Antispamová ochrana CAPTCHA pokořena

Vědci Elie Bursztein, Matthieu Martin a John C. Mitchel se výsledky svého rok a půl dlouhého zkoumání pochlubili na nedávné ACM konferenci v Chicagu.

CAPTCHA, což je akronym pro Completely Automated Public Turing test to tell Computers and Humans Apart, je antispamový test, který mnoho webových stránek používá pro odlišení skutečného uživatele od robota. Servery se tak chrání proti automatizovaným činnostem v oblastech, jako je registrace nového účtu či vkládání komentářů.

K dispozici jsou různé typy CAPTCHA. Některé používají audio, jiné zase vyžadují vyřešení matematické úlohy. Většina webových stránek si však vystačí s mírně deformovaným textem na obrázku a jeho opsáním do příslušné kolonky. Tým vědců ze Stanfordu přišel hned na několik různých metod, jak se zbavit různobarevného prostředí obtékajícího text a ten pak pro snazší identifikaci rozdělit na jednotlivé znaky. Výsledkem je nástroj nazvaný Decaptcha.

Výzkumníci svůj nástroj testovali na patnácti vysoce navštěvovaných webových stránkách. Největšího úspěchu dosáhli na herním portálu World of Warcraft, kde se jim podařilo rozpoznat až 70 % všech šifer. Jen o něco menší úspěšnosti, 66 %, pak dosáhli na platebním serveru Authorize.net společnosti Visa. Zajímavé jsou také výsledky z aukčního portálu eBay, kde CAPTCHA selhala v 43 % případů, a Wikipedie, kde byl úspěšný každý čtvrtý pokus.

V testu stoprocentně obstály pouze dvě stránky, Google a reCAPTCHA, což je implementace, kterou Googlu koupil v roce 2009.  Není proto divu, že krátce po zveřejnění výsledků testu na reCAPTCHA přešly také stránky Authorize.net a Digg. Jestli to mělo nějaký vliv na jejich úspěšnost, vědci ze Stanfordu neprozradili. Těm správcům webových stránek, kteří hodlají zůstat věrni klasické CAPTCHA, stanfordští vědci doporučují používat CAPTCHA s náhodnou délkou řetězců textu, náhodnou velikostí znaků a větší deformací.