CAPTCHA

UN CAPTCHA ( ˈkæptʃə ) est un type d'essai de la contester-réponse utilisé dans le calculant pour déterminer si l'utilisateur est le humain. " ; CAPTCHA" ; est un acronyme conçu par pour le " ; Le A du C ompletely utomated l'essai uring du P de ''' ublic du ''' T pour indiquer les omputers du C et le part" du A d'umans du H ; , trademarked par l'université de Carnegie Mellon de . Le processus implique un ordinateur (un serveur ) demandant à un utilisateur d'accomplir un essai simple de ce que l'ordinateur peut produire et catégorie, mais non capable résoudre seule. Puisque les ordinateurs ne peuvent pas résoudre le CAPTCHA, n'importe quel utilisateur écrivant une solution correcte est présumé pour être humain.

La limite CAPTCHA a été inventée en 2000 par le Luis von Ahn , le Manuel Blum , le distributeur de Nicholas J. (toute l'université de Carnegie Mellon), et le John Langford (puis de IBM ). Un type commun de CAPTCHA exige que le type d'utilisateur les lettres d'une image tordue, parfois avec l'addition d'un ordre obscurci des lettres ou des chiffres qui apparaît sur l'écran.

Un CAPTCHA est parfois décrit comme essai de Turing d'inverse de , parce qu'il est administré par une machine et visé à un humain, contrairement à l'essai standard de Turing de qui est typiquement administré par un humain et visé à une machine.

Actuellement, le ReCAPTCHA est recommandé comme exécution du fonctionnaire CAPTCHA par les créateurs originaux de CAPTCHA.

Caractéristiques

Un système de CAPTCHA est des moyens de produire automatiquement des nouveaux défis qui :
Les ordinateurs courants ne peuvent pas résoudre exactement.
La plupart des humains peuvent résoudre.
Ne se fonde pas sur le type de CAPTCHA être nouveau à l'attaquant. Bien qu'un " de checkbox ; vérifier ici si vous n'êtes pas un bot" ; pourrait servir à distinguer les humains et des ordinateurs, ce n'est pas un CAPTCHA parce qu'il se fonde sur le fait qu'un attaquant n'a pas consacré l'effort de casser cette forme spécifique.

Dans la pratique, l'algorithme employé pour créer le CAPTCHA n'a pas besoin d'être rendu public, bien qu'il puisse être couvert par un brevet. Bien que la publication puisse aider à démontrer que la rupture de elle exige la solution à un problème difficile dans le domaine de l'intelligence artificielle , le refus délibéré de l'algorithme peut augmenter l'intégrité d'un ensemble limité de systèmes, comme dans la pratique de la sécurité de par l'obscurité . Le facteur le plus important en décidant si un algorithme devrait être rendu ouvert ou restreint est la taille du système. Bien qu'on puisse assumer qu'un algorithme qui survit à l'examen minutieux par des experts en matière de sécurité soit plus conceptuellement bloqué qu'un algorithme unevaluated, un détail unevaluated d'algorithme à un ensemble de systèmes très limité est toujours de moins d'intérêt à ceux qui s'engagent dans l'abus automatisé. La rupture d'un CAPTCHA exige généralement un certain détail d'effort à celui exécution particulière de CAPTCHA, et un trompeur peut décider que l'avantage accordé par déviation automatisée est nié par l'effort exigé pour s'engager dans l'abus de ce système en premier lieu.

Origine

La difficulté potentielle de différencier des humains à partir des ordinateurs feignant pour être des humains a été abordée au moins dès 1950, quand le Alan Turing a décrit son essai maintenant-célèbre de Turing de . Le premier examen des essais automatisés qui distinguent des humains à partir des ordinateurs pour l'accès de contrôle aux services de Web apparaisse dans un manuscrit 1996 de Moni Naor de l'institut de Weizmann de de la Science , autorisé " ; Vérification d'un humain dans la boucle, ou identification par l'intermédiaire du Turing Test" ;

CAPTCHAs primitif semblent avoir été développés en 1997 au AltaVista par le Andrei Broder et ses collègues pour empêcher les bots d'ajouter les URL à leur Search Engine . Afin de rendre les images résistantes à la ROC (identification à caractère optique) de , l'équipe a simulé les situations que les manuels de module de balayage réclamés ont eues comme conséquence la mauvaise ROC. En 2000, von Ahn et Blum ont développé et ont rendu la notion d'un CAPTCHA publique, qui a inclus n'importe quel programme qui peut distinguer des humains à partir des ordinateurs. Ils ont inventé les exemples multiples de CAPTCHAs, y compris le premier CAPTCHAs pour être employés couramment, qui étaient ceux adoptés par le Yahoo! .

