Guida di sopravvivenza ai Captcha.

Prima di tutto:

Cosa sono i Captcha?

Il Signor Wikipedia ci da una mano: “Con l’acronimo inglese CAPTCHA si denota nell’ambito dell’informatica un test fatto di una o più domande e risposte per determinare se l’utente sia un umano (e non un computer ). L’acronimo deriva dall’inglese “completely automated public Turing test to tell computers and humans apart” (Test di Turing pubblico e completamente automatico per distinguere computer e umani). Il termine è stato coniato, nella terminologia inglese, nel 2000 da Luis von Ahn, Manuel Blum e Nicholas J. Hopper della Università Carnegie Mellon e da John Langford della IBM. Come consueto nella terminologia informatica il termine inglese viene utilizzato anche nella terminologia informatica italiana.”

Per chi non parla l’informatichese 🙂  un test captcha tipicamente utilizzato è quello in cui si richiede ad un utente di scrivere quali siano le lettere o numeri presenti in una sequenza di lettere o numeri che appaiono distorti o offuscati sullo schermo. cioè questi

Captcha_voorbeeld
KCAPTCHA_with_crowded_symbols

Sono l’unico che li trova una gran rottura di maroni? Male necessario diranno alcuni, ma a breve un male inutile, poichè già adesso con 50 € si possono trovare programmi per “crackare” i codici (anzi anche open source!). Vi propongo varie soluzioni alla questione che reputo interessanti.

Qualche idea

( Se avete link & aggiunte dettagli  siete i benvenuti !)

Semplici Domande…

E’ vero questa cosa è già stata fatta, ma con cosi’ poca convinzione che rimango speechless: quanto ci vorrà per un bot scoprire e inserire la risposta a  “4-1=“.
I bot sono veloci ma mancano del riconoscimento generico degli umani. Anche solo per iniziare una domanda contestuale può essere una grossa barriera per gli spammer.
Sono stati fatti vari test sui forum che la semplice domanda “sei umano?” taglia il 95% dei bot. E  il 100% degli alieni che navigano sul vostro sito.
E si possono fare decine di domande:” come si chiama questo sito?” “quante lettere ha questa parola “XRTH?”

Non mi ricordo dove ho visto dei captcha che usavano lettere normali alcune colorate e che semplicemente diceva: “scrivi solo le lettere verdi”.

Non solo testo, ma anche altre immagini

Quante figure rosse ci sono ?
Quante figure rosse ci sono ?

Chi è raffigurato nella figura (Suggerimento)
Chi è raffigurato nella figura (link esterno di Suggerimento)

Perchè il 99% dei siti implementa le stesse variazioni di lettere? Perchè non si mettono figure geometriche o animali o altro? Con davvero poca fatica si possono creare una decina di captcha
Con che velocità crackeranno il vostro sistema? pochi minuti probabilmente.
Sarà probabile che qualcuno commissioni un crack SOLO per le domande al vostro sito ( dato che le domande sono solo vostre?) ? Può essere.
E’ economicamente vantaggioso per lo spammer? Dubito

Esistono già molti software che permettono di farlo: il primo link che ho trovato su google – https://bbantispam.com/

Domanda comparata.

Posso capire che le soluzioni “geometriche” possano essere limitate di numero, posso capire che non tutti sanno che sia L’uomo ragno e non abbiano voglia di cliccare sul link dei suggerimenti. Le risposte poi possono essere molteplici ( nel caso specifico: Uomo Ragno, SpiderMan, Spider-man ….). Quindi perchè non mettere già la risposta nella domanda? Finche non ci saranno bot con intelligenza artificiale da rete neurale

Sono lo stesso animale ?
orso01

sm02

batman ?

E per i daltonici o gli Ipovedenti?

Le captcha “vocali” sono ancora l’unica soluzione? non si potrebbe far sentire un motivetto (il mid di jingle bells per esempio) e chiedere cosa sia? (Domanda innocente, qui manco di dati totlamente.)

Ho un sito cosa si posso fare già da adesso per migliorarne l’usabilità senza dover ribaltare tutti i sistemi?

E’ da Agosto 2009 che Twitter (che non sarà stata la prima, ma è l’esempio più eclatante che ha fatto il “one-time-captcha” (non ho un nome migliore :-). Funziona tutto molto semplicemente: una volta che ho inserito tutti i dati (id, pw, mail, captcha e compagnia danzante) il sistema “registra” quelli buoni e in caso di errori chiede conferma solo di quelli errati. E’ già cosi’ con tutti i campi ma non con le captcha. Male necessario? Addolciamo la pillola almeno.

captcha_twitter_01captcha_twitter_02

Aggiornamenti a Nov 2009

Sembra che io non sia l unico a trovare poco sopportabili i captcha…. su https://www.webdesignbeach.com/beachbar/ajax-fancy-captcha-jquery-plugin

c’è un captcha a media sicurezza che è bello da vedere e comodo da usare !

captcha_ajax

Aggiornamento 2017

Sembra che finalmente Google introdurrà dei captcha inivisibili, simili per funzionamento alla logica degli honey pot… ma funzionanti davvero 🙂

Note: