Get best of the week

CAPTCHA: matando la conversión

imagen

CAPTCHA se considera el estándar internacional para la protección contra ataques DDoS, registros automáticos y spam. En Variti, analizamos la efectividad de esta solución y llegamos a la conclusión de que esta es una herramienta de protección de bot muy inconveniente e ineficaz que tiene un efecto negativo en la conversión, y las áreas con captcha son vulnerabilidades a los ataques.

Decidimos compartir las razones por las cuales el captcha debe desecharse en favor de soluciones de usuario más confiables y menos molestas, en soluciones de marketing y técnicas.

Márketing


Enfurece!

Captcha debe ser examinado cuidadosamente e introducido periódicamente varias veces. El estudio de Stanford sugiere que sus sujetos pasaron un promedio de 9.8 segundos para reconocer e introducir captcha visual y 28.4 segundos para la versión de audio, con un 50% de usuarios que se negaron a resolverlo. En 2018, el Instituto Baymard, que realiza varios estudios sobre el tema de la experiencia de usuario , estimó que los usuarios no pueden resolver CAPTCHA basados ​​en texto en aproximadamente el 8% de los casos. Esta cifra aumenta al 29% si el CAPTCHA distingue entre mayúsculas y minúsculas.

En primer lugar, esto sigue siendo un problema de usabilidad, ya que esta funcionalidad obliga al usuario a realizar una acción innecesaria (y además de un captcha, esto no siempre es apropiado y se ve hermoso en el diseño de la página). Este problema se manifiesta especialmente claramente si, si la solución se ingresa incorrectamente, la página completa se recarga: por ejemplo, si el usuario escribió un comentario largo durante mucho tiempo, y luego desapareció si la solución era incorrecta. El porcentaje de probabilidad de que una persona comience de nuevo no es muy grande.

Además, ya existen varias soluciones para crear captcha en el mercado que colocan anuncios en él (por ejemplo, sugieren armar un rompecabezas del logotipo de la compañía). Esto no puede sino afectar el grado de ánimo del usuario.

Finalmente, es muy inconveniente para las personas con problemas de coordinación o visión, e incluso para aquellos que no distinguen los colores, porque no todos los propietarios de recursos que implementan captcha visual le agregan sonido. Además, el captcha es especialmente molesto para el público de "edad" y en el que hay un gran porcentaje de personas con un bajo nivel de alfabetización informática o falta de conocimiento del inglés.

Afecta gravemente la conversión.

Como ya sabe, en general, cualquier campo adicional para completar en el sitio empeora la conversión. Aquí hay un estudio interesante., lo que demostró que el rechazo del captcha conduce a un aumento de la conversión en un 3,2%. Cada recurso puede probar los datos exactos sobre el cambio en la conversión dependiendo del captcha de forma independiente, porque los resultados dependen de los detalles y la audiencia. Pero si aborda el problema desde el punto de vista de la pérdida de ganancias, entonces necesita calcular los costos y la efectividad en ambos casos: ¿es mucho más rentable incluir captcha que eliminar el spam por otros medios? Por otra parte, lo son.

CAPTCHA se han vuelto más difíciles

imagen

Con los años, CAPTCHA se ha vuelto más inteligente, pero los bots han comenzado a crecer más rápidamente y a volverse más sofisticados. A principios de la década de 2000, las imágenes simples con texto eran suficientes para detener la mayoría de los bots de spam, pero cada año los textos deben distorsionarse cada vez más para superar los programas de reconocimiento de caracteres. Usted mismo puede notar que en captcha, donde necesita seleccionar varias imágenes, después de varios intentos fallidos, los objetos para buscar están ocultos o distorsionados, se agregan nuevas clases de objetos y aumenta el número de páginas que deben pasarse. En consecuencia, con la complicación, también aumenta el número de fallas de usuarios reales. Por supuesto, Google resuelve sus tareas adicionales utilizando estos algoritmos para enseñar a sus robots cómo reconocer objetos en imágenes y es poco probable que los rechace,pero hasta ahora todo parece que todo lo que hace el captcha es eliminar bots no tan inteligentes y personas desatentas.

