Czy aby na pewno jest Pan człowiekiem? Użyteczność i dostępność kodów CAPTCHA A-Symetria marzec 2009 Mariusz Dziechciaronek

kwiecień 09 Mariusz Dziechciaronek 2 Agenda człowiek, a maszyna, trochę historii, czym jest i do czego służy CAPTCHA, problemy użyteczności i dostepności CAPTCHA, kwestie bezpieczeństwa i metody łamania kodu, czym jest dobre CAPTCHA? reCAPTCHA i nowe modele kodów.

kwiecień 09 Mariusz Dziechciaronek 3 człowiek, a maszyna, trochę historii, czym jest i do czego służy CAPTCHA, problemy użyteczności i dostępności CAPTCHA, kwestie bezpieczeństwa i metody łamania kodu, czym jest dobre CAPTCHA? reCAPTCHA i nowe modele kodów.

Test Turinga kwiecień 09 Mariusz Dziechciaronek 4 Pierwsza strona publikacji Computing Machinery and Intelligence A.Turinga http://www.jstor.org/pss/2251299 W 1950 roku angielski matematyk Alan Turing zaproponował rodzaj gry logicznej, której celem była próba odpowiedzi na pytanie, do jakiego momentu możemy twierdzić, że dany układ logiczny jest inteligentny. W swej podstawowej wersji Test Turinga polega na symulowaniu rozmowy między trzema podmiotami, z których jeden jest komputerem. Jeśli po upływie określonego czasu ludzccy rozmówcy nie będą w stanie określić, czy prowadzili rozmowę z człowiekiem czy z maszyną, wówczas stanowić to będzie dowód na to, że komputer jest inteligentny.

Reverse Turing Test kwiecień 09 Mariusz Dziechciaronek 5 Luis von Ahn http://en.wikipedia.org/wiki/File:Wikipedia_luis.jpg CAPTCHA to skrót od: Completely Automated Public Turing test to tell Computers and Humans Apart. Test CAPTCHA w przeciwieństwie do Testu Turinga, ma sprawdzić czy system ma do czynienia z komputerowym botem, czy z ludzką istotą. Nazwę ta zapropnowali po raz pierwszy Luis von Ahn, Manuel Blum, Nicholas J. Hopper z Carnegie Mellon University.

kwiecień 09 Mariusz Dziechciaronek 6 człowiek, a maszyna, trochę historii, czym jest i do czego służy CAPTCHA, problemy użyteczności i dostępności CAPTCHA, kwestie bezpieczeństwa i metody łamania kodu, czym jest dobre CAPTCHA? reCAPTCHA i nowe modele kodów.

Czym jest CAPTCHA? kwiecień 09 Mariusz Dziechciaronek 7 CAPTCHA to program generujący testy, celem identyfikcji użytkownika i eliminacji dostępu do serwsiu bota. CAPTCHA to program mający zapewnić bezpieczeństwo, uchronić serwisy przed atakami botów m.in przed zakałdaniem nielegalnych kont pocztowych, rozysyłaniu spamu, dostępu do forów, itp.

kwiecień 09 Mariusz Dziechciaronek 8 człowiek, a maszyna, trochę historii, czym jest i do czego służy CAPTCHA, problemy użyteczności i dostępności CAPTCHA, kwestie bezpieczeństwa i metody łamania kodu, czym jest dobre CAPTCHA? reCAPTCHA i nowe modele kodów

Główne problemy Kody CAPTCHA zawsze stanowią kompromis między bezpieczeństwem serwsiu, który musi być zabezpieczony przed atakami, a satysfakcją użytkownika, ktory musi mieć relatywnie prosty dostęp do zasobów serwisu. Główne problemy to: niska rozpoznawalność przez użytkownika, skomplikowanie samego kodu – zadania matematyczne, itp., problemy z odczytaniem kodu CAPTCHA przez osoby niepełnosprawne: niewidzące, niedowidzące, głuche, cierpiące na inne problemy, brak przycisku odśwież kod – automatyczne przeładowanie strony i utrata danych z formularza, brak informacji dlaczego należy wpisać CAPTCHA, brak przycisku Audio, brak alternatywnej poza sieciowej identyfikacji użytkownika przez serwis – takie usługi zapewnia Yahoo. kwiecień 09 Mariusz Dziechciaronek 9

