Get best of the week

CAPTCHA: Bekehrung töten

Bild

CAPTCHA gilt als internationaler Standard zum Schutz vor DDoS-Angriffen, automatischen Registrierungen und Spam. Wir bei Variti haben die Wirksamkeit dieser Lösung analysiert und sind zu dem Schluss gekommen, dass dies ein sehr unpraktisches und ineffektives Mittel zum Schutz vor Bots ist, das sich negativ auf die Conversion auswirkt, und dass Gebiete mit Captcha an sich anfällig für Angriffe sind.

Wir haben uns entschlossen, die Gründe, warum Captcha zugunsten zuverlässigerer und weniger störender Benutzerlösungen entsorgt werden sollte, in Marketing- und technische Lösungen umzuwandeln.

Marketing


Wütend!

Captcha muss sorgfältig geprüft und regelmäßig mehrmals eingeführt werden. Stanfords Studie legt nahe, dass ihre Probanden durchschnittlich 9,8 Sekunden damit verbracht haben, visuelles Captcha zu erkennen und einzuführen, und 28,4 Sekunden für die Audioversion, wobei 50% der Benutzer sich weigerten, es zu lösen. Im Jahr 2018, das Baymard Institut, das verschiedene Studien zum Thema UX führt, geschätzt , dass die Nutzer nicht textbasierte CAPTCHAs in etwa 8% der Fälle lösen. Diese Zahl steigt auf 29%, wenn bei CAPTCHA zwischen Groß- und Kleinschreibung unterschieden wird.

Erstens ist dies immer noch ein Usability-Problem, da diese Funktionalität den Benutzer dazu zwingt, eine unnötige Aktion auszuführen (und plus Captcha ist dies nicht immer angemessen und sieht im Seitendesign gut aus). Dieses Problem tritt besonders deutlich auf, wenn bei falscher Eingabe der Lösung die gesamte Seite neu geladen wird: Wenn der Benutzer beispielsweise lange Zeit einen langen Kommentar eingegeben hat und dann verschwunden ist, wenn die Lösung falsch war. Der Prozentsatz der Wahrscheinlichkeit, dass eine Person von vorne anfängt, ist nicht sehr groß.

Darüber hinaus gibt es bereits mehrere Lösungen für die Erstellung von Captcha auf dem Markt, in denen Anzeigen geschaltet werden (z. B. wird vorgeschlagen, ein Puzzle aus dem Firmenlogo zusammenzusetzen). Dies kann nur den Stimmungsgrad des Benutzers beeinflussen.

Schließlich ist es für Menschen mit eingeschränkter Koordination oder Sehstörungen sehr unpraktisch, und selbst für diejenigen, die keine Farben unterscheiden, da nicht alle Ressourcenbesitzer, die visuelles Captcha implementieren, dem Ton hinzufügen. Darüber hinaus ist Captcha besonders ärgerlich für das „Alter“ -Publikum und für diejenigen, bei denen ein großer Prozentsatz von Menschen mit geringen Computerkenntnissen oder mangelnden Englischkenntnissen anwesend ist.

Beeinträchtigt die Conversion erheblich.

Wie Sie wissen, verschlechtert im Allgemeinen jedes zusätzliche Feld, das auf der Site ausgefüllt werden muss, die Conversion. Hier ist eine interessante Studie, was zeigte, dass die Ablehnung von Captcha zu einer Steigerung der Umwandlung um 3,2% führt. Jede Ressource kann die genauen Daten zur Änderung der Conversion abhängig vom Captcha unabhängig testen, da die Ergebnisse von den Besonderheiten und der Zielgruppe abhängen. Wenn Sie sich dem Problem jedoch unter dem Gesichtspunkt des entgangenen Gewinns nähern, müssen Sie in beiden Fällen die Kosten und die Effektivität berechnen. Ist es viel rentabler, Captcha einzuschließen, als Spam auf andere Weise zu beseitigen? Darüber hinaus sind sie.

CAPTCHAs sind schwieriger geworden

Bild

Im Laufe der Jahre ist CAPTCHA intelligenter geworden, aber Bots sind schneller gewachsen und anspruchsvoller geworden. In den frühen 2000er Jahren reichten einfache Bilder mit Text aus, um die meisten Spam-Bots zu stoppen, aber jedes Jahr müssen die Texte mehr und mehr verzerrt werden, um Zeichenerkennungsprogramme zu überholen. Möglicherweise stellen Sie selbst fest, dass in Captcha, wo Sie mehrere Bilder auswählen müssen, nach mehreren erfolglosen Versuchen zu durchsuchende Objekte ausgeblendet oder verzerrt werden, neue Objektklassen hinzugefügt werden und die Anzahl der Seiten, die übergeben werden müssen, zunimmt. Dementsprechend nimmt mit der Komplikation auch die Anzahl der Ausfälle realer Benutzer zu. Natürlich löst Google seine zusätzlichen Aufgaben mithilfe dieser Algorithmen, um seinen Robotern das Erkennen von Objekten in Bildern beizubringen, und es ist unwahrscheinlich, dass sie abgelehnt werden.aber bis jetzt sieht alles so aus, als ob alles, was das Captcha tut, nicht so kluge Bots und unaufmerksame Leute eliminiert.

