Zabić CAPTCHA!

Gdzie się człowiek przeglądarką nie ruszy, napotyka na obrazek ze znakami do przepisania. Zakłada konto – obrazek; wysyła pytanie do administratora – obrazek; wpisuje coś do wyszukiwarki i znowu obrazek! Kultura obrazkowa…

Skąd ta moda na CAPTCHA (to są właśnie te obrazkowe kody) i umieszczanie ich na każdym kroku? Odpowiedź jest prosta – dla zabezpieczenia serwisów i usług internetowych przed robotami sieciowymi. Programiści z różnych przyczyn piszą aplikacje, które zakładają konta pocztowe w darmowych serwisach i konta użytkowników, najczęściej po to, by spamować. Ini programiści bronią serwisów przed tym procederem stosując różnorakie zabezpieczenia, w tym w pierwszej kolejności właśnie CAPTCHA. W ten sposób przerzucają obowiązek zidentyfikowania się jako homo sapiens na użytkownika. A przecież roboty coraz lepiej podszywają się pod nas.

CAPTCHA jest barierą niemal nie do przebycia dla osób niewidomych i słabowidzących. Piszę "niemal", bo istnieją wtyczki, które pozwalają w wielu wypadkach automatycznie rozpoznać kod z obrazka. Automatycznie, a więc inne automaty też mogą z tych algorytmów skorzystać. Zabezpieczenie nie jest zatem skuteczne.

Następuje eskalacja – kody robią się coraz bardziej skomplikowane do odczytania, a algorytmy podążają za tą komplikacją. Komplikacja wyglądu kodu posunięta bywa do tego stopnia, że poważny kłopot  z odczytaniem mają też ludzie. Wkurzony klient to stracony klient, o czym zdają się zapominać projektanci stron internetowych. W pewnym momencie może dojść do sytuacji, gdy z odczytaniem obrazka poradzi sobie tylko automat.

Bardzo podobny problem jest z alternatywną wersją CAPTCHA – kodem dźwiękowym. Jeżeli ktoś ciekaw, to niechaj sprawdzi działanie tego rozwiązania w usługach Google. Pomimo niezłego słuchu o wysokiej selektywności, nie potrafiłem wyłuskać z szumu, stukania i brzęczenia głosu dyktującego cyfry. Pomysł jest zatem zupełnie nie trafiony.

Co zamiast kodów obrazkowych i dźwiękowych? Wymyślono kody logiczne, które zadają proste pytanie użytkownikowi w rodzaju "ile jest 2 razy 2?" lub "Co jest stolicą Polski?" i te kody są dostępne sensorycznie, czy też raczej nie generują barier dla wzroku i słuchu. Czy jednak będą skuteczne? Na razie są mało rozpowszechnione, więc nie ma narzędzi do ich łamania. Jeżeli jednak zaczną być stosowane na większą skalę, to zapewne pojawią się programy łamiące również to zabezpieczenie, na przykład z użyciem sztucznej inteligencji lub analizy słownikowej.

A zatem nie ma obrony przed tymi automatami? Moim zdaniem – nie, a obecnie stosowane metody są albo nieskuteczne, albo niedostępne. Warto zatem rozważyć, czy aby zawsze trzeba je stosować? Może te zabezpieczenia są po prostu niepotrzebne i uruchamiane z przyzwyczajenia. Na tym blogu mam włączoną ochronę antyspamową i jeszcze żaden tego typu komunikat się nie przedostał. Robot zablokował do dzisiejszego dnia prawie 50 komentarzy, czyli 40% wszystkich. Zapewne w innych miejscach da się znaleźć inne rozwiązania, które jednocześnie zabezpieczą serwis i nie będą dyskryminować użytkowników. Apeluję do programistów: zabijcie CAPTCHA!