Użyteczość CAPTCHA tekstowych kwiecień 09 Mariusz Dziechciaronek 10 J. Yan, a. Ahmad, Usability of CAPTCHAs or Usability Issues in CAPTCHA Design; http://cups.cs.cmu.edu/soups/2008/proceedings/p44Yan.pdf Autor: Christian, źródło:http://www.stickycomics.com

Zaburzanie elementów przemieszczanie elementów w górę i w dół, obroty elementów, skalowanie elementów, gięcie elementów. kwiecień 09 Mariusz Dziechciaronek 11

Zaburzanie elementów (2) kwiecień 09 Mariusz Dziechciaronek 12 Microsoft w swoich wcześniejszych wersjach kodów CAPTCHA stosował trudne do rozpoznawania łuki, które miały wprowadzać w błąd oprogramowanie OCR, traktujące zaburzające elementy (distortion clutter) jako elementy rzeczywistego kodu. J. Yan, a. Ahmad, Usability of CAPTCHAs or Usability Issues in CAPTCHA Design; http://cups.cs.cmu.edu/soups/2008/proceedings/p44Yan.pdf

CAPTCHA CONTENT kwiecień 09 Mariusz Dziechciaronek 13 CAPTCHA matematyczne CAPTCHA Grono.net CAPTCHA Sympatia.pl im wiekszy element, tym wyższe zabezpieczenie przed atakiem, im większy element, tym wyższe prawdopodobieństwo kłopotów z odczytaniem tekstu po jego przekształceniu, długie ciągi elemetów powinny być opisane liczbą koniecznych do wpisania elementów.

kwiecień 09 Mariusz Dziechciaronek 14 CAPTCHA CONTENT używanie istniejących słów zwykle nie wpływa na bezpieczeństwo kodu, używanie słów nieistniejących, odmiennych od obszaru kulturowego implikuje problemy z użytecznością, usuwanie słów obraźliwych z baz – z wyjątekiem reCAPTCHA.

Kolorowe sny CAPTCHA kwiecień 09 15 Peb Forum CAPTCHA Atrakcyjneksiazki.pl CAPTCHA Sympatia.pl CAPTCHA jeśli nie jesteś ekspertem w zakresie budowy kodu, używaj koloru rozsądnie, nie twórz mozaiek, stosuj przynajmniej dwa kolory jeden jako tło drugi pierwszoplanowy, używanie koloru jako zabezpieczenia przed segmentacją OCR jest zwykle mało skuteczne. Mariusz Dziechciaronek

Audio CAPTCHA kwiecień 09 16 możliwość odsłuchania CAPTCHA to warunek dostępności, zaburzenie tła dźwiękowego musi być ograniczone, obecność znaczka audio/niepełnosprawni, rozsądane stosowanie javascrpit i flash. Mariusz Dziechciaronek Google CAPTCHA reCAPTCHA

kwiecień 09 17 człowiek, a maszyna, trochę historii, czym jest i do czego służy CAPTCHA, problemy użyteczności i dostępności CAPTCHA, kwestie bezpieczeństwa i metody łamania kodu, czym jest dobre CAPTCHA? reCAPTCHA i nowe modele kodów. Mariusz Dziechciaronek

