Get best of the week

CAPTCHA: membunuh konversi

gambar

CAPTCHA dianggap sebagai standar internasional untuk perlindungan terhadap serangan DDoS, pendaftaran otomatis, dan spam. Kami di Variti menganalisis keefektifan solusi ini dan sampai pada kesimpulan bahwa ini adalah cara perlindungan yang sangat tidak efektif dan tidak efektif terhadap bot yang memiliki efek buruk pada konversi, dan area-area dengan captcha sendiri rentan terhadap serangan.

Kami memutuskan untuk berbagi alasan mengapa captcha harus dibuang demi solusi pengguna yang lebih andal dan tidak mengganggu, ke dalam pemasaran dan teknis.

Pemasaran


Membuat marah!

Captcha harus diperiksa dengan cermat dan beberapa kali diperkenalkan secara berkala. Studi Stanford menunjukkan bahwa subjek mereka menghabiskan rata-rata 9,8 detik untuk mengenali dan memperkenalkan captcha visual dan 28,4 detik untuk versi audio, dengan 50% pengguna menolak untuk menyelesaikannya. Pada tahun 2018, Baymard Institute, yang melakukan berbagai penelitian tentang topik UX, memperkirakan bahwa pengguna tidak dapat menyelesaikan CAPTCHA berbasis teks di sekitar 8% kasus. Angka ini meningkat menjadi 29% jika CAPTCHA peka huruf besar-kecil.

Pertama-tama, ini masih merupakan masalah kegunaan, karena fungsi ini memaksa pengguna untuk melakukan tindakan yang tidak perlu (dan ditambah captcha, ini tidak selalu sesuai dan terlihat cantik di desain halaman). Masalah ini termanifestasi dengan jelas jika, jika solusi dimasukkan secara tidak benar, seluruh halaman dimuat ulang: misalnya, jika pengguna mengetik komentar panjang untuk waktu yang lama, dan kemudian dia menghilang jika solusi salah. Persentase probabilitas bahwa seseorang akan memulai dari awal tidak terlalu besar.

Selain itu, sudah ada beberapa solusi untuk membuat captcha di pasar yang menempatkan iklan di dalamnya (misalnya, mereka menyarankan untuk menyusun puzzle dari logo perusahaan). Ini tidak bisa tidak mempengaruhi tingkat mood pengguna.

Akhirnya, sangat tidak nyaman bagi orang-orang dengan gangguan koordinasi atau masalah penglihatan, dan bahkan bagi mereka yang tidak membedakan warna, karena tidak semua pemilik sumber daya yang mengimplementasikan captcha visual menambahkan suara ke dalamnya. Plus, captcha sangat menyebalkan bagi audiens "usia" dan di mana ada persentase besar orang dengan tingkat melek komputer yang rendah atau kurang pengetahuan bahasa Inggris.

Buruk mempengaruhi konversi.

Seperti yang Anda tahu, secara umum, setiap bidang tambahan untuk mengisi situs memperburuk konversi. Ini adalah studi yang menarik, yang menunjukkan bahwa penolakan captcha mengarah ke peningkatan konversi sebesar 3,2%. Setiap sumber daya dapat menguji data yang tepat tentang perubahan konversi tergantung pada captcha secara independen, karena hasilnya tergantung pada spesifik dan audiens. Tetapi jika Anda mendekati masalah dari sudut pandang laba yang hilang, maka Anda perlu menghitung biaya dan efektivitas dalam kedua kasus - apakah jauh lebih menguntungkan untuk menyertakan captcha daripada menyingkirkan spam dengan cara lain? Apalagi mereka.

CAPTCHA menjadi lebih sulit

gambar

Selama bertahun-tahun, CAPTCHA telah menjadi lebih pintar, tetapi bot telah mulai tumbuh lebih cepat dan menjadi lebih canggih. Pada awal 2000-an, gambar sederhana dengan teks sudah cukup untuk menghentikan sebagian besar bot spam, tetapi setiap tahun teks harus semakin terdistorsi untuk menyalip program pengenalan karakter. Anda sendiri mungkin memperhatikan bahwa dalam captcha, di mana Anda perlu memilih beberapa gambar, setelah beberapa upaya yang gagal, objek yang dicari tersembunyi atau terdistorsi, kelas objek baru ditambahkan dan jumlah halaman yang perlu dilewati bertambah. Dengan demikian, dengan komplikasi, jumlah kegagalan pengguna nyata juga meningkat. Tentu saja, Google menyelesaikan tugas tambahannya menggunakan algoritme ini untuk mengajari robotnya cara mengenali objek dalam gambar dan tidak mungkin menolaknya,tetapi sejauh ini semuanya tampak seolah-olah semua yang dilakukan captcha adalah menghilangkan bot yang tidak terlalu pintar dan orang-orang yang lalai.

Kembali pada tahun 2014, Google mengadu di antara algoritma yang terbaik untuk menyelesaikan teks dan orang yang paling terdistorsi: komputer dengan benar mengenali teks dalam 99,8% kasus, dan orang-orang hanya 33%.

Teknis




Captcha mudah untuk dilewati Captcha tidak memenuhi fungsi utamanya - Captcha tidak membebaskan pemilik sumber daya bot. Bahkan ada lebih dari satu opsi untuk "pertarungan" spammer dengan captcha.

Sistem pengenalan dan jaringan saraf. Sistem

OCR (pengenalan karakter optik) sekarang bekerja dengan cukup akurat dan mudah mengenali teks dan gambar yang dicetak. Keputusan untuk menambahkan latar belakang "noise", warna dan garis ekstra, untuk mendistorsi atau menggandakan teks tidak secara khusus membantu mencegah hal ini, tetapi mempersulit perikop untuk orang sungguhan.

Dengan perkembangan teknologi pembelajaran mesin dan jaringan saraf pembelajaran yang mendalam, proses selanjutnya dari komplikasi visual captcha terlihat sia-sia. Jaringan saraf convolutional penuh di mana gambar dimasukkan dan gambar yang diinginkan adalah output atau beberapa gambar (peta tengah) mengenali captcha teks dalam banyak kasus. Namun, untuk itu, captcha juga diselesaikan dengan pilihan gambar yang tepat untuk deteksi dan klasifikasi objek - setelah semua, inilah yang dilakukan oleh jaringan saraf (termasuk jaringan saraf yang sangat reCAPCHA dari Google). Ya, dan beberapa perpustakaan yang memungkinkan Anda untuk bekerja dengan jaringan saraf juga dikembangkan oleh Google (misalnya, Tensorflow ).

Ada layanan peretasandi mana versi audio captcha diambil dan ditranskripsikan. Dengan keberhasilan pengembangan sistem pengenalan suara, ini juga tidak lagi menjadi masalah bagi spammer berpengalaman. Ada algoritma dan skrip, seperti, misalnya, algoritma Kok-Yanger-Kasami untuk mengenali tata bahasa dua dimensi, yang dapat mengenali lebih dari 50% captcha. Ada cara lain untuk mem-bypass validasi:

  • Generator nomor dan sistem penghitungan lainnya. Misalnya, jika ada set yang sama dari 10 gambar yang hanya disusun ulang secara acak, dan Anda perlu menemukan sesuatu yang spesifik pada mereka, yaitu, hanya 1024 variasi yang mungkin
  • Pemulihan karakter dari data log
  • Skrip β€œMengintip” untuk memanggil captcha, misalnya, <img scr = "/ captcha.php? Code = 1234" />
  • Terapkan kembali pengidentifikasi sesi pengguna
  • Akhirnya, spammer menghubungkan pengenal tipe FineReader terbaru ke bot spam yang belajar sendiri.

Bisnis menebak.

Ada seluruh pasar layanan yang menawarkan untuk memotong captcha, dan ini sangat murah. Ribuan orang nyata dipekerjakan dalam industri ini - penduduk India atau Cina, yang lulus tes dengan biaya kecil. Pertukaran khusus seperti Amazon Mechanical Turk menawarkan untuk membeli puluhan captcha yang tidak terurai dengan harga beberapa sen, dan berbagai layanan juga terus menurunkan harga ini. Mereka secara konstan membuat ribuan akun "bersih" baru dalam ribuan, yang merupakan cara termudah dan tercepat untuk memeriksa sistem spam di situs.

Akhirnya, ada sumber daya online dengan konten "menarik" seperti game atau konten dewasa. Sebelum pengguna dapat melihat kumpulan konten berikutnya, sistem akan membuat permintaan backend ke Yahoo atau Google, ambil captcha dari sana dan memasukkannya ke pengguna. Dan segera setelah pengguna menjawab pertanyaan, peretas akan mengirim captcha yang tidak terurai ke situs target. Tidaklah sulit membuat situs web populer dengan konten populer jika Anda mem-parsing (atau sekadar mencuri) konten menarik dari sejumlah portal "legal" (kami sering menemukan "copy paste" seperti itu dalam pekerjaan kami). Dan hacker sebagai hasilnya mendapat audiens yang besar yang mengungkap captcha orang lain, tidak curiga.

