czy aby na pewno jest pan człowiekiem; użyteczność i dostępność c a p t c h a
DESCRIPTION
Prezentacja omawia problemy bezpieczeństwa i użyteczności kodów weryfikacyjnych typu CAPTCHA.TRANSCRIPT
![Page 1: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/1.jpg)
Czy aby na pewno jest Pan człowiekiem?człowiekiem?
UŜyteczność i dostępność CAPTCHA
A-Symetria marzec 2009Mariusz Dziechciaronek
![Page 2: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/2.jpg)
Agenda
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 Mariusz Dziechciaronek 2
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
![Page 3: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/3.jpg)
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 Mariusz Dziechciaronek 3
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
![Page 4: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/4.jpg)
Test Turinga
W 1950 roku angielski matematyk AlanTuring zaproponował rodzaj gry logicznej,której celem była próba odpowiedzi napytanie, do jakiego momentu moŜemytwierdzić, Ŝe dany układ logiczny jestinteligentny.
W swej podstawowej wersji Test Turinga
marzec 09 Mariusz Dziechciaronek 4
Pierwsza strona publikacji Computing Machinery and Intelligence A.Turinga http://www.jstor.org/pss/2251299
W swej podstawowej wersji Test Turingapolega na symulowaniu rozmowy międzytrzema podmiotami, z których jeden jestkomputerem. Jeśli po upływie określonegoczasu ludzccy rozmówcy nie będą w stanieokreślić, czy prowadzili rozmowę zczłowiekiem czy z maszyną, wówczasstanowić to będzie dowód na to, Ŝekomputer jest inteligentny.
![Page 5: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/5.jpg)
Reverse Turing Test
CAPTCHA to skrót od: CompletelyAutomated Public Turing test to tellComputers and Humans Apart.
Test CAPTCHA w przeciwieństwie doTestu Turinga, ma sprawdzić czysystem ma do czynienia zkomputerowym botem, czy z ludzką
marzec 09 Mariusz Dziechciaronek 5
Luis von Ahn http://en.wikipedia.org/wiki/File:Wikipedia_luis.jpg
komputerowym botem, czy z ludzkąistotą.
Nazwę tą zaproponowali po razpierwszy Luis von Ahn, Manuel Blum,Nicholas J. Hopper z CarnegieMellon University.
![Page 6: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/6.jpg)
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 Mariusz Dziechciaronek 6
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
![Page 7: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/7.jpg)
Czym jest CAPTCHA?
CAPTCHA to programgenerujący testy, celemidentyfikcji uŜytkownika ieliminacji dostępu do serwsiubota.
CAPTCHA to program mający
E-bay Polska CAPTCHA
marzec 09 Mariusz Dziechciaronek 7
CAPTCHA to program mającyzapewnić bezpieczeństwo,uchronić serwisy przed atakamibotów m.in przed zakładaniemnielegalnych kont pocztowych,rozysyłaniem spamu, dostępemdo forów, itp.
Myspace CAPTCHA
Sympatia.pl CAPTCHA
![Page 8: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/8.jpg)
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 Mariusz Dziechciaronek 8
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów
![Page 9: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/9.jpg)
Główne problemyKody CAPTCHA zawsze stanowią kompromis między bezpieczeństwem serwsiu,który musi być zabezpieczony przed atakami, a satysfakcją uŜytkownika, ktory musimieć relatywnie prosty dostęp do zasobów serwisu. Główne problemy to:
• niska rozpoznawalność przez uŜytkownika,• skomplikowanie samego kodu – zadania matematyczne, itp.,• problemy z odczytaniem kodu CAPTCHA przez osoby niepełnosprawne:
niewidzące, niedowidzące, głuche, cierpiące na inne problemy,• brak przycisku odświeŜ kod – automatyczne przeładowanie strony i utrata danych z
formularza,• brak informacji dlaczego naleŜy wpisać CAPTCHA,• brak przycisku Audio,• brak alternatywnej poza sieciowej identyfikacji uŜytkownika przez serwis – takie
usługi zapewnia Yahoo.
