Get best of the week

CAPTCHA: matando a conversão

imagem

O CAPTCHA é considerado o padrão internacional de proteção contra ataques DDoS, registros automáticos e spam. Na Variti, analisamos a eficácia dessa solução e chegamos à conclusão de que este é um meio de proteção muito inconveniente e ineficaz contra bots que tem um efeito ruim na conversão, e as áreas com captcha são, por si só, vulnerabilidades a ataques.

Decidimos compartilhar as razões pelas quais o captcha deve ser descartado em favor de soluções mais confiáveis ​​e menos irritantes para o usuário, em soluções técnicas e de marketing.

Marketing


Enfurece!

O Captcha deve ser cuidadosamente examinado e introduzido periodicamente várias vezes. O estudo de Stanford sugere que seus sujeitos gastaram uma média de 9,8 segundos para reconhecer e introduzir o captcha visual e 28,4 segundos para a versão em áudio, com 50% dos usuários se recusando a resolvê-lo. Em 2018, o Instituto Baymard, que realiza vários estudos sobre o tópico do UX, estimou que os usuários não podem resolver os CAPTCHAs baseados em texto em cerca de 8% dos casos. Esse número aumenta para 29% se o CAPTCHA faz distinção entre maiúsculas e minúsculas.

Antes de tudo, esse ainda é um problema de usabilidade, pois essa funcionalidade força o usuário a executar uma ação desnecessária (além de um captcha, isso nem sempre é apropriado e fica bonito no design da página). Esse problema é manifestado especialmente claramente se, se a solução for inserida incorretamente, a página inteira for recarregada: por exemplo, se o usuário digitar um comentário longo por um longo período de tempo e desaparecer se a solução estiver incorreta. A porcentagem de probabilidade de uma pessoa começar de novo não é muito grande.

Além disso, já existem várias soluções para criar captcha no mercado que colocam anúncios nele (por exemplo, sugerem montar um quebra-cabeça a partir do logotipo da empresa). Isso não pode deixar de afetar o grau de humor do usuário.

Por fim, é muito inconveniente para pessoas com problemas de coordenação ou visão prejudicadas, e mesmo para quem não distingue cores, porque nem todos os proprietários de recursos que implementam o captcha visual adicionam som a ela. Além disso, o captcha é especialmente irritante para o público “etário” e aquele em que há uma grande porcentagem de pessoas com baixo nível de conhecimento em informática ou falta de conhecimento de inglês.

Afeta mal a conversão.

Como você sabe, em geral, qualquer campo extra a ser preenchido no site piora a conversão. Aqui está um estudo interessante, que mostrou que a rejeição de captcha leva a um aumento na conversão em 3,2%. Cada recurso pode testar os dados exatos da alteração na conversão, dependendo do captcha, independentemente, porque os resultados dependem das especificidades e do público. Mas se você abordar o problema do ponto de vista da perda de lucro, precisará calcular os custos e a eficácia nos dois casos - é muito mais lucrativo incluir o captcha do que livrar-se de spam por outros meios? Além disso, eles são.

CAPTCHAs tornaram-se mais difíceis

imagem

Ao longo dos anos, o CAPTCHA se tornou mais inteligente, mas os bots começaram a crescer mais rapidamente e a se sofisticar. No início dos anos 2000, imagens simples com texto eram suficientes para interromper a maioria dos bots de spam, mas todos os anos os textos precisam ser distorcidos cada vez mais para ultrapassar os programas de reconhecimento de caracteres. Você mesmo pode perceber que, no captcha, onde é necessário selecionar várias imagens, após várias tentativas malsucedidas, os objetos a serem pesquisados ​​ficam ocultos ou distorcidos, novas classes de objetos são adicionadas e o número de páginas que precisam ser passadas aumenta. Consequentemente, com complicações, o número de falhas de usuários reais também aumenta. Obviamente, o Google resolve suas tarefas adicionais usando esses algoritmos para ensinar seus robôs a reconhecer objetos em imagens e é improvável que os recuse,mas até agora tudo parece que tudo o que o captcha faz é eliminar bots não tão inteligentes e pessoas desatentas.

