Zullen GOTCHA's CAPTCHA's vervangen?

De meeste mensen die internet gebruiken, zijn bekend met de volledig geautomatiseerde openbare Turing-test om computers en mensen uit elkaar te houden, ook wel bekend als CAPTCHA. Dit zijn de vervormde stukjes tekst die je regelmatig wordt gevraagd te identificeren om te bewijzen dat je een mens bent. Hun doel is om te voorkomen dat bots toegang krijgen tot websites, bijvoorbeeld om te voorkomen dat ze spam achterlaten.





CAPTCHA's zijn enorm succesvol geweest sinds ze in 2000 werden geïntroduceerd door Luis von Ahn en vrienden van de Carnegie Mellon University in Pittsburgh. Maar in het kat-en-muisspel van computerbeveiliging was het altijd onvermijdelijk dat de slechteriken aanzienlijke middelen zouden besteden aan pogingen om het systeem te doorbreken.

En inderdaad precies dat is gebeurd. Aangezien er slechts een beperkt aantal vervormde teksten op een bepaalde harde schijf kan worden opgeslagen, is het mogelijk om mensen in dienst te nemen om ze in sweatshop-omstandigheden te kraken. Een andere mogelijkheid is om de CAPTCHA's opnieuw op een andere website te plaatsen voor nietsvermoedende bezoekers die ze voltooien omdat ze denken dat ze toegang hebben tot een legitieme site. In plaats daarvan worden de oplossingen in realtime gebruikt om onrechtmatig een andere site te betreden.

Dus computerwetenschappers hebben hard nagedacht over hoe dit mechanisme te verbeteren om hackers opnieuw te dwarsbomen. Tegenwoordig zeggen Jeremiah Blocki en vrienden van de Carnegie Mellon University dat ze een manier hebben bedacht om dit te doen op basis van inktvlekpatronen.



De nieuwe aanpak is rechttoe rechtaan en vertrouwt erop dat een gebruiker een aantal vragen beantwoordt wanneer hij of zij zich voor het eerst aanmeldt voor toegang tot een website. Het begint met het genereren van een reeks eenvoudige inktvlekafbeeldingen door willekeurig verschillende gekleurde inktvlekken in een klein gebied van het scherm te plaatsen.

Als onderdeel van het aanmeldingsproces wordt de gebruiker gevraagd een korte zin te schrijven die elk van deze afbeeldingen beschrijft.

Wanneer de gebruikers terugkeren naar de site met een wachtwoord, krijgen ze ook de inktvlekpatronen en de ingestelde zinnen te zien die ze beschrijven. Hun taak is dan om de juiste frase aan elk patroon toe te wijzen.



Ze noemen hun nieuwe test een GOTCHA (Generating panOptic Turing Tests to Tell Computers and Humans Apart).

Blocki en vrienden zeggen dat dit een geautomatiseerde aanval zou moeten verijdelen. We stellen dat de tegenstander die een kosteneffectieve aanval wil opzetten, constant feedback van een mens moet krijgen, zeggen ze.

Dat komt omdat alleen een mens de patronen consequent kan herkennen en daar een link naar de getoonde zinnen kan vinden - dat is tenminste hun hypothese.



Dat is een interessant idee. Het menselijk vermogen om patronen te herkennen overtreft alles wat computers kunnen doen en het is slim om dit te matchen met de interpretatie van willekeurige patronen door de gebruiker. Er is voldoende bewijs dat patroonherkenning gemakkelijker is dan het onthouden van wachtwoorden.

Maar het roept wel de vraag op hoe goed mensen zich hun oorspronkelijke interpretatie van een inktvlek zullen herinneren. Dit kan heel goed afhankelijk zijn van hun gemoedstoestand op dat moment, die op zijn beurt kan worden beïnvloed door allerlei lokale en tijdelijke variabelen.

Om dit te testen, hebben Blocki en co het idee getest met behulp van Amazon's Mechanical Turk. Ze nodigden 70 Turkers uit om een ​​aantal inktvlekpatronen te bekijken en identificerende zinnen te schrijven, waarbij ze $ 1 betaalden om de taak te voltooien. Toen, 10 dagen later, vroegen ze dezelfde Turkers om hun zinnen opnieuw te associëren met de inktvlekpatronen, opnieuw voor een betaling van $ 1.



De resultaten zijn niet geheel geruststellend. Zeventien van onze deelnemers kwamen correct overeen met alle tien hun labels, en 69% van de deelnemers matchte ten minste 5 van de tien labels correct, zeggen ze.

Blocki en co zeggen dat de gegevens aangeven dat een aanzienlijk deel van de bevolking GOTCHA's zou kunnen gebruiken. Het betekent ook dat het gebruik van onze GOTCHA vrijwillig zou moeten zijn, zodat gebruikers die problemen hebben niet worden buitengesloten van hun accounts, voegen ze er schaapachtig aan toe.

Het is mogelijk dat de tests met Turkers niet representatief waren voor de manier waarop gewone mensen GOTCHA's zouden gebruiken. De Turkers hebben zich bijvoorbeeld door de eerste fase van de tests gehaast om hun geld sneller te leren.

En het kan ook mogelijk zijn om de herkenningsgraad te verbeteren, bijvoorbeeld door gebruikers toe te staan ​​afbeeldingen te weigeren die ze verwarrend vinden.

Dat lijkt een duidelijke en noodzakelijke verbetering als GOTCHA's een gemeenschappelijk kenmerk van internetbeveiliging moeten worden.

Referentie: arxiv.org/abs/1310.1137 : GOTCHA wachtwoordhackers!

zich verstoppen