Zurück im Jahr 2014, Google entkernte unter sich seinen besten Algorithmus zur Lösung der meist verzerrte Texte und Personen: der Computer korrekt den Text in 99,8% der Fälle erkannt, und die Menschen in nur 33%.

Technisch




Captcha ist leicht zu umgehen Captcha erfüllt seine Hauptfunktion nicht - es entlastet Ressourcenbesitzer nicht von Bots. Es gibt sogar mehr als eine Option für den "Kampf" von Spammern mit Captcha

Erkennungssysteme und neuronale Netze

OCR- Systeme (Optical Character Recognition) arbeiten jetzt sehr genau und erkennen sowohl gedruckten Text als auch Bilder leicht. Die Entscheidung, einen Hintergrund mit „Rauschen“, zusätzliche Farben und Linien hinzuzufügen, um den Text zu verzerren oder zu duplizieren, trägt nicht besonders dazu bei, dies zu verhindern, erschwert jedoch die Passage für eine reale Person.

Mit der Entwicklung von Technologien für maschinelles Lernen und neuronalen Netzen für tiefes Lernen erscheint der weitere Prozess der visuellen Komplikation von Captchas zwecklos. Ein vollständig gefaltetes neuronales Netzwerk, in dem ein Bild eingegeben und ein gewünschtes Bild ausgegeben wird oder mehrere Bilder (Mittelkarten) in den meisten Fällen Text-Captcha erkennen. Captcha wird jedoch auch durch die Auswahl der richtigen Bilder für die Erkennung und Klassifizierung von Objekten gelöst - schließlich ist dies genau das, was das neuronale Netzwerk tut (einschließlich des neuronalen reCAPCHA-Netzwerks von Google). Ja, und einige Bibliotheken, mit denen Sie mit neuronalen Netzen arbeiten können, wurden ebenfalls von Google entwickelt (z. B. Tensorflow ).

Es gibt Hacking-Dienstebei dem die Audioversion von Captcha aufgenommen und transkribiert wird. Mit der erfolgreichen Entwicklung von Spracherkennungssystemen ist dies auch für erfahrene Spammer kein Problem mehr. Es gibt Algorithmen und Skripte, wie zum Beispiel den Kok-Yanger-Kasami-Algorithmus zum Erkennen einer zweidimensionalen Grammatik, die mehr als 50% Captcha erkennen kann. Es gibt andere Möglichkeiten, die Validierung zu umgehen:

  • Zahlengeneratoren und andere Aufzählungssysteme. Wenn zum Beispiel derselbe Satz von 10 Bildern vorhanden ist, die einfach zufällig neu angeordnet werden, und Sie etwas Spezifisches darauf finden müssen, dh nur 1024 mögliche Variationen
  • Zeichenwiederherstellung aus Protokolldaten
  • "Peeping" -Skripte zum Aufrufen von Captcha, z. B. <img scr = "/ captcha.php? Code = 1234" />
  • Wenden Sie die Benutzersitzungskennungen erneut an
  • Schließlich verbinden Spammer die neuesten FineReader-Typerkenner mit ihren selbstlernenden Spam-Bots.

Ein Vermutungsgeschäft.

Es gibt einen ganzen Markt von Dienstleistungen, die Captcha umgehen können, und es ist sehr billig. In dieser Branche sind Tausende von echten Menschen beschäftigt - Einwohner Indiens oder Chinas, die Tests gegen eine geringe Gebühr bestehen. Spezielle Börsen wie Amazon Mechanical Turk bieten den Kauf von Dutzenden entwirrter Captchas für ein paar Cent an, und zahlreiche Dienste senken diesen Preis ständig. Sie erstellen ständig Tausende neuer "sauberer" Konten zu Tausenden, mit denen Spam-Systeme auf Websites am einfachsten und schnellsten überprüft werden können.

Schließlich gibt es Online-Ressourcen mit „interessanten“ Inhalten wie Spielen oder Inhalten für Erwachsene. Bevor Benutzer den nächsten Stapel von Inhalten sehen können, sendet das System eine Backend-Anfrage an Yahoo oder Google. Nehmen Sie das Captcha von dort und schieben Sie es in den Benutzer. Und sobald der Benutzer die Frage beantwortet, sendet der Hacker das enträtselte Captcha an die Zielsite. Es ist nicht schwierig, eine beliebte Website mit beliebten Inhalten zu erstellen, wenn Sie interessante Inhalte aus einer Reihe von "legalen" Portalen analysieren (oder einfach stehlen) (wir stoßen bei unserer Arbeit häufig auf solche "Kopierpasteoren"). Und der Hacker bekommt dadurch ein großes Publikum, das das Captcha anderer Leute enträtselt, ohne es zu ahnen.