Em 2014, o Google lançou entre si o melhor algoritmo para resolver os textos e as pessoas mais distorcidas: o computador reconheceu o texto corretamente em 99,8% dos casos e as pessoas em apenas 33%.

Técnico




É fácil contornar o Captcha O Captcha não cumpre sua função principal - não alivia os proprietários de recursos de bots. Há ainda mais de uma opção para a "luta" de spammers com captcha.

Sistemas de reconhecimento e redes neurais Os

sistemas OCR (reconhecimento óptico de caracteres) agora funcionam com bastante precisão e facilidade no reconhecimento de texto e imagens impressos. A decisão de adicionar um fundo de “ruído”, cores e linhas extras, distorcer ou duplicar o texto não ajuda a evitar isso, mas complica a passagem para uma pessoa real.

Com o desenvolvimento de tecnologias de aprendizado de máquina e redes neurais de aprendizado profundo, o processo posterior de complicação visual de captchas parece inútil. Uma rede neural totalmente convolucional na qual uma imagem é inserida e uma imagem desejada é produzida ou várias imagens (mapas centrais) reconhecem o captcha de texto na maioria dos casos. No entanto, para isso, o captcha também é resolvido com a escolha das figuras certas para a detecção e classificação de objetos - afinal, é exatamente isso que a rede neural está fazendo (incluindo a própria rede neural reCAPCHA do Google). Sim, e algumas bibliotecas que permitem trabalhar com redes neurais também são desenvolvidas pelo Google (por exemplo, Tensorflow ).

Existem serviços de hackersna qual a versão em áudio do captcha é obtida e transcrita. Com o desenvolvimento bem-sucedido de sistemas de reconhecimento de voz, isso também deixa de ser um problema para spammers experientes. Existem algoritmos e scripts, como, por exemplo, o algoritmo Kok-Yanger-Kasami para reconhecer uma gramática bidimensional, que pode reconhecer mais de 50% de captcha. Existem outras maneiras de ignorar a validação:

  • Geradores de números e outros sistemas de enumeração. Por exemplo, se houver o mesmo conjunto de 10 fotos que são simplesmente reorganizadas aleatoriamente e você precisar encontrar algo específico nelas, ou seja, apenas 1024 variações possíveis
  • Recuperação de caracteres dos dados do log
  • Scripts "espiando" para chamar captcha, por exemplo, <img scr = "/ captcha.php? Code = 1234" />
  • Reaplicar identificadores de sessão do usuário
  • Por fim, os remetentes de spam conectam os mais recentes reconhecedores de tipo FineReader aos seus bots de spam de auto-aprendizado.

Um negócio de adivinhação.Há

um mercado inteiro de serviços que se esquece do captcha e é muito barato. Milhares de pessoas reais estão empregadas nesse setor - residentes da Índia ou da China, que passam nos testes por uma pequena taxa. Trocas especiais como a Amazon Mechanical Turk se oferecem para comprar dezenas de captchas não desembaraçadas por alguns centavos, e vários serviços também constantemente diminuem esse preço. Eles criam constantemente milhares de novas contas "limpas" em milhares, que são as mais fáceis e rápidas de verificar os sistemas de spam nos sites.

Por fim, existem recursos on-line com conteúdo "interessante", como jogos ou conteúdo adulto. Antes que os usuários possam ver o próximo lote de conteúdo, o sistema fará uma solicitação de back-end ao Yahoo ou ao Google, pegará o captcha de lá e o inserirá no usuário. E assim que o usuário responder à pergunta, o hacker enviará o captcha desvendado para o site de destino. Não é difícil criar um site popular com conteúdo popular se você analisar (ou simplesmente roubar) conteúdo interessante de vários portais "legais" (geralmente encontramos "copiadores de cópias" em nosso trabalho). E o hacker, como resultado, recebe uma grande audiência que desvenda o captcha de outras pessoas, sem suspeitar disso.

