CAPTCHA 的是是非非

最近,一种最新的 3D 风格的 CAPTCHA 机制的出现让我又一次对 CAPTCHA 开始了一番思考,APTCHA 作为一种防止对网站进行滥用的机制,似乎可以防止恶意程序或机器人捣乱,然而这种机制是否真的有效,是否真的可以阻挡网络滥用?本文讲述了 CAPTCHA 的是是非非,以及它必将衰落的原因。

这种最新的 CAPTCHA 机制应用在 YUNiTi 网站的用户注册页面,它被认为是当前计算机技术无法破解的 CAPTCHA 机制。传统的 CAPTCHA 机制通过让用户辨认一些变形的,被干扰的字母来区分真实用户和机器人,而这个最新的 CAPTCHA 则让用户通过辨认图形猜谜,不过,这个 CAPTCHA 所保护的服务似乎并不是很受关注,否则,人们会很快找到破解的方法,就像他们攻破很多变形字母 CAPTCHA 那样。

然而问题并不在于这些 CAPTCHA 机制如何,或者有一天人们终究会设计出终极方案,而问题的关键在于,CAPTCHA 这种技术存在很多问题,这些问题将导致它最终的失败:

CAPTCHA 让人费神

诚然,人比机器聪明,然而这并不意味着人可以很容易展示这种聪明。在国际机器智能图灵比赛中,人有时候还分辨不出机器人。网站的访问者们并不愿意在这方面费神,很多人抱怨有些 CAPTHCHA 太难,我们希望 CAPTCHA 尽可能简单,而不是让我们绞尽脑汁。

CAPTCHA 存在严重的可访问性问题

CAPTCHA 对某些方面的残疾人来说是一场噩梦(并屡屡因此遭人诟病)。盲人无法看到基于图像的 CAPTCHA,而视力不济的人也不容易看清那些故意扭曲的文字。有些网站提供的语音选项要么对人太难,要么对机器人又太容易,当然,耳聋者也无法使用这个选项。即使视力和听力都没问题,那些阅读困难者也很难辨认那些基于扭曲文字的 CAPTCHA,因此,将你的 CAPTCHA 机制做得尽可能简单,并提供多种多种选项是网站可访问性的一个重要因素。

CAPTCHA 经济学

试想我们果真设计出了某种非常难以破解的 CAPTCHA 机制,用来限制对某些有价值资源的恶意访问,如基于 Web  的电子邮件或社会网络账户。试想你是一个垃圾信息发送者,想创建10万个这样的账户,你可以从第三世界找一些人来帮你通过人工的方式实现,有人计算,假如人工可以在10秒内解决一个 CAPTCHA,10万个账户只需要大约278个小时,也就一个人月多一点的工作量。如果你把这个作为一种生意,还可以进一步降低成本。我并非恶意软件经济学家,但我相信你通过这种方式获得的回报会比付出多得多。这还可能形成一个外包市场,帮人解 CAPTCHA (Craigslist 就是一个很好的例子,有不少人靠帮人解 Craigslist 的 CAPTCHA 为生 - 译者)。甚至一些黑客可以已经在使用更聪明的办法,他们将需要解的 CAPTCHA 部署在自己的色情或盗版资源网站上,让需要这些资源的人自愿去解。

雇人去解 CAPTCHA 和 CAPTCHA 机制的初衷是契合的,普通用户不会为了一点微不足道的价值而在 CAPTCHA 上花费大量时间,因此解 CAPTCHA 所花费的精力必须小于网站所提供资源的价值,而这些恶资源的价值对黑客来说可能更高,因此雇人破解的代价事实上更低。

如此说来,对那些提供免费服务的网站来说,CAPTCHA 并不应该大量使用,我们是否有其它选项,也许有,也许没有,不过有一些技术我们似乎应该尝试:

  • 对免费账户使用配额或一些限制措施。比如那些使用 Gmail 发送垃圾邮件的人会受到配额限制,Facebook 也是。
  • 对机器程序进行探测。
  • 垃圾信息过滤,不仅对进入的垃圾信息过滤,对发出的垃圾信息也要过滤。
  • 如果发送的信息接收人不需要,则让发送者支付一点费用,这样,那些大规模发送垃圾信息的人会因为不划算而停止,而对正常用户,因为费用微不足道也不会造成负担。

 

本文国际来源:http://technobabblepro.blogspot.com/2009/04/captcha-gotcha.html
中文翻译来源:COMSHARP CMS 官方网站





评论
DeadFire|2009/4/11 17:23:05 
CAPTCHA的字幕识别,我瞪俩眼睛研究很半天最后还是填错的事情实在是太多了
 
发表评论


用户


评论(不超过1000字)


 1 + 5 = ? 请将左边的算术题的结果填写到左边的输入框  


  发送给朋友| 打印友好
7 x 12 小时服务热线
0532 - 83669660
微信: comsharp
QQ: 13885509
QQ: 592748664
Skype: comsharp