Em novembro de 2007 chamei essas três implementações de CAPTCHA de “inquebráveis”:
| Google (inquebrável) |
|
| Hotmail (inquebrável) |
|
| Yahoo (inquebrável) |
|
O ano de 2008 está se preparando para ser realmente um ano muito ruim para os CAPTCHAs:
O que significa que agora estou com 0 em 3. Entenda isso Não sou fã do CAPTCHA. Eu os vejo como um mal necessário e importanteuma das poucas coisas preciosas que separam os usuários comuns da Internet de um dilúvio torrencial de e-mails, comentários e spam de fóruns.
Por isso, ler que as três melhores implementações de CAPTCHA foram derrotadas é algo que parte meu coração. Até mesmo a que considero a mais forte, a implementação do Google, foi duramente derrotada:
Em média, apenas uma em cada cinco solicitações de quebra de CAPTCHA é bem-sucedida, incluindo os dois algoritmos usados pelo bot, o que representa uma taxa de sucesso de aproximadamente 20%.
Uma taxa de sucesso de 20% não parece grande coisa, mas esses spammers estão aproveitando redes de PCs comprometidos para enviar milhares e milhares de solicitações de inscrição simultâneas para o GMail, Hotmail e Yahoo Mail de computadores em todo o mundo. Até mesmo um cinco por cento de sucesso em relação a um CAPTCHA de um serviço de e-mail específico seria motivo de grande preocupação; com uma taxa de sucesso de 20%, o senhor pode muito bem dar uma garfada nessa coisa – ela está pronta.
Enquanto isso, o CAPTCHA ainda serve a um propósito útil: barreiras de velocidade que impedem que bots malignos e as pessoas nefastas que os administram completamente invadindo a Internet, como observa Gunter Ollman:
Os CAPTCHAs foram uma boa ideia, mas, francamente, no atual ambiente de ataques com fins lucrativos, eles se tornaram irrelevantes como tecnologia de proteção. Sim, os CAPTCHAs podem ser reforçados, mas já são avançados demais para uma grande porcentagem dos usuários da Internet. Pessoalmente, não acho que valha a pena fortalecer os algoritmos usados para criar CAPTCHAs mais complexos – em vez disso, basta implantá-los como um pequeno “speed-bump” para deter os script-kiddies e suas ferramentas de ataque automatizadas e pouco sofisticadas. Os CAPTCHAs não são a ferramenta certa para deter os atacantes de mentalidade comercial de hoje.
Simplesmente há muito dinheiro a ser ganho com spam de e-mail para que os algoritmos CAPTCHA comerciais, independentemente de sua qualidade, sobrevivam para sempre. Qual é a idade do CAPTCHA do Google atualmente? Dois ou três anos? A curto prazo, talvez a proliferação e a evolução de muitas técnicas diferentes de CAPTCHA sejam a prevenção mais eficaz. O senhor deve emular as técnicas do CAPTCHA comercial de nível industrial mais eficaz e legível por humanos, mas evite copiá-las completamente. Caso contrário, quando eles forem inevitavelmente quebrados, o senhor também será quebrado. As ferramentas para derrotar CAPTCHA são adaptadas a entradas muito específicas; se houver pouco ou nenhum incentivo monetário, é provável que ninguém se dê ao trabalho de personalizar uma para a sua. A proteção ridiculamente simples do meu formulário de comentários “laranja” é uma prova cabal disso.
Além da diversificação, a questão mais profunda permanece: como diferenciamos os bots automatizados das pessoas, sem alienar nossos usuários no processo? Como podemos criar um CAPTCHA de última geração que seja menos vulnerável a ataques?
Aqui estão algumas ideias para o senhor:
Em algum momento, infelizmente, o CAPTCHA deixa de ser um simples teste de leitura humana e passa a ser um teste de inteligência ou de acuidade. Dependendo de quão invasivo o senhor quiser ser, acabará sendo forçado a mudar para a autenticação de dois fatorescomo enviar uma mensagem de texto para o celular de alguém com uma chave temporária.
Não tenho todas as respostas, mas uma coisa é certa: odeio spammers. Como colegas usuários da Internet que odeiam spam, todos nós temos interesse em ver as técnicas de CAPTCHA evoluírem para derrotar os spammers.