AI が CAPTCHA を破ります。人間であることをどうやって証明するのでしょうか?

AI が CAPTCHA を破ります。人間であることをどうやって証明するのでしょうか?

インターネットを閲覧する以上のことをしている場合(ほとんどの人がそうします)、さまざまな種類の CAPTCHA に遭遇したことがある可能性があります。コンピューターを使用しているのが人間であることを証明するために、非常に不明瞭な文字列を入力する必要があり、音声、数学の問題、画像などの形式の検証コードもあります。チューリングテストに基づく CAPTCHA は 10 年前に登場し、今日まで使用され、広く採用されてきました。

Stans の調査によると、人間が検証コードを認識するのは通常難しく、5 人に 1 人のユーザーは検証コードに遭遇すると Web ページを閉じることを選択するそうです。

当社は、認証コードを入力することでインターネット上のセキュリティを確保できると常に信じてきました。しかし、今日では、人間がそれらの曖昧な検証コードを理解することはますます困難になっていますが、人工知能プログラムはそれらを簡単に処理できます。

ソフトウェア開発者のアンドリュー・マンセル氏は最近、検証コードに深く不満を抱いていると表明するブログ記事を公開した。Google 検証コード システムに誤った検証コードを何度か入力すると、正しい入力でもログインできなくなり、多くのユーザーが検証コードの入力が非常に面倒だと述べた。インターネットでは毎日 2 億 8,000 万件の CAPTCHA が入力されているため、このような経験は珍しいことではありません。

理論上、検証コードはシステムのゲートキーパーの役割を果たします。検証コードは次の 2 つの条件を満たす必要があるためです。

ユーザーは識別シンボルを正しく入力するか、一連の操作を実行して検証を完了することができます。

プログラムはシンボルを認識できず、その一連の操作を実行できません

ネットワークのセキュリティを確保するために、検証コードは、ユーザー登録、コンテキスト メニュー、またはログイン失敗後の再ログインによく使用されます。しかし、一般的にユーザーからは、ウェブサイト上の確認コードは扱いにくいという不満の声が上がっており、入力に何度も失敗すると、ウェブサイトがユーザー ID を凍結し、ユーザーのログインを制限する場合があります。

しかし、人間は正しい検証コードを入力して検証に合格できないことがありますが、システムに脆弱性がない限り、プログラムが検証に合格することは絶対に不可能です。セキュリティ上の目的を達成するため、検証コードは光学文字認識 (OCR) プログラムによって認識されてはならず、ソフトウェアによって検証操作が実行されることはありません。

問題の核心:

まず、スクリプトを識別して CAPTCHA を解読する能力を向上させるための戦略が数多く言及されてきました。たとえば、光学式文字認識 (OCR) は、画像のノイズ除去によって強化され、検証コード画像上の余分な線が削除されます。もう一つのアイデアは、回転、修正、曲げによって画像の特徴的な要素を抽出することです。現代の写真編集ソフトウェアには基本的にこれらの機能が備わっています。キャプチャ画像用の関数ライブラリも登場しており、Amazon Mechanical Turk もその 1 つです。 Death by CAPTCHA などの認証コード認識ソフトウェアも多数あります。凄腕ハッカーたちは音声認証コードの壁も乗り越え、音の波形を分析するだけで音声で放送された番号を知ることができる。

公開されているこれらの技術は、プロのハッカーだけが生み出したものではなく、単に誰かの「趣味」から生まれたものもあります。彼らには必ずしも悪意があるわけではありません。多くのクラッカーはネットワーク セキュリティの問題をより懸念しており、脆弱性を公開することで企業がそれを修正するのに役立ちます。

第二に、最新の CAPTCHA クラッキング手法が登場し、ユーザーはチューリング テストに合格するための操作を実行する必要があります。現在テスト段階にある MotionCAPTCHA プロジェクトなど、非常に簡単な方法もあります。これは、マウス ポインターと電源を追跡およびシミュレートできるタッチ スクリーン デバイスに基づくサービスです。

areyouahuman.com は、「PlayThru」と呼ばれる次世代の検証コードを開発したと主張しています。PlayThru は、検証を完了するためにユーザーが画像認識、推論、マウス操作を実行する必要があるミニゲームに似ています。同社によれば、PlayThruは5層の保護を備えており、これは光学文字認識(OCR)を回避する画期的な進歩となる。従来の検証コードを使用するユーザーは検証操作を完了するのに平均 16 秒かかっていたのに対し、新世代の PlayThru ではユーザーの平均操作時間が 10 ~ 12 秒に短縮されたと報告されています。より安全、より高速、そしてより興味深い、これは検証コードの歴史的な改善です。 PlayThru は Hack A Day で熱く議論され、ハッカーたちはそれを解読しようとし続けました。

ユーザーにアクションの実行を任せるアプローチには致命的な欠陥があります。ソフトウェアがコンピューターの入力デバイスを制御するため、この脆弱性がリモート監視によって悪用される可能性があります。ハッカーは必要な操作手順を分解し、各手順に必要な情報を収集するプログラムを作成します。

ハッカーは人間の思考を模倣できるようにプログラムを改良し続けています。プログラムが認識されないようにするために、すべての検証コードシステム開発者は、検証コードを曲線として表示するように設定します。理論的には、プログラムが湾曲した検証コードを認識できない場合、常にこの形状のままになりますが、ユーザーにとっては少し煩わしいものです。ただし、ユーザー認証の失敗とプログラムの成功の数が増え続けると、認証コードは意味を失ってしまいます。つまり、「人間とコンピューターを自動的に区別するチューリングテスト」は機能しなくなるのです。これはもうすぐ起こります!

