How CAPTCHAs work | What does CAPTCHA mean?

CAPTCHA 和 reCAPTCHA 可判定用户是否为机器人。 虽然这些测试有助于阻止恶意机器人活动,但要做到万无一失还相差甚远。

学习目标

阅读本文后,您将能够:

  • 了解 CAPTCHA 的概念以及使用原因
  • 了解 CAPTCHA 与 Google reCAPTCHA 二者的区别,以及 reCAPTCHA 的不同类型
  • 了解使用 CAPTCHA 阻止恶意机器人的优缺点
  • 说明 CAPTCHA 与人工智能 (AI) 项目有何关联性

复制文章链接

什么是 CAPTCHA?

CAPTCHA 测试的设计目的在于确定联机用户实际上是否为人类,而非机器人。CAPTCHA 是“用来分辨计算机和人类的全自动公共图灵测试”(Completely Automated Public Turing test to tell Computers and Humans Apart) 的英文首字母缩写。用户使用 Internet 通常会碰到 CAPTCHA 和 reCAPTCHA 测试。这些测试是管理机器人活动的一种方法,但该方法存在缺陷。

尽管CAPTCHA旨在阻止机器人,但 CAPTCHA 本身是自动化的。它们被编程设计到在网站上的某些位置弹出,并且会自动通过或失效用户。

CAPTCHA如何运作?

传统 CAPTCHA 包括要求用户辨认字母,有些 Web 属性上现在仍在使用。 这些字母加了失真效果,因此机器人不太可能对其加以识别。 若要通过测试,用户须对失真文本进行诠释,在表单域内键入正确字母,最后提交表单。 如果键入的字母不匹配,系统会提示用户重试。 此类测试在登录表单、帐户注册表单、在线投票和电子商务结算页面中颇为常见。

captcha 示例

其理念是机器人等计算机程序将无法解释失真的字母,而习惯于在各种情况下(包括不同的字体、手写体等)查看和阐释文字的人类通常能够识别它们。

许多自动程序充其最好只能输入一些随机字母,从统计上讲,它们不太可能通过测试。因此机器人无法通过测试,并被阻止与网站或应用程序进行交互,而人类却能够像往常一样继续使用它。

高级机器人能够使用机器学习来识别这些失真的字母,因此,这些CAPTCHA测试已被更复杂的测试所取代。谷歌 reCAPTCHA 还开发了许多其他测试来从机器人中筛选出人类用户。

什么是reCAPTCHA?

reCAPTCHA是谷歌提供的免费服务,可以代替传统的CAPTCHA。 reCAPTCHA 技术由卡内基梅隆大学的研究人员开发,然后于2009年被谷歌收购。

reCAPTCHA比传统的CAPTCHA测试更先进。像CAPTCHA一样,某些 reCAPTCHA 要求用户输入计算机难以解码的文本图像。与常规的CAPTCHA不同,reCAPTCHA从真实世界的图像中获取文本:街道地址图片、印刷书籍中的文本、旧报纸中的文本等等。

recaptcha 示例

随着历史发展,谷歌扩大了reCAPTCHA测试的功能,以使它们不再依赖于识别模糊或失真文本的旧样式。其他类型的reCAPTCHA测试包括:

  • 图像识别
  • 复选框
  • 一般用户行为评估(完全没有用户交互)

图像识别 reCAPTCHA 测试如何运作?

图像识别reCAPTCHA测试,通常向用户显示9或16格方形图像。这些图像可能全部来自同一张大图像,也可能各自不同。用户必须识别包含某些对象(例如动物、树木或路牌)的图像。如果他们的回答与提交相同测试的大多数其他用户的回答相匹配,则答案被认为是"正确",进而用户通过测试。

图片 recaptcha

从模糊照片中挑选出某些物体是计算机解决的难题。即使是高级人工智能(AI)程序也难以解决这一问题,因此机器人也将难以识别。但是,人类用户应该能够相当容易地做到这一点,因为人类习惯于在各种环境和情况下感知日常物体。

带有单个复选框的reCAPTCHA测试如何运作?

