يُشير الاختصار CAPTCHA إلى "اختبار تورينج العام المؤتمت بالكامل* للتمييز بين أجهزة الكمبيوتر والبشر". وهو يُشير إلى طرق المصادقة المختلفة التي تتحقق من أن المستخدمين بشر، وليسوا روبوتات، من خلال تقديم تحدٍ بسيط للبشر ولكنه صعب على الأجهزة.
تمنع اختبارات CAPTCHA المحتالين ومرسلي البريد العشوائي من استخدام الروبوتات لإكمال نماذج الويب لأغراض خبيثة.
تتطلب اختبارات CAPTCHA التقليدية من المستخدمين قراءة نص مشوَّه وإعادة كتابته بشكل صحيح لا يمكن تفسيره عن طريق تقنية التعرُّف البصري على الحروف (OCR). وتستخدم الإصدارات الأحدث لتقنية CAPTCHA التحليلات السلوكية والمخاطر المدعومة بالذكاء الاصطناعي للتحقق من هوية المستخدمين البشريين استنادًا إلى أنماط النشاط بدلًا من مهمة واحدة.
تستلزم العديد من المواقع الإلكترونية إكمال المستخدمين لاختبار CAPTCHA قبل التسجيل في ملف تعريف الحساب، أو إرسال نموذج تسجيل، أو نشر تعليق، أو تنفيذ بعض الإجراءات الأخرى التي قد يستخدم المخترقون روبوتات لتنفيذها. ومن خلال اجتياز الاختبار، يؤكد المستخدمون أنهم بشر، ومن ثمَّ يُسمح لهم بمواصلة نشاطهم على الموقع الإلكتروني.
* يعمل اختبار تورينج، الذي سُمي باسم مبتكره آلان تورينج، على اختبار قدرة الجهاز على إظهار الذكاء البشري.
احصل على رؤى للاستعداد والاستجابة للهجمات الإلكترونية بسرعة وفاعلية أكبر باستخدام مؤشر IBM Security X-Force Threat Intelligence.
طورت عدة مجموعات مختلفة الأشكال الأولى لتقنية CAPTCHA بشكل متوازٍ خلال أواخر التسعينيات وأوائل الألفية الثانية. وعملت كل مجموعة على مكافحة مشكلة المتسللين الذين يستخدمون الروبوتات في أنشطة إجرامية على الإنترنت. على سبيل المثال، أراد علماء الحاسوب الذين يعملون لدى محرك البحث AltaVista منع الروبوتات من إضافة عناوين الويب الضارة إلى قاعدة بيانات الروابط الخاصة بالشركة.
قدم الباحثون في شركة Sanctum لتقنية المعلومات أول نظام على غرار CAPTCHA في عام 1997. ومع ذلك، قدم مجموعة من الباحثين في علوم الحاسوب في جامعة كارنيجي ميلون بقيادة لويس فون آن ومانويل بلوم مصطلح CAPTCHA للمرّة الأولى في عام 2003. وقد استلهم هذا الفريق العمل على هذه التقنية من أحد المديرين التنفيذيين في Yahoo الذي تحدث في خطاب له عن مشكلات الشركة مع روبوتات البريد العشوائي الذين يسجلون ملايين من حسابات البريد الإلكتروني المزيفة.
لحل مشكلة Yahoo، ابتكر فون آن وبلوم برنامج حاسب يمكنه فعل الآتي:
ولأن تقنية التعرُّف البصري على الحروف (OCR) كانت تجد صعوبة في فك شفرة مثل هذا النص المشوه في هذه الفترة، لم تتمكن الروبوتات من اجتياز اختبار CAPTCHA. وعند إدخال المستخدم السلسلة الصحيحة من الأحرف، يمكن التأكد من كونه إنسانًا بدرجة كبيرة، ومن ثمَّ السماح له باستكمال عملية تسجيل الحساب أو إرسال نموذج الويب.
طبّقت Yahoo تقنية كارنيجي ميلون التي تتطلب من جميع المستخدمين اجتياز اختبار CAPTCHA قبل تسجيل عنوان بريد إلكتروني. وقد أدى ذلك إلى الحد بشكل كبير من نشاط روبوتات البريد العشوائي، وشرعت شركات أخرى في اعتماد اختبارات CAPTCHA لحماية نماذج الويب الخاصة بها. ومع ذلك، استخدم المتسللون بمرور الوقت بيانات من اختبارات CAPTCHA المكتملة لتطوير خوارزميات قادرة على اجتياز اختبارات CAPTCHA بشكل موثوق به. وقد شكل هذا بداية سباق تسلح مستمر بين مطوري CAPTCHA ومجرمي الإنترنت، ما أدى إلى تطوير وظائف CAPTCHA.
الإصدار الأول من reCAPTCHA
تم إطلاق الإصدار الأول من reCAPTCHA من قِبل فون آن في عام 2007، وكان لها هدف مزدوج: رفع مستوى صعوبة تحدي CAPTCHA النصي بحيث لا يمكن للروبوتات تجاوزه، وتحسين دقة التعرُّف البصري على الحروف (OCR) المستخدمة في ذلك الوقت لتحويل النصوص المطبوعة إلى رقمية.
