211service.com
Vai GOTCHA aizstās CAPTCHA?
Lielākā daļa cilvēku, kas izmanto internetu, būs pazīstami ar pilnībā automatizēto publisko Tjūringa testu, lai atšķirtu datorus un cilvēkus, jeb CAPTCHA. Tie ir sagrozīti tekstu fragmenti, kurus jums regulāri lūdz identificēt, lai pierādītu, ka esat cilvēks. To mērķis ir novērst robotu piekļuvi vietnēm, piemēram, neļaut tiem atstāt surogātpastu.
CAPTCHA ir bijuši ļoti veiksmīgi, kopš 2000. gadā tos ieviesa Luiss fon Ahn un viņa draugi Kārnegija Melona universitātē Pitsburgā. Taču datordrošības kaķa un peles spēlē vienmēr bija neizbēgami, ka ļaundari tērēja ievērojamus resursus, mēģinot uzlauzt sistēmu.
Un tiešām tieši tā arī ir noticis. Tā kā konkrētajā cietajā diskā var būt saglabāts tikai ierobežots skaits izkropļotu tekstu, ir iespējams nodarbināt cilvēkus, lai tos uzlauztu sviedru darbnīcas apstākļos. Vēl viena iespēja ir pārpublicēt CAPTCHA citā tīmekļa vietnē nenojaušam apmeklētājiem, kuri tos aizpilda, domājot, ka piekļūst likumīgai vietnei. Tā vietā risinājumi tiek izmantoti reāllaikā, lai neleģitīmi iekļūtu citā vietnē.
Tāpēc datorzinātnieki ir cītīgi domājuši par to, kā uzlabot šo mehānismu, lai vēlreiz izjauktu hakerus. Šodien Džeremija Bloki un draugi no Kārnegija Melona universitātes saka, ka ir izdomājuši veidu, kā to izdarīt, pamatojoties uz tintes traipu rakstiem.
Jaunā pieeja ir vienkārša un balstās uz to, ka lietotājs atbild uz vairākiem jautājumiem, kad viņš vai viņa pirmo reizi reģistrējas, lai piekļūtu vietnei. Tas sākas ar vienkāršu tintes traipu attēlu kopas ģenerēšanu, nejauši izvietojot dažādu krāsu tintes plankumus nelielā ekrāna laukumā.
Reģistrācijas procesa ietvaros lietotājam tiek lūgts uzrakstīt īsu frāzi, kas raksturo katru no šiem attēliem.
Kad lietotāji atgriežas, lai piekļūtu vietnei ar paroli, viņiem tiek parādīti arī tintes traipu modeļi un iestatītās frāzes, kas tos raksturo. Viņu uzdevums ir katram modelim piešķirt pareizo frāzi.
Viņi savu jauno testu sauc par GOTCHA (panOptic Tjūringa testu ģenerēšana, lai atšķirtu datorus un cilvēkus).
Blocki un draugi saka, ka tam vajadzētu izjaukt automatizētu uzbrukumu. Mēs apgalvojam, ka pretiniekam, kurš vēlas veikt izmaksu ziņā efektīvu uzbrukumu ārpus telpām, ir jāsaņem pastāvīga atgriezeniskā saite no cilvēka, viņi saka.
Tas ir tāpēc, ka tikai cilvēks var konsekventi atpazīt modeļus un izveidot saiti uz displejā redzamajām frāzēm - vismaz tā ir viņu hipotēze.
Tā ir interesanta ideja. Cilvēka spēja atpazīt modeļus ievērojami pārspēj visu, ko var darīt datori, un to saskaņot ar lietotāja nejaušo modeļu interpretāciju ir gudri. Ir daudz pierādījumu, ka modeļa atpazīšana ir vieglāka nekā paroļu iegaumēšana.
Taču tas rada jautājumu par to, cik labi cilvēki atcerēsies savu sākotnējo tintes traipa interpretāciju. Tas var būt ļoti atkarīgs no viņu prāta stāvokļa tajā laikā, ko savukārt varētu ietekmēt visa veida vietējie un pagaidu mainīgie.
Lai to pārbaudītu, Blocki un kolēģi pārbaudīja ideju, izmantojot Amazon Mechanical Turk. Viņi uzaicināja 70 Turkers apskatīt vairākus tintes traipu rakstus un uzrakstīt identificējošas frāzes, samaksājot viņiem 1 USD, lai izpildītu uzdevumu. Pēc tam 10 dienas vēlāk viņi lūdza tiem pašiem Turkers atkārtoti saistīt viņu frāzes ar tintes traipu rakstiem, atkal par samaksu 1 USD apmērā.
Rezultāti nav gluži iepriecinoši. Viņi saka, ka septiņpadsmit mūsu dalībnieku pareizi atbilda visām desmit etiķetēm, un 69% dalībnieku pareizi atbilda vismaz 5 no desmit etiķetēm.
Blocki un co saka, ka dati liecina, ka ievērojama daļa iedzīvotāju varētu izmantot GOTCHA. Tas nozīmē arī to, ka mūsu GOTCHA lietošanai vajadzētu būt brīvprātīgai, lai lietotāji, kuriem ir grūtības, netiktu bloķēti no saviem kontiem, viņi bailīgi piebilst.
Iespējams, ka testi ar Turkers nebija reprezentatīvi tam, kā parastie cilvēki izmantotu GOTCHA. Piemēram, turkeri, iespējams, steidzās cauri pirmajai testu fāzei, lai ātrāk uzzinātu savu naudu.
Un var būt arī iespējams uzlabot atpazīšanas līmeni, iespējams, ļaujot lietotājiem noraidīt attēlus, kas viņiem šķiet mulsinoši.
Šķiet, ka tas ir skaidrs un nepieciešams uzlabojums, lai GOTCHA kļūtu par kopīgu interneta drošības iezīmi.
Atsauce: arxiv.org/abs/1310.1137 : GOTCHA paroles hakeri!