最近，一种最新的 3D 风格的 CAPTCHA 机制的出现让我又一次对 CAPTCHA 开始了一番思考，APTCHA 作为一种防止对网站进行滥用的机制，似乎可以防止恶意程序或机器人捣乱，然而这种机制是否真的有效，是否真的可以阻挡网络滥用？本文讲述了 CAPTCHA 的是是非非，以及它必将衰落的原因。

这种最新的 CAPTCHA 机制应用在 YUNiTi 网站的用户注册页面，它被认为是当前计算机技术无法破解的 CAPTCHA 机制。传统的 CAPTCHA 机制通过让用户辨认一些变形的，被干扰的字母来区分真实用户和机器人，而这个最新的 CAPTCHA 则让用户通过辨认图形猜谜，不过，这个 CAPTCHA 所保护的服务似乎并不是很受关注，否则，人们会很快找到破解的方法，就像他们攻破很多变形字母 CAPTCHA 那样。

然而问题并不在于这些 CAPTCHA 机制如何，或者有一天人们终究会设计出终极方案，而问题的关键在于，CAPTCHA 这种技术存在很多问题，这些问题将导致它最终的失败：

CAPTCHA 让人费神

诚然，人比机器聪明，然而这并不意味着人可以很容易展示这种聪明。在国际机器智能图灵比赛中，人有时候还分辨不出机器人。网站的访问者们并不愿意在这方面费神，很多人抱怨有些 CAPTHCHA 太难，我们希望 CAPTCHA 尽可能简单，而不是让我们绞尽脑汁。

CAPTCHA 存在严重的可访问性问题

CAPTCHA 对某些方面的残疾人来说是一场噩梦（并屡屡因此遭人诟病）。盲人无法看到基于图像的 CAPTCHA，而视力不济的人也不容易看清那些故意扭曲的文字。有些网站提供的语音选项要么对人太难，要么对机器人又太容易，当然，耳聋者也无法使用这个选项。即使视力和听力都没问题，那些阅读困难者也很难辨认那些基于扭曲文字的 CAPTCHA，因此，将你的 CAPTCHA 机制做得尽可能简单，并提供多种多种选项是网站可访问性的一个重要因素。

CAPTCHA 经济学

试想我们果真设计出了某种非常难以破解的 CAPTCHA 机制，用来限制对某些有价值资源的恶意访问，如基于 Web  的电子邮件或社会网络账户。试想你是一个垃圾信息发送者，想创建10万个这样的账户，你可以从第三世界找一些人来帮你通过人工的方式实现，有人计算，假如人工可以在10秒内解决一个 CAPTCHA，10万个账户只需要大约278个小时，也就一个人月多一点的工作量。如果你把这个作为一种生意，还可以进一步降低成本。我并非恶意软件经济学家，但我相信你通过这种方式获得的回报会比付出多得多。这还可能形成一个外包市场，帮人解 CAPTCHA (Craigslist 就是一个很好的例子，有不少人靠帮人解 Craigslist 的 CAPTCHA 为生 - 译者)。甚至一些黑客可以已经在使用更聪明的办法，他们将需要解的 CAPTCHA 部署在自己的色情或盗版资源网站上，让需要这些资源的人自愿去解。

雇人去解 CAPTCHA 和 CAPTCHA 机制的初衷是契合的，普通用户不会为了一点微不足道的价值而在 CAPTCHA 上花费大量时间，因此解 CAPTCHA 所花费的精力必须小于网站所提供资源的价值，而这些恶资源的价值对黑客来说可能更高，因此雇人破解的代价事实上更低。

如此说来，对那些提供免费服务的网站来说，CAPTCHA 并不应该大量使用，我们是否有其它选项，也许有，也许没有，不过有一些技术我们似乎应该尝试：

• 对免费账户使用配额或一些限制措施。比如那些使用 Gmail 发送垃圾邮件的人会受到配额限制，Facebook 也是。
• 对机器程序进行探测。
• 垃圾信息过滤，不仅对进入的垃圾信息过滤，对发出的垃圾信息也要过滤。
• 如果发送的信息接收人不需要，则让发送者支付一点费用，这样，那些大规模发送垃圾信息的人会因为不划算而停止，而对正常用户，因为费用微不足道也不会造成负担。

本文国际来源：http://technobabblepro.blogspot.com/2009/04/captcha-gotcha.html
中文翻译来源：COMSHARP CMS 官方网站