Прочёл новость, как Google взломал Google.
Google reCAPTCHA показывает пользователям на сайтах сложные картинки, отсекает людей от ботов. Одна из фич reCAPTCHA – поддержка плоховидящих, вместо разгадывания визуальных загадок можно расшифровывать аудио. И вот некий энтузиаст напустил на эту аудиоверсию Google-вый же API по расшифровке тестов и получил 97% точности автоматического прохождения. Результат великолепный. Я – человек, а не API, но лично мне до этих 97% как до Луны, я гораздо чаще, чем в 3% случаев на капчах ошибаюсь.
Конкретно эта дырка – чистая демонстрация, настоящим ботоводам она по техническим характеристикам не подходит. Но понятно, что проверкам человечности через сложные картинки приходит конец. Компьютеры их уже гораздо лучше людей разгадывают, просто не все “хакеры” этим пользоваться умеют. Ещё через пять лет каждый вчерашний студент сможет нужную библиотеку подключить. И всё. Технология капчи умрет.
Однако ж от ботов защищаться как-то надо будет, очень многие сайты хотят иметь дело только с людьми и не отвечать роботам.
Что можно придумать? Вопросы и задачи вместо кривых букв: “введите отчество президента России”. Собственно, reCAPTCHA уже давно просит “картинки с автобусами” показать. ИИ научится это разгадывать, тут и говорить не о чем.
Кажется, что единственный возможный ответ белых шляп – идентификация по чему-то внешнему. “Подтвердите почтовый адрес, введите код из sms или из WhatsApp”. Потом “человечность” браузера сохраняется в куке и, пока их не почистить, интернет работает нормально – reCAPTCHA тоже далеко не всегда показывается. Экономика сойдется – сейчас капчи для крупных сервисов стоят по доллару за тысячу вызовов, отправка кодов через WhatsApp стоит всего раз в десять дороже, но код мы отправляем один раз, а капча благодаря нему работает месяцами.
Для конечного пользователя такой подход, возможно, даже и удобнее – деанонимизация это минус, но и угадывать бесконечные картинки – тоже неприятно, непонятно, что хуже. Так что, что будет с конверсией, предсказывать не возьмусь. Большая проблема потенциального нового сервиса – холодный старт. Пока сайтов с новой капчей мало, пользователь редко пользуется тем, что он уже доверенный. Доля вводов кода относительно автоматической авторизации высока – это и дорого, и неудобно. Но как-то преодолеть можно.
В общем, дарю идею. Если запускаться – то в ближайшие год-два, дальше будет поздно.
P.S.: Может быть, я чего-то не вижу, и мысль идиотская. Не удивлюсь, если так.
#мысли
Google reCAPTCHA показывает пользователям на сайтах сложные картинки, отсекает людей от ботов. Одна из фич reCAPTCHA – поддержка плоховидящих, вместо разгадывания визуальных загадок можно расшифровывать аудио. И вот некий энтузиаст напустил на эту аудиоверсию Google-вый же API по расшифровке тестов и получил 97% точности автоматического прохождения. Результат великолепный. Я – человек, а не API, но лично мне до этих 97% как до Луны, я гораздо чаще, чем в 3% случаев на капчах ошибаюсь.
Конкретно эта дырка – чистая демонстрация, настоящим ботоводам она по техническим характеристикам не подходит. Но понятно, что проверкам человечности через сложные картинки приходит конец. Компьютеры их уже гораздо лучше людей разгадывают, просто не все “хакеры” этим пользоваться умеют. Ещё через пять лет каждый вчерашний студент сможет нужную библиотеку подключить. И всё. Технология капчи умрет.
Однако ж от ботов защищаться как-то надо будет, очень многие сайты хотят иметь дело только с людьми и не отвечать роботам.
Что можно придумать? Вопросы и задачи вместо кривых букв: “введите отчество президента России”. Собственно, reCAPTCHA уже давно просит “картинки с автобусами” показать. ИИ научится это разгадывать, тут и говорить не о чем.
Кажется, что единственный возможный ответ белых шляп – идентификация по чему-то внешнему. “Подтвердите почтовый адрес, введите код из sms или из WhatsApp”. Потом “человечность” браузера сохраняется в куке и, пока их не почистить, интернет работает нормально – reCAPTCHA тоже далеко не всегда показывается. Экономика сойдется – сейчас капчи для крупных сервисов стоят по доллару за тысячу вызовов, отправка кодов через WhatsApp стоит всего раз в десять дороже, но код мы отправляем один раз, а капча благодаря нему работает месяцами.
Для конечного пользователя такой подход, возможно, даже и удобнее – деанонимизация это минус, но и угадывать бесконечные картинки – тоже неприятно, непонятно, что хуже. Так что, что будет с конверсией, предсказывать не возьмусь. Большая проблема потенциального нового сервиса – холодный старт. Пока сайтов с новой капчей мало, пользователь редко пользуется тем, что он уже доверенный. Доля вводов кода относительно автоматической авторизации высока – это и дорого, и неудобно. Но как-то преодолеть можно.
В общем, дарю идею. Если запускаться – то в ближайшие год-два, дальше будет поздно.
P.S.: Может быть, я чего-то не вижу, и мысль идиотская. Не удивлюсь, если так.
#мысли