marzec 09 Mariusz Dziechciaronek 9
![Page 10: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/10.jpg)
UŜyteczość CAPTCHA tekstowych
marzec 09 Mariusz Dziechciaronek 10
J. Yan, a. Ahmad, Usability of CAPTCHAs or Usability Issues in CAPTCHA Design; http://cups.cs.cmu.edu/soups/2008/proceedings/p44Yan.pdf
Autor: Christian, źródło:http://www.stickycomics.com
![Page 11: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/11.jpg)
Zaburzanie elementów
• przemieszczanieelementów w górę iw dół,
• obroty elementów,• skalowanie
elementów,• gięcie elementów.
marzec 09 Mariusz Dziechciaronek 11
![Page 12: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/12.jpg)
Zaburzanie elementów (2)
Microsoft w swoich wcześniejszychwersjach kodów CAPTCHA stosowałtrudne do rozpoznawania łuki, któremiały wprowadzać w błądoprogramowanie OCR, traktującezaburzające elementy (distortionclutter) jako elementy rzeczywistego
marzec 09 Mariusz Dziechciaronek 12
clutter) jako elementy rzeczywistegokodu.
J. Yan, a. Ahmad, Usability of CAPTCHAs or Usability Issues in CAPTCHA Design; http://cups.cs.cmu.edu/soups/2008/proceedings/p44Yan.pdf
![Page 13: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/13.jpg)
CAPTCHA CONTENT
CAPTCHA matematyczne
• im większy element, tymwyŜsze zabezpieczenie przedatakiem,
• im większy element, tymwyŜsze prawdopodobieństwokłopotów z odczytaniem tekstu
marzec 09 Mariusz Dziechciaronek 13
Grono.net CAPTCHA
Sympatia.pl CAPTCHA
kłopotów z odczytaniem tekstupo jego przekształceniu,
• długie ciągi elemetówpowinny być opisane liczbąkoniecznych do wpisaniaelementów.
![Page 14: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/14.jpg)
CAPTCHA CONTENT
• uŜywanie istniejących słówzwykle nie wpływa nabezpieczeństwo kodu,
• uŜywanie słów nieistniejących,odmiennych od obszaru
marzec 09 Mariusz Dziechciaronek 14
odmiennych od obszarukulturowego implikuje problemy zuŜytecznością,
• usuwanie słów obraźliwych z baz– z wyjątekiem reCAPTCHA.
![Page 15: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/15.jpg)
Kolorowe sny CAPTCHA
Peb Forum CAPTCHA
• jeśli nie jesteś ekspertem wzakresie budowy kodu, uŜywajkoloru rozsądnie, nie twórzmozaiek,
• stosuj przynajmniej dwa kolory
marzec 09 15
Atrakcyjneksiazki.pl CAPTCHA
Sympatia.pl CAPTCHA
• stosuj przynajmniej dwa koloryjeden jako tło drugipierwszoplanowy,
• uŜywanie koloru jakozabezpieczenia przedsegmentacją OCR jest zwyklemało skuteczne.
Mariusz Dziechciaronek
![Page 16: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/16.jpg)
Audio CAPTCHA
• moŜliwość odsłuchania CAPTCHA to warunek dostępności,
• zaburzenie tła dźwiękowego musi być ograniczone, przykład audio CAPTCHA Google:
marzec 09 16
audio CAPTCHA Google:https://www.google.com/accounts/DisplayUnlockCaptcha
• obecność znaczka audio/niepełnosprawni,
• rozsądane stosowanie javascrpit i flash.
Mariusz Dziechciaronek
Google CAPTCHA
reCAPTCHA
![Page 17: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/17.jpg)
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 17
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
Mariusz Dziechciaronek
![Page 18: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/18.jpg)
Jak moŜna złamać CAPTCHA• wykorzystanie oprogramowania OCR (Optical Character Recognition),• analiza statystyczna – słów i obrazów z bazy danych CAPTCHA,• sieci neuronowe, znacznie lepsze od klasycznych podejść algorytmicznych w rozpoznawaniu
kształtów,• farma Turinga, czyli zatrudnienie w jakimś kraju Trzeciego Świata setek ludzi, którzy będą
rozwiązywali przedstawiane im CAPTCHA,• farma porno Turinga – czyli spamer zakłada stronę „tylko dla dorosłych”, w której warunkiem
obejrzenia pornograficznego obrazka jest zdekodowanie CAPTCHA pochodzącej z innej strony.
marzec 09 18
Przykład farmy porno Turinga: http://www.heise-online.pl/security/Striptizowy-trojan--/news/item/1781Działanie farmy porno Turinga;
http://pandalabs.pandasecurity.com/archive/A-new-way-of-social-engineering.aspx:
Mariusz Dziechciaronek
![Page 19: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/19.jpg)
Jak moŜna złamać CAPTCHA (2)
Przykłady odpornych jeszcze do niedawna na ataki (Google) kodów CAPTCHA.
marzec 09 19Mariusz Dziechciaronek
![Page 20: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/20.jpg)
CAPTCHA KAPUT
marzec 09 20
KaŜde CAPTCHA da się w końcuzłamać, bez konieczności ponoszenianakładów, niewspółmiernych dopotencjalnych zysków ze złamaniakodu.
McAfee:http://vil.nai.com/images/FP_BLOG_081008_1.jpg
J. Yen, A. Ahmad, A low cost attack on a Microsoft CAPTCHA: http://homepages.cs.ncl.ac.uk/jeff.yan/msn_draft.pdf
Mariusz Dziechciaronek
![Page 21: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/21.jpg)
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 21
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
Mariusz Dziechciaronek
![Page 22: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/22.jpg)
Jak powinno wyglądać dobre CAPTCHA• dobre CAPTCHA to takie, które zapewnia bezpieczeństwo serwisu i nie jestjednocześnie utrapieniem dla uŜytkowników,
• powinno zapewniać dostęp do serwisu uŜytkownikom niepełnosprawnym,
• powinno zawierać przycisk odświeŜ,
marzec 09 22
• powinno informować o ilości koniecznych do wpisania elementów,
• powinno odzwierciedlać specyfikę kulturową,
• powinno zawierać informacje dlaczego naleŜy je wpisać,
• powinno dawać moŜliwość dodatkowej np. telefonicznej weryfikacji uŜytkownika,
• powinno podlegać czasowym ewaluacjom bezpieczeństwa.
Mariusz Dziechciaronek
![Page 23: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/23.jpg)
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 23
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
Mariusz Dziechciaronek
![Page 24: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/24.jpg)
Re....CAPTCHA....• pozwala digitalizować stareksiąŜki i dokumenty,
• działa na zasadzie czytaniaprzez OCR starych druków iprzesyłania nieczytelnych słówdo uŜytkowników w postaciCAPTCHA,
marzec 09 24
CAPTCHA,
• uŜytkownicy wpisują dwasłowa: jedno zabezpieczająceoraz drugie stanowiącezagadkę dla OCR, pomagająprzenieść do sieci milionyksiąŜek.
Mariusz Dziechciaronek
![Page 25: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/25.jpg)
Niecodzienne rozwiązania
marzec 09 25
Geometryczne CAPTCHA – dla wyjątkowo wytrwałych downloader’ów ☺
Wyjątkowe matematyczne CAPTCHA – segregacja juŜ na wejściu, pozwala na precyzjny dobór uŜytkowników ☺
Mariusz Dziechciaronek
![Page 26: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/26.jpg)
Niecodzienne rozwiązania (2)
marzec 09 26
Drag & Drop CAPTCHA - ciekawe rozwiązanie szczególnie z pkt. widzenia bezpieczeństwa.
Graficzne CAPTCHA – jego siła zaleŜy od ilości kombinacji przedstawianych uŜytkownikowi.
Mariusz Dziechciaronek
![Page 27: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/27.jpg)
Niecodzienne rozwiązania (3)
Kolejne CAPTCHA graficzne, stanowiące raczej zabawny element strony niŜ realne zabezpieczenie przed botami.
marzec 09 27Mariusz Dziechciaronek
![Page 28: Czy Aby Na Pewno Jest Pan Człowiekiem; Użyteczność I Dostępność C A P T C H A](https://reader033.vdocuments.pub/reader033/viewer/2022060111/5563743fd8b42a4b628b4f09/html5/thumbnails/28.jpg)
Dziękujęhttp://www.symetria.plhttp://www.symetria.pl
marzec 09 Mariusz Dziechciaronek 28