Applications

CAPTCHAs sont employés pour empêcher le logiciel automatisé d'effectuer les actions qui dégradent la qualité du service d'un système donné, si dû pour maltraiter ou dépense de ressource. Bien que CAPTCHAs le plus souvent soient déployés comme réponse à l'empiétement par des intérêts commerciaux, la notion qu'elles existent pour arrêter seulement les inondateurs est confondue. CAPTCHAs peut être déployé pour protéger des systèmes vulnérables au Spam d'email de , tel que les services de Webmail du Gmail , du Hotmail , et du Yahoo! . CAPTCHAs ont également trouvé l'utilisation active en arrêtant la signalisation automatisée aux blogs ou les forum , si en raison de la promotion commerciale , ou le harcèlement et le vandalisme . CAPTCHAs remplissent également une fonction importante dans le taux limitant, comme l'utilisation automatisée d'un service pourrait être souhaitable jusqu'à ce qu'une telle utilisation soit supérieure fait, et au détriment des utilisateurs humains. En ce cas, un CAPTCHA peut imposer des politiques automatisées d'utilisation comme place par l'administrateur quand certaine métrique d'utilisation dépasse un seuil donné. Les systèmes d'estimation d'article employés par beaucoup de sites Web de nouvelles sont un autre exemple d'un service en ligne vulnérable à la manipulation par le logiciel automatisé.

Accessibilité

Accessibilité de Web Puisque CAPTCHAs se fondent sur la perception, utilisateurs incapables de percevoir un CAPTCHA (par exemple, en raison d'une incapacité ou parce qu'il est difficile de lire) ne pourra pas effectuer la tâche protégée par un CAPTCHA. En soi, les emplacements mettant en application CAPTCHAs devraient fournir une version audio du CAPTCHA en plus de la méthode visuelle. L'emplacement du fonctionnaire CAPTCHA recommande de fournir un CAPTCHA audio pour des raisons d'accessibilité.

Tentatives de CAPTCHAs plus accessible

Un CAPTCHA même audio et visuel exigera l'intervention manuelle pour quelques utilisateurs, de ce type qui sont sourds et aveugles. Il y a eu de diverses tentatives à créer CAPTCHAs qui sont plus accessibles. Les tentatives incluent l'utilisation du Javascript, questions mathématiques (" ; ce qui est 1+1" ;), ou " ; sense" commun ; questions (" ; quelle couleur est le sky" ;). Ces tentatives violent un ou tous les deux principes de CAPTCHAs : ou elles ne peuvent pas être automatiquement produites ou elles peuvent être facilement fendues données l'état d'intelligence artificielle. En soi, la seule sécurité ces CAPTCHAs fournissent est sécurité de par l'obscurité ; un attaquant est peu susceptible d'avoir rencontré la formulation du CAPTCHA en question, et peu susceptible de le trouver en valeur les ressources de dépense de temps pour casser le CAPTCHA d'un petit emplacement.

En raison du manque de sécurité a fourni par CAPTCHAs basé par texte, la plupart des emplacements choisissent d'employer un CAPTCHA audio et visuel comme manière d'équilibrer l'accessibilité et la sécurité. Souvent, l'appui d'email ou de téléphone est employé pour permettre d'accéder manuellement aux utilisateurs qui ne peuvent pas résoudre un CAPTCHA.

Mise en échec

Il y a quelques approches à défaire CAPTCHAs : l'exploitation branche sur table d'écoute dans l'exécution qui permettent à l'attaquant de dévier complètement le CAPTCHA, améliorant le logiciel de reconnaissance de caractères, ou employer le travail bon marché d'humain de de traiter les essais.

Exécution peu sûre

Comme n'importe quel système de sécurité, les pailles de conception dans une exécution de système peuvent empêcher la sécurité théorique d'être réalisée. Beaucoup de réalisations de CAPTCHA, particulièrement ceux qui n'ont pas été conçues et n'ont pas été passées en revue par des experts dans les domaines de la sécurité, sont à attaques communes enclines.

Des systèmes de protection d'un certain CAPTCHA peuvent être déviés sans employer la ROC simplement en réutilisant l'identification de session de d'une image connue de CAPTCHA. Un CAPTCHA correctement conçu ne permet pas des tentatives multiples de solution d'un CAPTCHA. Ceci empêche la réutilisation d'une solution correcte ou de faire de CAPTCHA une deuxième conjecture après qu'une tentative incorrecte de ROC. D'autres réalisations de CAPTCHA emploient un gâchis (tel qu'un gâchis de MD5 ) de la solution comme clef passée au client pour valider le CAPTCHA. Souvent le CAPTCHA est d'assez petite taille que ce gâchis pourrait être criqué. De plus, le gâchis a pu aider une tentative basée par ROC. Un arrangement plus bloqué emploierait un HMAC . En conclusion, quelques réalisations emploient seulement une petite piscine fixe des images de CAPTCHA. Par la suite, quand assez de solutions d'image de CAPTCHA ont été rassemblées par un attaquant pendant le temps, le CAPTCHA peut être cassé en recherchant simplement des solutions dans une table, basée sur un gâchis de l'image de défi.

Reconnaissance de caractères d'ordinateur

Un certain nombre de projets de recherche ont essayé (souvent avec le succès) de battre CAPTCHAs visuel par la création des programmes qui contiennent la fonctionnalité suivante : Extraction de

l'image de la page Web.

