Một nhóm các nhà nghiên cứu của Đại học Stanford vừa đưa ra những nhược điểm của Captcha - những chuỗi kí tự vô nghĩa và khó đọc, thường được nhiều trang web yêu cầu bạn phải gõ đúng để chứng minh bạn là con người.
Trước tiên cần hiểu “Captcha” nghĩa là gì. Captcha là viết tắt của cụm từ Completely Automated Public Turing test to tell Computers and Humans Apart (Phép thử để phân biệt giữa người và máy). Thuật ngữ này được Luis von Ahn, Manuel Blum, Nicholas Hopper và John Langford thuộc Trường đại học Carnegie Mellon sử dụng lần đầu tiên vào năm 2000.
Captcha là chương trình bảo vệ các trang web không bị các chương trình chuyên gửi thư/nội dung rác bằng cách tạo ra và phân loại các phép thử mà hầu hết mọi người có thể vượt qua nhưng các chương trình máy tính hiện tại thì không. Ví dụ, con người có thể đọc được các kí tự biến dạng nhưng chương trình máy tính hiện tại thì không thể.
Và theo các nhà nghiên cứu thì không phải lúc nào chúng cũng hiệu quả. Cụ thể hơn, họ đã tìm ra phương pháp tiêu chuẩn để giải mã những chuỗi kí tự và số thường được tìm thấy ở các Captcha của những trang web lớn như Ebay, Blizzard và Wikipedia.
Phương pháp giải mã này dựa trên khái niệm về thị giác máy (machine vision), vốn là một công nghệ được phát triển để điều khiển robot. Decaptcha - tên của công cụ được các nhà nghiên cứu phát triển, sử dụng các thuật toán loại bỏ các họa tiết gây nhiễu để xác định các hình cơ bản và các kí tự có thể đọc được.
Elie Bursztein, một trong những nhà nghiên cứu, cho biết: "Hầu hết các Captcha được tạo ra mà không hề qua bất kì thử nghiệm về tính khả dụng nào. Chúng tôi hi vọng rằng công việc của mình sẽ giúp người ta thận trọng hơn trong việc thiết kế các mẫu Captcha".
Chương trình Decaptcha có thể giải mã tới 66% captcha được trang web Visa's Authorize.net sử dụng, 70% captcha của Blizzard, 20% của Digg.com và 25% captcha của Wikipedia. Đặc biệt, hầu hết các captcha của CNN.com đều bị chương trình này giải mã. Nhóm nghiên cứu cho biết, chỉ cần khả năng giải mã trên 1% cũng đã là quá sơ hở để có thể sử dụng.
Trước việc này, đại diện của Blizzard đã nói rằng họ thường sử dụng Captcha nhằm mục đích bảo đảm cho hệ thống của họ. "Chúng ta đều biết rằng về cơ bản thì Captcha không thể hoàn toàn bảo đảm an ninh, nhưng chúng có ích trong một số vấn đề nhất định. Chúng tôi sử dụng Captcha như một mức đầu tiên của hệ thống an ninh, chủ yếu để hạn chế thư rác. Nó chỉ là một trong nhiều công nghệ bảo mật mà chúng tôi sử dụng để bảo đảm an toàn cho hệ thống cơ sở hạ tầng và khách hàng".
Đại diện của eBay và Visa không bình luận gì về vấn đề này.
Việc quan tâm đến tính bảo mật của Captcha là hoàn toàn cần thiết, vì chúng được dùng để chống lại những kẻ sử dụng botnet nhằm mục đích lập tài khoản e-mail hàng loạt, phục vụ cho việc gửi thư rác của bọn chúng. Captcha cũng được sử dụng để hạn chế các bot tự động viết nhận xét trong các cuộc thăm dò trực tuyến.
Chỉ duy nhất Captcha được Google sử dụng có thể vượt qua được cuộc thử nghiệm. Decaptcha đã bó tay trong việc giải mã các Captcha dạng chữ đỏ nghiêng được sử dụng trong Gmail, và dạng chữ mờ được Google mua lại từ Đại học Carnegie Mellon vào năm 2009. Nhóm nghiên cứu không thử nghiệm với Amazon, Yahoo và LinkedIn vì rất khó để làm Captcha của các trang này xuất hiện liên tục.
Bursztein hi vọng sẽ làm cho các nhà phát triển Web nghĩ về Captcha một cách hệ thống hơn, không chỉ là một vấn đề đơn giản được giải quyết mà không qua kiểm duyệt, mà là một vấn đề khoa học máy tính thật sự.
Một báo cáo hồi đầu năm từ 3 nhà nghiên cứu của Đại học Newwcastle, Ahmad Salah-El-Ahmad, Jeff Yan và Mohamad Tayara cho biết họ đã đạt được nhiều thành công hơn trong việc tấn công các Captcha của Google, với 33% Captcha bị giải mã. Nhưng họ chưa thử nghiệm với phiên bản ReCaptcha hiện tại của Google.
Các nhà nghiên cứu cho biết họ sẽ không phát hành Decaptcha ra thị trường.
“Chúng tôi không muốn những kẻ xấu lợi dụng nó để chống lại các công ty. Decaptcha sẽ không được phát hành ra công chúng. Chúng tôi sẽ cung cấp nó cho các công ty muốn thử nghiệm captcha của họ. Mục đích của chúng tôi là làm cho Web trở nên an toàn hơn, chứ không phải là làm hại người sử dụng”.