Não faz distinção entre bons e maus bots

Além dos bots ruins, existem bons - são robôs de mecanismo de busca e navegador, bots corporativos úteis de vários serviços que pesquisam ou postam informações ou oferecem ajuda ao usuário automatizando o suporte técnico de uma empresa ou vendendo seus serviços. Por exemplo, de acordo com a GlobalDots , no momento, o tráfego humano é de 62,1%, os bots ruins são 20,4% e os bons bots 17,5% (ou seja, ficar atrás dos ruins não é tão crítico). Infelizmente, o método CAPTCHA não distingue entre bons e maus bots, não ignorando todos igualmente, embora bots "bons" possam ser úteis.

Recurso para ataques

A maioria dos captchas são de terceiros - fornecidos pelo mesmo Google ou desenvolvedores de soluções captcha. Mas, em muitos casos, eles são gerados pelo mesmo servidor em que o site está localizado, e isso se torna um local vulnerável a ataques.

A geração de alguns tipos de captcha é uma operação bastante consumidora de recursos e não é rápida, pois requer solicitações para bibliotecas de terceiros e geralmente trabalha com imagens. Se o cache por padrão não é fornecido ou está desativado por algum motivo, isso é ainda mais complicado. Se o invasor definir a tarefa de criar um número excessivo de solicitações para geração de captcha, o servidor poderá não ter tempo para fazer isso.

No entanto, esse problema foi resolvido:

  1. Você precisa escolher um certo tipo de captcha que não tenha esse problema.
  2. Coloque o captcha em um recurso separado

A única questão é se o proprietário do site tem os recursos para contratar um desenvolvedor que o fará de maneira qualitativa.

Retarda o site

imagem

Uma ligeira desaceleração pode não parecer grande coisa, mas você estará errado se não prestar atenção. Veja este estudo : embora um quinto dos profissionais de marketing não ache que o tempo de carregamento afeta as taxas de conversão, quase 70% das pessoas admitem que a velocidade da página afeta a probabilidade de uma compra.

Como o captcha pode afetar a velocidade?

  • A geração de imagens complexas é uma operação que consome muitos recursos, pois nem todos os códigos mostrados são usados. Portanto, os serviços captcha e logs e cookies relacionados podem reduzir a velocidade do recurso online.
  • , . , . backend .
  • , - API , , .

É tudo?

Infelizmente não. Existem mais alguns pontos.

Em primeiro lugar, o captcha pode quebrar a lógica do site - especialmente nos casos em que o preenchimento do formulário termina com o captcha, e o usuário nem sempre é avisado sobre isso. No entanto, a opção “mostrar captcha apenas na entrada” não resolve o problema de proteção contra spammers, porque acontece que, após uma passagem única, eles podem fazer o que quiserem mais.

Em segundo lugar, vamos pensar nos motores de busca. Se os mecanismos de pesquisa "caírem" por agente do usuário, o captcha será ineficiente. Se o captcha for mostrado a todos, os mecanismos de pesquisa poderão parecer e o site terá problemas com a indexação.

Não é um captcha único

Existem muitas outras formas de proteção, às vezes ainda mais eficazes contra bots. Por exemplo, em um front end, esse pode ser o tempo mínimo para o preenchimento de um formulário, menos do que apenas um bot pode preencher ou um campo oculto (exibição: nenhum) que uma pessoa não verá, mas preencherá o bot.

No nível da rede, isso pode ser ofuscação ou criptografia HTML, bloqueio de certos user-agents e várias traps do lado do servidor da web: por exemplo, criando seções invisíveis do site, onde apenas robôs caem e são banidos posteriormente por IP ou filtram proxies anônimos.

E, finalmente, existe um método que aplicamos em Variti- Essa é uma filtragem completa do tráfego, que consideramos a única abordagem completa na proteção contra bots e ataques DDoS. Passamos todo o tráfego que vai para o site ou aplicativo do cliente através de nossos clusters, e algoritmos especialmente ajustados e de auto-aprendizado determinam e transmitem mais tráfego legítimo de usuários ativos e "bons" bots, e o bloqueio de IP também não é necessário nesse processo. No entanto, falaremos sobre por que também consideramos o método de bloqueio de IP malicioso nos seguintes artigos.

More articles:


All Articles