Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A

Czy aby na pewno jest Pan człowiekiem?człowiekiem?

UŜyteczność i dostępność CAPTCHA

A-Symetria marzec 2009Mariusz Dziechciaronek

Agenda

• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,

marzec 09 Mariusz Dziechciaronek 2

• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.

Test Turinga

W 1950 roku angielski matematyk AlanTuring zaproponował rodzaj gry logicznej,której celem była próba odpowiedzi napytanie, do jakiego momentu moŜemytwierdzić, Ŝe dany układ logiczny jestinteligentny.

W swej podstawowej wersji Test Turinga


Pierwsza strona publikacji Computing Machinery and Intelligence A.Turinga http://www.jstor.org/pss/2251299

W swej podstawowej wersji Test Turingapolega na symulowaniu rozmowy międzytrzema podmiotami, z których jeden jestkomputerem. Jeśli po upływie określonegoczasu ludzccy rozmówcy nie będą w stanieokreślić, czy prowadzili rozmowę zczłowiekiem czy z maszyną, wówczasstanowić to będzie dowód na to, Ŝekomputer jest inteligentny.

Reverse Turing Test

CAPTCHA to skrót od: CompletelyAutomated Public Turing test to tellComputers and Humans Apart.

Test CAPTCHA w przeciwieństwie doTestu Turinga, ma sprawdzić czysystem ma do czynienia zkomputerowym botem, czy z ludzką


Luis von Ahn http://en.wikipedia.org/wiki/File:Wikipedia_luis.jpg

komputerowym botem, czy z ludzkąistotą.

Nazwę tą zaproponowali po razpierwszy Luis von Ahn, Manuel Blum,Nicholas J. Hopper z CarnegieMellon University.

Czym jest CAPTCHA?

CAPTCHA to programgenerujący testy, celemidentyfikcji uŜytkownika ieliminacji dostępu do serwsiubota.

CAPTCHA to program mający

E-bay Polska CAPTCHA


CAPTCHA to program mającyzapewnić bezpieczeństwo,uchronić serwisy przed atakamibotów m.in przed zakładaniemnielegalnych kont pocztowych,rozysyłaniem spamu, dostępemdo forów, itp.

Myspace CAPTCHA

Sympatia.pl CAPTCHA



• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów

Główne problemyKody CAPTCHA zawsze stanowią kompromis między bezpieczeństwem serwsiu,który musi być zabezpieczony przed atakami, a satysfakcją uŜytkownika, ktory musimieć relatywnie prosty dostęp do zasobów serwisu. Główne problemy to:

• niska rozpoznawalność przez uŜytkownika,• skomplikowanie samego kodu – zadania matematyczne, itp.,• problemy z odczytaniem kodu CAPTCHA przez osoby niepełnosprawne:

niewidzące, niedowidzące, głuche, cierpiące na inne problemy,• brak przycisku odświeŜ kod – automatyczne przeładowanie strony i utrata danych z

formularza,• brak informacji dlaczego naleŜy wpisać CAPTCHA,• brak przycisku Audio,• brak alternatywnej poza sieciowej identyfikacji uŜytkownika przez serwis – takie

usługi zapewnia Yahoo.


UŜyteczość CAPTCHA tekstowych


J. Yan, a. Ahmad, Usability of CAPTCHAs or Usability Issues in CAPTCHA Design; http://cups.cs.cmu.edu/soups/2008/proceedings/p44Yan.pdf

Autor: Christian, źródło:http://www.stickycomics.com

Zaburzanie elementów

• przemieszczanieelementów w górę iw dół,

• obroty elementów,• skalowanie

elementów,• gięcie elementów.


Zaburzanie elementów (2)

Microsoft w swoich wcześniejszychwersjach kodów CAPTCHA stosowałtrudne do rozpoznawania łuki, któremiały wprowadzać w błądoprogramowanie OCR, traktującezaburzające elementy (distortionclutter) jako elementy rzeczywistego


clutter) jako elementy rzeczywistegokodu.

J. Yan, a. Ahmad, Usability of CAPTCHAs or Usability Issues in CAPTCHA Design; http://cups.cs.cmu.edu/soups/2008/proceedings/p44Yan.pdf

CAPTCHA CONTENT

CAPTCHA matematyczne

• im większy element, tymwyŜsze zabezpieczenie przedatakiem,

• im większy element, tymwyŜsze prawdopodobieństwokłopotów z odczytaniem tekstu


Grono.net CAPTCHA

Sympatia.pl CAPTCHA

kłopotów z odczytaniem tekstupo jego przekształceniu,

• długie ciągi elemetówpowinny być opisane liczbąkoniecznych do wpisaniaelementów.

CAPTCHA CONTENT

• uŜywanie istniejących słówzwykle nie wpływa nabezpieczeństwo kodu,

• uŜywanie słów nieistniejących,odmiennych od obszaru


odmiennych od obszarukulturowego implikuje problemy zuŜytecznością,

• usuwanie słów obraźliwych z baz– z wyjątekiem reCAPTCHA.