Unterscheidet nicht zwischen guten und schlechten Bots

Neben schlechten Bots gibt es gute - dies sind Suchmaschinen- und Browser-Roboter, nützliche Unternehmens-Bots verschiedener Dienste, die Informationen suchen oder veröffentlichen oder einem Benutzer Hilfe bieten, indem sie den technischen Support eines Unternehmens automatisieren oder seine Dienste verkaufen. Laut GlobalDots beträgt der menschliche Datenverkehr derzeit 62,1%, schlechte Bots 20,4% und gute Bots 17,5% (das heißt, es ist nicht so kritisch, hinter den schlechten zurückzubleiben). Leider unterscheidet die CAPTCHA-Methode nicht zwischen guten und schlechten Bots und überspringt nicht alle gleichermaßen, obwohl „gute“ Bots nützlich sein könnten.

Ressource für Angriffe

Die meisten Captchas stammen von Drittanbietern und werden von Google oder Entwicklern von Captcha-Lösungen bereitgestellt. In vielen Fällen werden sie jedoch von demselben Server generiert, auf dem sich die Site befindet, und dies wird dann zu einem anfälligen Ort für Angriffe.

Das Generieren einiger Arten von Captcha ist ein ziemlich ressourcenintensiver Vorgang und geht nicht schnell, da Anforderungen an Bibliotheken von Drittanbietern erforderlich sind und im Allgemeinen mit Bildern gearbeitet wird. Wenn das Caching standardmäßig nicht bereitgestellt oder aus irgendeinem Grund deaktiviert ist, ist dies ein noch größeres Problem. Wenn der Angreifer die Aufgabe festlegt, eine übermäßige Anzahl von Anforderungen für die Captcha-Generierung zu erstellen, hat der Server möglicherweise keine Zeit dafür.

Dieses Problem ist jedoch gelöst:

  1. Sie müssen eine bestimmte Art von Captcha auswählen, die dieses Problem nicht mehr hat.
  2. Platzieren Sie Captcha auf einer separaten Ressource

Die Frage ist nur, ob der Websitebesitzer über die Ressourcen verfügt, um einen Entwickler einzustellen, der dies auf qualitativ hochwertige Weise tut.

Verlangsamt die Website

Bild

Eine leichte Verlangsamung scheint keine große Sache zu sein, aber Sie werden sich irren, wenn Sie nicht darauf achten. Schauen Sie sich diese Studie an : Während ein Fünftel der Vermarkter nicht der Meinung ist, dass die Ladezeit die Conversion-Raten beeinflusst, geben fast 70% der Befragten zu, dass die Seitengeschwindigkeit die Wahrscheinlichkeit eines Kaufs beeinflusst.

Wie kann Captcha die Geschwindigkeit beeinflussen?

  • Die komplexe Bilderzeugung ist eine ziemlich ressourcenintensive Operation, da nicht alle angezeigten Codes verwendet werden. Daher können Captcha-Dienste und zugehörige Protokolle und Cookies die Online-Ressource verlangsamen.
  • , . , . backend .
  • , - API , , .

Das ist alles?

Leider nein. Es gibt noch ein paar Punkte.

Erstens kann Captcha die Logik der Site brechen - insbesondere in Fällen, in denen das Ausfüllen des Formulars mit Captcha endet und der Benutzer nicht immer davor gewarnt wird. Die Option „Captcha nur am Eingang anzeigen“ löst jedoch nicht das Problem des Schutzes vor Spammern, da sich herausstellt, dass sie nach einer einmaligen Passage alles tun können, was sie wollen.

Zweitens denken wir an Suchmaschinen. Wenn Suchmaschinen vom Benutzeragenten "getüncht" werden, ist Captcha ineffizient. Wenn Captcha allen angezeigt wird, scheint es Suchmaschinen zu sein, und die Site hat Probleme mit der Indizierung.

Keine Captcha-Single

Es gibt viele andere Formen des Schutzes, manchmal sogar wirksamer gegen Bots. In einem Frontend kann dies beispielsweise die Mindestzeit zum Ausfüllen eines Formulars sein, die weniger als nur ein Bot ausfüllen kann, oder ein verstecktes Feld (Anzeige: keine), das eine Person nicht sieht, sondern den Bot ausfüllt.

Auf Netzwerkebene kann dies eine Verschleierung oder HTML-Verschlüsselung sein, das Blockieren bestimmter Benutzeragenten und verschiedener Traps von der Seite des Webservers aus: beispielsweise das Erstellen unsichtbarer Abschnitte der Site, in denen nur Roboter fallen und später durch IP gesperrt werden, oder das Filtern anonymer Proxys.

Und schließlich gibt es eine Methode, die wir in Variti anwenden- Dies ist eine vollständige Filterung des Datenverkehrs, die wir als den einzigen vollwertigen Ansatz zum Schutz vor Bots und DDoS-Angriffen betrachten. Wir leiten den gesamten Datenverkehr, der auf die Website oder Anwendung des Kunden gelangt, über unsere Cluster weiter. Speziell abgestimmte und selbstlernende Algorithmen ermitteln und leiten weiteren legitimen Datenverkehr von Live-Benutzern und „guten“ Bots weiter. In diesem Prozess ist auch keine IP-Blockierung erforderlich. In den folgenden Artikeln werden wir jedoch darüber sprechen, warum wir die IP-Blockierungsmethode auch als bösartig betrachten.

More articles:


All Articles