Ahn gần như hấp dẫn. Từ quan điểm của họ, họ vẫn phải đối phó với một vấn đề lớn - những kẻ gửi thư rác và tin tặc. Những người duy trì các trang Web hoặc tạo các cuộc thăm dò trực tuyến cần lưu ý rằng một số hệ thống CAPTCHA không còn hiệu quả nữa. Điều quan trọng là phải thực hiện một nghiên cứu nhỏ về những ứng dụng CAPTCHA nào vẫn đáng tin cậy. Và điều quan trọng không kém là luôn cập nhật về chủ đề này. Nếu một hệ thống CAPTCHA bị lỗi, quản trị viên có thể cần phải xóa mã khỏi trang web của mình và thay thế nó bằng một phiên bản khác.

Đối với các nhà thiết kế CAPTCHA, họ phải đi trên một con đường tốt. Khi máy tính ngày càng tinh vi, phương pháp kiểm tra cũng phải phát triển. Nhưng nếu thử nghiệm phát triển đến mức con người không thể giải CAPTCHA với tỷ lệ thành công tốt nữa, thì toàn bộ hệ thống sẽ thất bại. Câu trả lời có thể không liên quan đến việc văn bản bị cong vênh hoặc bóp méo - nó có thể yêu cầu người dùng giải một phương trình toán học hoặc trả lời các câu hỏi về một câu chuyện ngắn. Và khi các bài kiểm tra này trở nên phức tạp hơn, sẽ có nguy cơ khiến người dùng mất hứng thú. Có bao nhiêu người vẫn muốn đăng trả lời một bảng tin nếu trước tiên họ phải giải một phương trình bậc hai?

Vào năm 2014, Google (đã mua lại reCAPTCHA vào năm 2009) bắt đầu loại bỏ dịch vụ cổ điển. Tại chỗ, nó yêu cầu bạn chọn một hộp có từ "Tôi không phải là người máy". Đây được gọi là Không có CAPTCHA. Vào năm 2017, Google đã thông báo rằng họ sẽ loại bỏ Không có CAPTCHA. Thay vào đó, dịch vụ sẽ dựa vào các kỹ thuật như để ý cách bạn di chuyển con trỏ trên màn hình hoặc phân tích thói quen duyệt web của bạn để xác định xem bạn là người hay rô bốt. Đây được gọi là reCAPTCHA vô hình. Nếu bạn có vẻ nghi ngờ (có lẽ trên thực tế bạn là rô bốt), bạn sẽ thấy một trong những thách thức reCAPTCHA cũ cần giải quyết là xác minh thêm [nguồn: Titcomb ].

Những bài viết liên quan

Các liên kết tuyệt vời hơn