Tidak membedakan antara bot baik dan buruk

Selain bot buruk, ada yang bagus - ini adalah robot mesin pencari dan browser, bot perusahaan yang berguna dari berbagai layanan yang mencari atau memposting informasi atau menawarkan bantuan kepada pengguna dengan mengotomatisasi dukungan teknis perusahaan atau menjual layanannya. Sebagai contoh, menurut GlobalDots , saat ini, lalu lintas manusia adalah 62,1%, bot buruk 20,4%, dan bot baik 17,5% (yaitu, tertinggal di belakang yang buruk tidak begitu kritis). Sayangnya, metode CAPTCHA tidak membedakan antara bot baik dan buruk, tidak melewatkan semua orang secara merata, meskipun bot "baik" bisa berguna.

Sumberdaya untuk Serangan

Sebagian besar captcha adalah pihak ketiga - disediakan oleh Google atau pengembang solusi captcha yang sama. Tetapi dalam banyak kasus, mereka dihasilkan oleh server yang sama di mana situs tersebut berada, dan kemudian ini menjadi tempat yang rentan untuk serangan.

Pembuatan beberapa jenis captcha adalah operasi yang menghabiskan banyak sumber daya dan tidak berjalan cepat, karena membutuhkan permintaan ke perpustakaan pihak ketiga dan umumnya bekerja dengan gambar. Jika caching secara default tidak disediakan atau dimatikan karena beberapa alasan, ini bahkan lebih sulit. Jika penyerang menetapkan tugas untuk membuat jumlah permintaan yang berlebihan untuk pembuatan captcha, maka server mungkin tidak punya waktu untuk melakukan ini.

Namun, masalah ini terpecahkan:

  1. Anda harus memilih jenis captcha tertentu yang tidak memiliki masalah ini.
  2. Tempatkan captcha pada sumber yang terpisah

Satu-satunya pertanyaan adalah apakah pemilik situs memiliki sumber daya untuk menyewa pengembang yang akan melakukannya secara berkualitas.

Memperlambat situs

gambar

Sedikit perlambatan mungkin tidak tampak seperti masalah besar, tetapi Anda akan salah jika Anda tidak memperhatikannya. Lihatlah studi ini : sementara seperlima pemasar tidak berpikir bahwa waktu pemuatan mempengaruhi tingkat konversi, hampir 70% orang mengakui bahwa kecepatan halaman mempengaruhi kemungkinan pembelian.

Bagaimana captcha dapat memengaruhi kecepatan?

  • Pembuatan gambar yang kompleks adalah operasi yang membutuhkan banyak sumber daya, mengingat tidak semua kode yang ditampilkan digunakan. Oleh karena itu, layanan captcha dan log serta cookie terkait dapat memperlambat sumber daya online.
  • , . , . backend .
  • , - API , , .

Itu semua?

Sayangnya tidak ada. Ada beberapa poin lagi.

Pertama, captcha dapat mematahkan logika situs - terutama dalam kasus di mana mengisi formulir diakhiri dengan captcha, dan pengguna tidak selalu diperingatkan tentang hal ini. Namun, opsi "tampilkan captcha hanya di pintu masuk" tidak menyelesaikan masalah perlindungan terhadap spammer, karena ternyata setelah satu kali mereka dapat melakukan apa pun yang mereka inginkan lebih lanjut.

Kedua, mari kita pikirkan tentang mesin pencari. Jika mesin pencari "dilabur" oleh agen-pengguna, maka captcha tidak efisien. Jika captcha diperlihatkan kepada semua orang, maka sepertinya mesin pencari, dan situs akan memiliki masalah dengan pengindeksan.

Bukan single captcha

Ada banyak bentuk perlindungan lainnya, terkadang bahkan lebih efektif melawan bot. Misalnya, di ujung depan, ini bisa menjadi waktu minimum untuk mengisi formulir, kurang dari yang hanya bisa diisi oleh bot, atau bidang tersembunyi (tampilan: tidak ada) yang tidak akan dilihat orang tetapi isi bot.

Pada tingkat jaringan, ini bisa menjadi kebingungan atau enkripsi HTML, pemblokiran agen-pengguna tertentu dan berbagai jebakan dari sisi server web: misalnya, membuat bagian situs yang tidak terlihat, di mana hanya robot yang jatuh dan kemudian dilarang oleh IP, atau menyaring proxy anonim.

Dan akhirnya, ada metode yang kami terapkan di Variti- Ini adalah penyaringan lalu lintas yang lengkap, yang kami anggap sebagai satu-satunya pendekatan lengkap dalam melindungi terhadap serangan bot dan DDoS. Kami melewati semua lalu lintas yang masuk ke situs web atau aplikasi klien melalui kelompok kami, dan algoritma pembelajaran mandiri yang disesuaikan dan ditentukan menentukan dan meneruskan lalu lintas yang lebih lanjut yang sah dari pengguna langsung dan bot "baik", dan pemblokiran IP juga tidak diperlukan dalam proses ini. Namun, kami akan berbicara tentang mengapa kami juga menganggap metode pemblokiran IP berbahaya pada artikel berikut.

More articles:


All Articles