En 2014, Google enfrentó entre sí su mejor algoritmo para resolver los textos y las personas más distorsionados: la computadora reconoció correctamente el texto en el 99.8% de los casos y las personas en solo el 33%.

Técnico




Captcha es fácil de recorrer Captcha no cumple su función principal: no alivia a los propietarios de recursos de bots. Incluso hay más de una opción para la "lucha" de los spammers con captcha.

Sistemas de reconocimiento y redes neuronales Los sistemas

OCR (reconocimiento óptico de caracteres) ahora funcionan con bastante precisión y reconocen fácilmente tanto el texto impreso como las imágenes. La decisión de agregar un fondo de "ruido", color y líneas adicionales, para distorsionar o duplicar el texto no ayuda particularmente a prevenir esto, pero complica el paso para una persona real.

Con el desarrollo de tecnologías de aprendizaje automático y redes neuronales de aprendizaje profundo, el proceso posterior de complicación visual de los captchas parece inútil. Una red neuronal convolucional completa en la que se ingresa una imagen y se emite una imagen deseada o varias imágenes (mapas centrales) reconocen captcha de texto en la mayoría de los casos. Sin embargo, para ello, captcha también se resuelve con la elección de las imágenes correctas para la detección y clasificación de objetos; después de todo, esto es exactamente lo que está haciendo la red neuronal (incluida la red neuronal muy reCAPCHA de Google). Sí, y algunas bibliotecas que le permiten trabajar con redes neuronales también son desarrolladas por Google (por ejemplo, Tensorflow ).

Hay servicios de pirateríaen el cual se toma y transcribe la versión de audio de captcha. Con el desarrollo exitoso de los sistemas de reconocimiento de voz, esto también deja de ser un problema para los spammers experimentados. Existen algoritmos y scripts, como, por ejemplo, el algoritmo Kok-Yanger-Kasami para reconocer una gramática bidimensional, que puede reconocer más del 50% de captcha. Hay otras formas de evitar la validación:

  • Generadores de números y otros sistemas de enumeración. Por ejemplo, si hay el mismo conjunto de 10 imágenes que simplemente se reorganizan al azar, y necesita encontrar algo específico en ellas, es decir, solo 1024 posibles variaciones
  • Recuperación de caracteres de datos de registro
  • Secuencias de comandos "Peeping" para llamar a captcha, por ejemplo, <img scr = "/ captcha.php? Code = 1234" />
  • Vuelva a aplicar identificadores de sesión de usuario
  • Finalmente, los spammers conectan los últimos reconocedores de tipo FineReader a sus robots de spam de autoaprendizaje.

Un negocio de adivinanzas:

hay todo un mercado de servicios que ofrecen evitar el captcha, y es muy barato. Miles de personas reales están empleadas en esta industria, residentes de India o China, que pasan las pruebas por una pequeña tarifa. Los intercambios especiales, como Amazon Mechanical Turk, ofrecen comprar docenas de captchas sin descifrar por unos pocos centavos, y numerosos servicios también reducen constantemente este precio. Crean constantemente miles de nuevas cuentas "limpias" en miles, que son las más fáciles y rápidas para verificar los sistemas de spam en los sitios.

Finalmente, hay recursos en línea con contenido "interesante" como juegos o contenido para adultos. Antes de que los usuarios puedan ver el próximo lote de contenido, el sistema realizará una solicitud de backend a Yahoo o Google, tomará el captcha desde allí y lo deslizará al usuario. Y tan pronto como el usuario responda la pregunta, el hacker enviará el captcha desenredado al sitio de destino. No es difícil crear un sitio web popular con contenido popular si analiza (o simplemente roba) contenido interesante de una serie de portales "legales" (a menudo nos encontramos con tales "copiadores" en nuestro trabajo). Y, como resultado, el hacker obtiene una gran audiencia que desentraña el captcha de otras personas, sin sospecharlo.

