CAPTCHA是防范网页机器人(Bot)破解网页密码而设计的安全机制,而且愈来愈复杂,但是一项研究显示,网页机器人解决CAPTCHA难题的能力,从速度或准确度来看都已超过人类。
近几年来,因应网页机器人突破或绕过CAPTCHA的能力大幅提升,相应之下,CAPTCHA也变更复类也更多元,因而不论人类或机器(机器人)解决CAPTCHA的难度也渐渐增加,形成军备竞赛。 为了解用户解决CAPTCHA难题的速度,美国加州大学艾尔文分校(University of California,Irvine)一组研究人员进行一项研究,上个月并在国际研讨会ICCCN 2023公布其研究发现。
本研究找来1,400位人类受试者解答Alexa流量排行前200大网站的14,000道CAPTCHA题目,并评估解答的速度和准确性。 CAPTCHA类型则涵括reCAPTCHA、游戏式CAPTCHA、从矩阵式图片找出主题(如汽车或交通信号)的hCAPTCHA、猜不同角度呈现的图片(slider-based CAPTCHA)以及扭曲文字式的CAPTCHA等。
根据研究,在用户喜好中,受试者整体偏好度最高者是点击式reCAPTCHA,18.9%将之列为1或2。 而最复杂的hCAPTCHA平均偏好度最低,31%的人列为4或5。
而以测试结果来看,点击式(打勾说我不是机器人)的reCAPTCHA中,人类受试者平均花3.1到4.9秒,准确率有71到85%。 看来虽然不错,不过机器人平均只需花1.4秒,且准确率为100%。 在考虑大小写的识别扭曲文字中,人类表现(9-15.3秒/50-84%)明显比机器人差(小于1秒/99.8%)。 另外,难度最高,于图片矩阵中找出特定主题图片的hCAPTCHA中,机器人也击败人类:人类受试者结果为15-26秒、准确率81%,网页机器人则为14.9秒,准确率98%。
研究显示,在几乎所有CAPTCHA中,机器人所花时间都比人类短,唯独在图片式reCAPTCHA中,人类和机器人时间花费(15-25秒 vs 17.5秒)及准确率差不多(81% vs 85%),但研究人员也指出,若是在自然情境(即非测试环境下),人类解题的时间会花更长。
最后,主任研究员Gene Tsudik提出,保护网页不受攻击而设计的CAPTCHA技术,目前已面临人类用户不太喜欢,又耗去相当多时间,但还是难以阻挡网页机器人破解的挑战。 主任研究员指出,原因在于这些大公司是骆驼心态,不想承认CAPTCHA是无效,迫使用户只好持续很差的使用经验中消费或使用其服务。