Jak można złamać CAPTCHA wykorzystanie oprogramowania OCR (Optical Character Recognition), analiza statystyczna – słów i obrazów z bazy danych CAPTCHA, sieci neuronowe, znacznie lepsze od klasycznych podejść algorytmicznych w rozpoznawaniu kształtów, farma Turinga, czyli zatrudnienie w jakimś kraju Trzeciego Świata setek ludzi, którzy będą rozwiązywali przedstawiane im CAPTCHA, farma porno Turinga – czyli spamer zakłada stronę „tylko dla dorosłych”, w której warunkiem obejrzenia pornograficznego obrazka jest zdekodowanie CAPTCHA pochodzącej z innej strony. kwiecień 09 18 Przykład farmy porno Turninga; źródło: http://www.heise-online.pl/security/Striptizowy-trojan--/news/item/1781 Działanie farmy porno Turninga; źródłohttp://pandalabs.pandasecurity.com/archive/A-new-way-of-social-engineering.aspx: Mariusz Dziechciaronek

kwiecień 09 19 Jak można złamać CAPTCHA (2) Mariusz Dziechciaronek Przykłady odpornych jeszcze do niedawna na ataki (Google) kodów CAPTCHA.

CAPTCHA KAPUT kwiecień 09 20 Każde CAPTCHA da się w końcu złamać, bez konieczności ponoszenia nakładów, niewspółmiernych do potencjalnych zysków ze złamania kodu. McAfee:http://vil.nai.com/images/FP_BLOG_081008_1.jpg J. Yen, A. Ahmad, A low cost attack on a Microsoft CAPTCHA: http://homepages.cs.ncl.ac.uk/jeff.yan/msn_draft.pdf Mariusz Dziechciaronek

kwiecień 09 21 człowiek, a maszyna, trochę historii, czym jest i do czego służy CAPTCHA, problemy użyteczności i dostępności CAPTCHA, kwestie bezpieczeństwa i metody łamania kodu, czym jest dobre CAPTCHA? reCAPTCHA i nowe modele kodów. Mariusz Dziechciaronek

Jak powinno wyglądać dobre CAPTCHA kwiecień 09 22 dobre CAPTCHA to takie, które zapewnia bezpieczeństwo serwisu i nie jest jednocześnie utrapieniem dla użytkowników, powinno zapewniać dostęp do serwisu użytkownikom niepełnosprawnym, powinno zawierać przycisk odśwież, powinno informować o ilości koniecznych do wpisania elementów, powinno odzwierciedlać specyfikę kulturową, powinno zawierać informacje dlaczego należy je wpisać, powinno dawać możliwość dodatkowej np. telefonicznej weryfikacji użytkownika, powinno podlegać czasowym ewaluacjom bezpieczeństwa. Mariusz Dziechciaronek

kwiecień 09 23 człowiek, a maszyna, trochę historii, czym jest i do czego służy CAPTCHA, problemy użyteczności i dostępności CAPTCHA, kwestie bezpieczeństwa i metody łamania kodu, czym jest dobre CAPTCHA? reCAPTCHA i nowe modele kodów. Mariusz Dziechciaronek

Re....CAPTCHA.... kwiecień 09 24 pozwala digitalizować stare książki i dokumenty, działa na zasadzie czytania przez OCR starych druków i przesyłania nieczytelnych słów do użytkowników w postaci CAPTCHA, użytkownicy wpisują dwa słowa: jedno zabezpieczające oraz drugie stanowiące zagadkę dla OCR, pomagają przenieść do sieci miliony książek. Mariusz Dziechciaronek

Niecodzienne rozwiązania kwiecień 09 25 Geometryczne CAPTCHA – dla wyjątkowo wytrwałych downloader’ów  Wyjątkowe matematyczne CAPTCHA – segregacja już na wejściu, pozwala na precyzjny dobór użytkowników  Mariusz Dziechciaronek

kwiecień 09 26 Niecodzienne rozwiązania (2) Drag & Drop CAPTCHA - ciekawe rozwiązanie szczególnie z pkt. widzenia bezpieczeństwa. Graficzne CAPTCHA – jego siła zależy od ilości kombinacji przedstawianych użytkownikowi. Mariusz Dziechciaronek

kwiecień 09 27 Niecodzienne rozwiązania (3) Kolejne CAPTCHA graficzne, stanowiące raczej zabawny element strony niż realne zabezpieczenie przed botami. Mariusz Dziechciaronek

Dziękuję http://www.symetria.pl kwiecień 09 Mariusz Dziechciaronek 28