No distingue entre bots buenos y malos

Además de los bots defectuosos, hay otros buenos: estos son robots de motores de búsqueda y navegadores, bots corporativos útiles de varios servicios que buscan o publican información u ofrecen ayuda a un usuario al automatizar el soporte técnico de una empresa o vender sus servicios. Por ejemplo, según GlobalDots , actualmente el tráfico humano es del 62.1%, los bots defectuosos del 20.4% y los bots buenos del 17.5% (es decir, quedarse atrás de los malos no es tan crítico). Desafortunadamente, el método CAPTCHA no distingue entre bots buenos y malos, no omite a todos por igual, aunque los bots "buenos" podrían ser útiles.

Recurso para los ataques

La mayoría de los captchas son de terceros, proporcionados por el mismo Google o desarrolladores de soluciones de captcha. Pero en muchos casos, son generados por el mismo servidor en el que se encuentra el sitio, y luego se convierte en un lugar vulnerable para los ataques.

La generación de algunos tipos de captcha es una operación que consume bastante recursos y no es rápida, ya que requiere solicitudes a bibliotecas de terceros y generalmente funciona con imágenes. Si el almacenamiento en caché por defecto no se proporciona o se desactiva por alguna razón, esto es aún más problema. Si el atacante establece la tarea para crear un número excesivo de solicitudes para la generación de captcha, entonces el servidor puede no tener tiempo para hacerlo.

Sin embargo, este problema está resuelto:

  1. Debe elegir un cierto tipo de captcha que esté privado de este problema.
  2. Coloque captcha en un recurso separado

La única pregunta es si el propietario del sitio tiene los recursos para contratar a un desarrollador que lo haga de manera de calidad.

Ralentiza el sitio

imagen

Una ligera desaceleración puede no parecer un gran problema, pero se equivocará si no le presta atención. Mire este estudio : mientras que una quinta parte de los vendedores no creen que el tiempo de carga afecte las tasas de conversión, casi el 70% de las personas admiten que la velocidad de la página afecta la probabilidad de una compra.

¿Cómo puede el captcha afectar la velocidad?

  • La generación de imágenes complejas es una operación que requiere muchos recursos, dado que no se utilizan todos los códigos mostrados. Por lo tanto, los servicios de captcha y los registros y cookies relacionados pueden ralentizar el recurso en línea.
  • , . , . backend .
  • , - API , , .

Es todo?

Lamentablemente no. Hay algunos puntos más.

En primer lugar, captcha puede romper la lógica del sitio, especialmente en los casos en que completar el formulario termina con captcha, y el usuario no siempre está advertido sobre esto. Sin embargo, la opción "mostrar captcha solo en la entrada" no resuelve el problema de la protección contra los spammers, porque resulta que después de un pasaje único pueden hacer lo que quieran.

En segundo lugar, pensemos en los motores de búsqueda. Si los motores de búsqueda "blanquean" por agente de usuario, entonces captcha es ineficiente. Si se muestra captcha a todos, puede parecer a los motores de búsqueda, y el sitio tendrá problemas con la indexación.

Ni un solo captcha

Existen muchas otras formas de protección, a veces incluso más efectivas contra los bots. Por ejemplo, en un front end, este puede ser el tiempo mínimo para completar un formulario, menos de lo que solo un bot puede completar, o un campo oculto (pantalla: ninguno) que una persona no verá pero llene el bot.

A nivel de red, esto puede ser ofuscación o encriptación HTML, bloqueo de ciertos agentes de usuario y varias trampas desde el lado del servidor web: por ejemplo, crear secciones invisibles del sitio, donde solo los robots caen y luego están prohibidos por IP, o filtrar proxies anónimos.

Y finalmente, hay un método que aplicamos en Variti- Este es un filtrado completo del tráfico, que consideramos que es el único enfoque completo en la protección contra bots y ataques DDoS. Pasamos todo el tráfico que va al sitio web o la aplicación del cliente a través de nuestros clústeres, y los algoritmos especialmente ajustados y de autoaprendizaje determinan y pasan más tráfico legítimo de usuarios en vivo y bots "buenos", y el bloqueo de IP tampoco es necesario en este proceso. Sin embargo, hablaremos sobre por qué también consideramos que el método de bloqueo de IP es malicioso en los siguientes artículos.

More articles:


All Articles