一些 reCAPTCHA 测试只是提示用户选中该语句旁边的复选框:"我不是机器人。" 但是,它测试的不是单击复选框的实际操作,而是导致单击复选框的一系列所有操作。

不是机器人 captcha

此reCAPTCHA测试考察的是用户鼠标光标接近复选框时的移动轨迹。即使是人类最直接的动作,在微观层面上也具有一定程度的随机性:机器人无法轻易模仿的微小的无意识动作。如果光标的移动包含这种不可预测性,则测试将确定用户可能是合法的。此 reCAPTCHA 还可以评估浏览器在用户设备上存储的cookie以及设备的历史记录,以判断用户是否可能是机器人。

如果测试仍然无法确定用户是否为人类,则可能会带来其他挑战,例如上述图像识别测试。但是大多数情况下,用户的光标移动、Cookie和设备历史记录是足够确定的。

reCAPTCHA如何在没有任何用户交互的情况下工作?

reCAPTCHA的最新版本能够全面了解用户的行为以及与互联网上的内容进行交互的历史。在大多数情况下,程序可以根据这些因素决定用户是否是机器人,而不会给用户带来挑战。否则,用户将面临典型的reCAPTCHA挑战。

什么会触发了 CAPTCHA 测试?

一些Web属性会自动启用CAPTCHA作为主动防御机器人的措施。在其他时候,如果用户的行为趋近于机器人的行为,则可能会触发测试:例如,如果用户请求网页或单击超链接的速率远高于平均水平。

CAPTCHA 和 reCAPTCHA是否足以阻止恶意机器人?

一些机器人可以自行越过文本 CAPTCHA。研究人员已经演示了编写程序的方法,该程序也击败了图像识别验证码。此外,攻击者可以使用点击刷单击败测试:成千上万的低薪工人代替机器人来通过CAPTCHA测试。

除 CAPTCHA 之外,还需要采取其他策略来阻止有害的机器人(例如内容抓取机器人凭证填充机器人垃圾邮件机器人

使用CAPTCHA或reCAPTCHA阻止机器人的缺点是什么?

用户体验不佳:CAPTCHA 测试可能会中断用户尝试执行的操作,使他们对自己在网络媒体资源上的体验持负面看法,并导致他们在某些情况下完全放弃该网页。

不适用于视障人士:CAPTCHA的问题在于他们依赖视觉。对于法律意义上失明的用户还有视力严重受损的用户来说,该测试都是不可能完成的。

机器人可能会骗过这些测试:如上所述,CAPTCHA 并不能完全防御机器人攻击,因此不应依赖它们进行机器人管理。

除了使用CAPTCHA或reCAPTCHA,还有其他选择吗?

Bot management solutions such as Cloudflare Bot Management or Super Bot Fight Mode can identify bad bots without impacting the user experience, based on the behavior of the bot. This way, bots can be mitigated without forcing users to complete CAPTCHAs.

CAPTCHA和reCAPTCHA与人工智能(AI)项目有什么关系?

随着数百万用户识别难以阅读的文本并从模糊的图像中挑选出对象,这些数据将被输入到人工智能计算机程序,从而使它们在这些任务上表现更好。

通常,计算机程序在识别不同上下文中的对象和字母时会遇到困难,因为上下文在现实世界中几乎可以无限变化。例如,停车标志是一个红色八边形,白色字母表示 "STOP"。计算机程序可以很容易地识别出形状和单词的组合。但是,根据上下文的不同,照片中的停车标志可能看起来与简单描述完全不同:照片的角度、光线、所涉及的天气等。

通过机器学习,人工智能程序可以更好地克服这些限制。对于停车标志示例,程序员将向AI程序提供一堆关于什么是停车标志以及不是停车标志的数据。为了使此方法有效,他们需要使用带有停车标志的图像示例和没有停车标志的图像示例,并且他们需要人类用户来识别它们,直到程序具有足够的数据来使其生效为止。

reCAPTCHA 通过让人们识别对象和文本来满足这种需求,从而缓慢地提供足够的数据来构建可靠的人工智能程序。

什么是图灵测试?图灵测试与 CAPTCHA 测试有何关系?

图灵测试评估计算机模仿人类行为的能力。早期的计算机先驱艾伦·图灵(Alan Turing)于1950年发明了图灵测试的概念。如果计算机程序在测试过程中的表现与人类的表现没有区别,则该程序”通过"图灵测试。图灵测试不取决于答案正确与否,而是答案是否像是出自“人类”之口,而不在于它们是对还是错。

尽管被称为"公共图灵测试“,但 CAPTCHA 却与图灵测试相反 – 它要确定的是所谓的人类用户是否实际上是计算机程序(机器人),而不是尝试确定计算机是否是人类。为此,CAPTCHA 需要简单分配一个人类通常会擅长但计算机难以解决的问题。识别文本和图像通常符合这些条件。