Kolorowe sny CAPTCHA

Peb Forum CAPTCHA

• jeśli nie jesteś ekspertem wzakresie budowy kodu, uŜywajkoloru rozsądnie, nie twórzmozaiek,

• stosuj przynajmniej dwa kolory

marzec 09 15

Atrakcyjneksiazki.pl CAPTCHA

Sympatia.pl CAPTCHA

• stosuj przynajmniej dwa koloryjeden jako tło drugipierwszoplanowy,

• uŜywanie koloru jakozabezpieczenia przedsegmentacją OCR jest zwyklemało skuteczne.

Mariusz Dziechciaronek

Audio CAPTCHA

• moŜliwość odsłuchania CAPTCHA to warunek dostępności,

• zaburzenie tła dźwiękowego musi być ograniczone, przykład audio CAPTCHA Google:

marzec 09 16

audio CAPTCHA Google:https://www.google.com/accounts/DisplayUnlockCaptcha

• obecność znaczka audio/niepełnosprawni,

• rozsądane stosowanie javascrpit i flash.


Google CAPTCHA

reCAPTCHA


marzec 09 17



Jak moŜna złamać CAPTCHA• wykorzystanie oprogramowania OCR (Optical Character Recognition),• analiza statystyczna – słów i obrazów z bazy danych CAPTCHA,• sieci neuronowe, znacznie lepsze od klasycznych podejść algorytmicznych w rozpoznawaniu

kształtów,• farma Turinga, czyli zatrudnienie w jakimś kraju Trzeciego Świata setek ludzi, którzy będą

rozwiązywali przedstawiane im CAPTCHA,• farma porno Turinga – czyli spamer zakłada stronę „tylko dla dorosłych”, w której warunkiem

obejrzenia pornograficznego obrazka jest zdekodowanie CAPTCHA pochodzącej z innej strony.

marzec 09 18

Przykład farmy porno Turinga: http://www.heise-online.pl/security/Striptizowy-trojan--/news/item/1781Działanie farmy porno Turinga;

http://pandalabs.pandasecurity.com/archive/A-new-way-of-social-engineering.aspx:


Jak moŜna złamać CAPTCHA (2)

Przykłady odpornych jeszcze do niedawna na ataki (Google) kodów CAPTCHA.

marzec 09 19Mariusz Dziechciaronek

CAPTCHA KAPUT

marzec 09 20

KaŜde CAPTCHA da się w końcuzłamać, bez konieczności ponoszenianakładów, niewspółmiernych dopotencjalnych zysków ze złamaniakodu.

McAfee:http://vil.nai.com/images/FP_BLOG_081008_1.jpg

J. Yen, A. Ahmad, A low cost attack on a Microsoft CAPTCHA: http://homepages.cs.ncl.ac.uk/jeff.yan/msn_draft.pdf



marzec 09 21



Jak powinno wyglądać dobre CAPTCHA• dobre CAPTCHA to takie, które zapewnia bezpieczeństwo serwisu i nie jestjednocześnie utrapieniem dla uŜytkowników,

• powinno zapewniać dostęp do serwisu uŜytkownikom niepełnosprawnym,

• powinno zawierać przycisk odświeŜ,

marzec 09 22

• powinno informować o ilości koniecznych do wpisania elementów,

• powinno odzwierciedlać specyfikę kulturową,

• powinno zawierać informacje dlaczego naleŜy je wpisać,

• powinno dawać moŜliwość dodatkowej np. telefonicznej weryfikacji uŜytkownika,

• powinno podlegać czasowym ewaluacjom bezpieczeństwa.



marzec 09 23



Re....CAPTCHA....• pozwala digitalizować stareksiąŜki i dokumenty,

• działa na zasadzie czytaniaprzez OCR starych druków iprzesyłania nieczytelnych słówdo uŜytkowników w postaciCAPTCHA,

marzec 09 24

CAPTCHA,

• uŜytkownicy wpisują dwasłowa: jedno zabezpieczająceoraz drugie stanowiącezagadkę dla OCR, pomagająprzenieść do sieci milionyksiąŜek.


Niecodzienne rozwiązania

marzec 09 25

Geometryczne CAPTCHA – dla wyjątkowo wytrwałych downloader’ów ☺

Wyjątkowe matematyczne CAPTCHA – segregacja juŜ na wejściu, pozwala na precyzjny dobór uŜytkowników ☺


Niecodzienne rozwiązania (2)

marzec 09 26

Drag & Drop CAPTCHA - ciekawe rozwiązanie szczególnie z pkt. widzenia bezpieczeństwa.

Graficzne CAPTCHA – jego siła zaleŜy od ilości kombinacji przedstawianych uŜytkownikowi.


Niecodzienne rozwiązania (3)

Kolejne CAPTCHA graficzne, stanowiące raczej zabawny element strony niŜ realne zabezpieczenie przed botami.

marzec 09 27Mariusz Dziechciaronek

Dziękujęhttp://www.symetria.plhttp://www.symetria.pl


Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A

Technology

Transcript of Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A