ある意味、ハッカーによる認証コードの解読への絶え間ない努力も人工知能の発展を牽引してきました。認証コードが解読されるたびに、人工知能は一歩前進したことを意味します。

近い将来、コンピューターを操作しているのが人間なのかプログラムなのかを証明することは難しくなるでしょう。標準のログイン インターフェースは数年後も有効だと思いますか? LinkedIn や Blizzard などの大企業からハッカーがユーザー情報を盗んだという報告があり、大企業であってもユーザー名/パスワード システムが絶対確実であるとは保証できません。検証には目のスキャンや血液サンプルが必要になるかもしれないが、これらさえもプログラムによって悪用される可能性がある。実際、人工知能の発達により、コンピューターは人間のような思考を持つことが可能になり、ブレードランナーの次の名シーンのように、人間とプログラムを区別することがますます難しくなっています。

心配しないでください。認証コードは時間の無駄です。 Google は確認コードに別の目的を持っています。古い新聞や書籍をデジタル化し、確認コードを使用して多数のユーザーの協力を得て入力プロセスを完了させています。表示される確認コードは単なるスキャンであり、確認コードを入力すると、Google が翻訳プロセスを完了しやすくなります。ハイテク専門家の Buzz は、CAPTCHA の仕組みとその動作方法に関する一連のブログを公開しており、CAPTCHA システムをより簡単に通過するのに役立ちます。

<<:  ウェブサイトのユーザーロイヤルティの向上は「エンティティ」ケアから始まります

>>:  百度は10日にセキュリティ同盟を設立した。個々のウェブマスターはどうするのだろうか?

推薦する

Vultr - 2018 年 8 月の最新 $20/$50 割引コード

Vultr、2019年8月の最新割引コード2つ。まだVultrを使ったことがないなら、ぜひ無料で試し...

ウェブサイト分析ハック集: JavaScript ドキュメント オブジェクト モデル

この記事は、Web 分析の第一人者である Eric T. Peterson 氏の著書「Web Sit...

タオバオの公式デザイン変更がリーク、今月末までに完了する可能性

10月25日、ある商人が易邦電力網に明らかにしたところによると、タオバオは昨日から改訂された新ホーム...

知福電子は決済規則違反で2640万元の罰金を科せられた

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています最近、中国...

ブランドマーケティング市場の動向!

もし王峰がこう質問したとしたら、「教えてください、あなたの夢は何ですか?」多くの起業家はこう答えるで...

SEO に関連するコンテンツの品質

公には、SEO(検索エンジン最適化)が望ましい結果を達成できるかどうかは、ウェブサイトのコンテンツの...

minivps 1G メモリ/openvz/6 USD/月 フランス/英国

以前、minivps Host Catを紹介しました。正式に登録された会社です。今回もプロモーション...

パスワードゲート事件のビジネスチャンスと利益連鎖を追跡:中小規模のウェブサイトはユーザーを引き付ける機会を得た

「パスワードゲート事件」は拡大し続けており、ますます多くのウェブサイトが「陥落」リストに加わっていま...

Budgetvm オンライン 199 日間 シンプル VPS レビュー

今日現在、128M のメモリと年間 14.99 ドルの支払いで openvz をベースにした bud...

ウェブサイト最適化に関する FAQ 1: 新しいサイトが含まれていないのはなぜですか?

多くのウェブマスターがこの問題に非常に関心を持っていると思います。著者は大小さまざまなウェブサイトを...

ハイブリッド クラウド ワークロードに最適な場所を見つける方法: セキュリティに関する 5 つの質問

アプリケーション ワークロードの実行を開始すると、すべてがシンプルに見えます。テスト データを実行す...

2018年上海Chinajoyゲーム&アニメーションカンファレンス前の完全ガイド!

「新技術、新エンターテインメント、新価値」をテーマにした第16回ChinaJoy 2018が、8月3...

ローカルポータルトラフィックの分析(II):アプリケーショントラフィックとアクティビティマーケティングトラフィック

2. アプリケーショントラフィックの取得方法とメリット、デメリット、誤解アドバンテージ: A. アプ...

地元のタレントのウェブサイトを宣伝する方法について簡単に説明します

これまで、多くのタレントウェブサイトは、新聞、テレビなどの伝統的なプロモーション方法に依存していまし...

氷点から沸点へ:豆板と知乎の「コールドスタート」成功戦略

Tencent Weibo は、7 億人の QQ ユーザーと幅広い製品ラインのおかげで、開始から 2...