Déplacement de fouillis, par exemple avec des filtres de couleur et la détection des lignes minces.

Segmentation, c. coupant l'image en régions chacune contenant une lettre simple.

Identification de la lettre pour chaque région.

Étapes 1, 2, et 4 sont des tâches faciles pour des ordinateurs la seule partie où les humains surpassent toujours des ordinateurs est segmentation. Si le fouillis se compose des formes semblables aux formes de lettre, et les lettres sont reliées par cette image de fond, la segmentation devient presque impossible avec le logiciel courant. Par conséquent, un CAPTCHA efficace devrait se concentrer sur la segmentation.

Plusieurs projets de recherche ont le monde réel cassé CAPTCHAs, y compris un de CAPTCHAs tôt de Yahoo appelé le " ; EZ-Gimpy" ; et le CAPTCHA employé par les emplacements populaires tels que Paypal et LiveJournal aussi bien que le logiciel libre tel que le phpBB.

Solutionneurs humains

CAPTCHA est vulnérable à une attaque de relais de qui emploie des humains pour résoudre les puzzles. Une approche implique de transmettre par relais les puzzles à un bagne des opérateurs humains qui peuvent résoudre CAPTCHAs. Cet arrangement, un ordinateur complète dehors une forme et quand il atteint un CAPTCHA, il donne le CAPTCHA à l'opérateur humain pour résoudre. Si les humains sont des employés consacrés qui reçoivent le salaire minimum ceci n'est pas susceptibles d'être viables. Une autre variation de cette technique implique de copier les images de CAPTCHA et de les employer comme CAPTCHAs pour un emplacement du haut-trafic possédé par l'attaquant. Avec assez de trafic, l'attaquant peut obtenir une solution au puzzle de CAPTCHA à temps de le transmettre par relais de nouveau à l'emplacement de cible. En octobre 2007, un morceau de malware est apparu dans le sauvage qui a attiré des utilisateurs pour résoudre CAPTCHAs afin de voir progressivement autre dans une série de " ; " du strip-tease ; images.

Légalité

La mise en échec de CAPTCHAs peut violer la clause d'anticontournement de Digital Millennium Copyright Act ( DMCA ) dans le Etats-Unis . En le 2007 Ticketmaster a poursuivi des technologies du fabricant RMG de logiciel pour son produit qui a évité le CAPTCHAs de vendeur de billet sur la base qu'il viole la clause d'anticontournement du DMCA . En octobre 2007, une injonction a été publiée déclarant ce Ticketmaster " ; succeed" probable ; en faisant son cas

Image-identification CAPTCHAs

Quelques chercheurs favorisent l'identification CAPTCHAs d'image comme alternative possible pour CAPTCHAs basé par texte. Jusqu'ici, aucun site Web principal ne s'est servi d'un CAPTCHA basé par image. En soi, la technologie mieux serait décrite comme dans l'étape de la recherche théorique.

Visage de CAPTCHAs d'identification d'image beaucoup de problèmes potentiels qui n'ont pas été entièrement étudiés. Il est difficile que un petit emplacement acquière un grand dictionnaire des images aux lesquelles un attaquant n'a pas accès. Sans les moyens d'acquérir automatiquement de nouvelles images marquées, une image ont basé le défi ne rencontre pas la définition d'un CAPTCHA. De l'identification courante CAPTCHAs d'image demandent à l'utilisateur de faire un choix de binaire (tel que le " ; Est-ce que c'est un chat ou un chien ? " ;). Même avec juste seize images, un bot a un 1 dans 65536 la possibilité (2¹⁶) d'obtenir la droite d'image chaque fois. Afin d'être efficace contre une attaque de Botnet , l'utilisateur serait forcé de résoudre un nombre prohibitivement grand d'images.

Avantages collatéraux

Certains des inventeurs originaux du système de CAPTCHA ont mis en application les moyens par lesquels certains de l'effort et du temps ont dépensé par les personnes qui relèvent des défis de CAPTCHA peuvent être armées comme système réparti de travail. Ceci fonctionne à côté d'inclure le " ; solved" ; et " ; unrecognized" ; éléments (images qui n'ont pas été avec succès identifiés par l'intermédiaire de la ROC ) dans chaque défi. Le répondant répond ainsi que les éléments et rudement la moitié de son effort valide le défi tandis que l'autre moitié est capturée en tant que travail.

Ce système de ReCAPTCHA est employé pour faciliter la conversion des travaux imprimés (images balayées) dans le texte numérique. L'approche est semblable à une des techniques par lesquelles des systèmes de CAPTCHA peuvent être évités (parce que les répondants exécutent l'intelligence humaine d'accomplir un peu de travail d'une manière fortement distribuée).

Les défenseurs de reCAPTCHA estiment que les systèmes existants de CAPTCHA représentent approximativement 150.000 heures de travail par jour qui pourrait être d'une manière transparente branché sur par l'intermédiaire de leur système révisé. Ce serait équivalent à presque 19.000 personnes travaillant 8 heures par jour sur corriger la ROC.

Random links: