Kommer GOTCHA att ersätta CAPTCHA?

De flesta som använder Internet kommer att känna till det fullständigt automatiserade Public Turing-testet för att berätta för Computers and Humans Apart, även känt som CAPTCHA. Det här är de förvrängda textstyckena som du regelbundet uppmanas att identifiera för att bevisa att du är människa. Deras mål är att förhindra bots från att komma åt webbplatser, för att till exempel förhindra att de lämnar spam.





CAPTCHA har varit enormt framgångsrika sedan de introducerades 2000 av Luis von Ahn och vänner vid Carnegie Mellon University i Pittsburgh. Men i katt- och råttaspelet för datorsäkerhet var det alltid oundvikligt att skurkarna skulle lägga betydande resurser på att försöka bryta systemet.

Och det har verkligen hänt. Eftersom det bara kan finnas ett begränsat antal förvrängda texter lagrade på en given hårddisk, är det möjligt att anlita människor för att knäcka dem i sweatshop-förhållanden. En annan möjlighet är att lägga om CAPTCHA på en annan webbplats för intet ont anande besökare som slutför dem och tror att de går in på en legitim webbplats. Istället används lösningarna i realtid för att komma in på en annan sida olagligt.

Så datavetare har funderat hårt på hur man kan förbättra denna mekanism för att återigen omintetgöra hackare. Idag säger Jeremiah Blocki och kompisar vid Carnegie Mellon University att de har kommit på ett sätt att göra det baserat på bläckmönster.



Det nya tillvägagångssättet är enkelt och förlitar sig på att en användare svarar på ett antal frågor när han eller hon först registrerar sig för att få tillgång till en webbplats. Det börjar med att generera en uppsättning enkla bläckfläcksbilder genom att slumpmässigt placera olika färgade bläckfläckar på en liten del av skärmen.

Som en del av registreringsprocessen ombeds användaren att skriva en kort fras som beskriver var och en av dessa bilder.

När användarna återvänder för att komma åt sidan med ett lösenord, visas de också bläckmönstren och de fastställda fraserna som beskriver dem. Deras uppgift är sedan att allokera rätt fras till varje mönster.



De kallar sitt nya test för ett GOTCHA (Generating panOptic Turing Tests to Tell Computers and Humans Apart).

Blocki och kompisar säger att detta borde förhindra en automatiserad attack. Vi hävdar att motståndaren som vill genomföra en kostnadseffektiv offlineattack måste få konstant feedback från en människa, säger de.

Det beror på att endast en människa konsekvent kan känna igen mönstren och där länka till fraserna som visas - det är åtminstone deras hypotes.



Det är en intressant idé. Den mänskliga förmågan att känna igen mönster överträffar vida allt som datorer kan göra och att matcha detta med användarens tolkning av slumpmässiga mönster är smart. Det finns gott om bevis för att mönsterigenkänning är lättare än att komma ihåg lösenord.

Men det väcker frågan om hur väl människor kommer ihåg sin ursprungliga tolkning av en bläckfläck. Detta kan mycket väl vara starkt beroende av deras sinnestillstånd vid tidpunkten, vilket i sin tur kan påverkas av alla typer av lokala och tillfälliga variabler.

För att testa detta testade Blocki och co idén med Amazons Mechanical Turk. De bjöd in 70 turkare att titta på ett antal bläckmönster och skriva identifierande fraser, och betalade dem $1 för att slutföra uppgiften. Sedan, 10 dagar senare, bad de samma turkare att återassociera sina fraser med bläckfläcksmönstren, igen mot en betalning på 1 USD.



Resultaten är inte helt tröstande. Sjutton av våra deltagare matchade alla tio sina etiketter korrekt, och 69% av deltagarna matchade minst 5 av tio etiketter korrekt, säger de.

Blocki och co säger att uppgifterna indikerar att en betydande del av befolkningen skulle kunna använda GOTCHA. Det betyder också att användningen av vår GOTCHA måste vara frivillig så att användare som har svårt inte blir utelåsta från sina konton, tillägger de fåraktigt.

Det är möjligt att testerna med Turkers inte var representativa för hur vanliga människor skulle använda GOTCHA. Turkarna kan till exempel ha rusat igenom den första fasen av testerna för att lära sig sina pengar snabbare.

Och det kan också vara möjligt att förbättra igenkänningsgraden, kanske genom att låta användare avvisa bilder som de tycker är förvirrande.

Det ser ut att vara en tydlig och nödvändig förbättring om GOTCHA ska bli ett vanligt inslag i internetsäkerhet.

Ref: arxiv.org/abs/1310.1137 : GOTCHA Password Hackers!

Dölj