حققت reCAPTCHA الهدف الأول من خلال زيادة تشويه النص المعروض للمستخدم، وفي النهاية إضافة خطوط خلال النص.
وحققت الهدف الثاني من خلال استبدال صورة واحدة لنص مشوّه تم إنشاؤه عشوائيًا بصورتين مشوّهتين لكلمات ممسوحة ضوئيًا من نصوص فعلية بواسطة برنامجين مختلفين للتعرُّف البصري على الأحرف. كانت الكلمة الأولى، أو كلمة التحكم، كلمة تم تحديدها بشكل صحيح عن طريق برنامجين للتعرُّف البصري على الحروف (OCR). ولكن فشل كِلا برنامجَي التعرُّف البصري على الحروف في التعرُّف على الكلمة الثانية. إذا حدد المستخدم كلمة التحكم بشكل صحيح، فإن reCAPTCHA تفترض أن المستخدم إنسان وتسمح له بمواصلة مهمته، كما تفترض أيضًا أن المستخدم حدد الكلمة الثانية بشكل صحيح، وتستخدم الاستجابة للتحقق من النتائج المستقبلية لبرنامج التعرُّف البصري على الحروف.
وبهذه الطريقة، حسّنت reCAPTCHA من أمان مكافحة الروبوتات وحسّنت دقة النصوص التي تتم رقمنتها في مؤسسة إنترنت أركايف ونيويورك تايمز. ومن المفارقات أنه مع مرور الوقت ساعدت أيضًا على تحسين خوارزميات الذكاء الاصطناعي والتعلم الآلي إلى الحد الذي جعلها، بحلول عام 2014، قادرة على تحديد أكثر اختبارات CAPTCHA النصية تشوهًا بنسبة 99.8% من الوقت.
في عام 2009، استحوذت Google على تقنية reCAPTCHA وبدأت في استخدامها لرقمنة النصوص لكتب Google وتقديمها كخدمة لمؤسسات أخرى. ومع ذلك، مع تقدم تقنية التعرُّف البصري على الحروف بمساعدة برنامج reCAPTCHA، تطورت برامج الذكاء الاصطناعي التي يمكنها حلّ اختبارات reCAPTCHA القائمة على النصوص بفاعلية. واستجابةً لذلك، قدّمت شركة Google في عام 2012 ميزة التعرُّف على الصور (reCAPTCHAs) والتي استبدلت النص المشوّه بصور مأخوذة من Google Street View. أثبت المستخدمون إنسانيتهم من خلال التعرُّف على أشياء من العالم الحقيقي مثل أضواء الشوارع وسيارات الأجرة. وبالإضافة إلى تفادي استخدام تقنية التعرُّف البصري على الحروف المتقدمة التي تستخدمها الروبوتات الآن، كان نظام reCAPTCHA القائم على الصور أكثر ملاءمة لمستخدمي تطبيق الأجهزة المحمولة.
الإصدار الثاني من reCAPTCHA من Google: نظام No CAPTCHA reCAPTCHA
في عام 2014، أصدرت Google الإصدار الثاني من reCAPTCHA، والذي استبدل التحديات القائمة على النصوص والصور بخانة اختيار بسيطة تنص على "أنا لست روبوتًا". وعندما يقوم المستخدمون بوضع علامة في المربع، يقوم الإصدار الثاني من reCAPTCHA بتحليل تفاعلات المستخدم مع صفحات الويب، وتقييم عوامل مثل سرعة الكتابة وملفات تعريف الارتباط وسجل الجهاز وعنوان IP لتحديد إذا ما كان المستخدم إنسانًا على الأرجح. ويُعَد مربع الاختيار أيضًا جزءًا من طريقة عمل CAPTCHA: حيث يتتبع نظام No CAPTCHA reCAPTCHA حركات الماوس الخاصة بالمستخدم خلال تحديد المربع. وتكون حركات الإنسان أكثر فوضوية في العادة، بينما تكون حركات الروبوتات أكثر دقة. وإذا اشتبه No CAPTCHA reCAPTCHA أن المستخدم قد يكون روبوتًا، فإنه يقدم له تحدي CAPTCHA يعتمد على صورة.
الإصدار الثالث من reCAPTCHA
لا يحتوي الإصدار الثالث من reCAPTCHA، الذي ظهر في عام 2018 للمرّة الأولى، على مربع الاختيار ويتوسع في إجراء تحليل مخاطر مستند إلى الذكاء الاصطناعي الذي يقدمه نظام No CAPTCHA reCAPTCHA. ويتكامل الإصدار الثالث من reCAPTCHA مع صفحة الويب من خلال واجهة برمجة تطبيقات JavaScript ويعمل في الخلفية، ويسجل سلوك المستخدم على مقياس من 0.0 (من المحتمل أن يكون روبوتًا) إلى 1.0 (من المحتمل أن يكون إنسانًا). يستطيع أصحاب المواقع الإلكترونية تعيين إجراءات تلقائية لتشغيلها في لحظات معينة عندما تُشير درجة المستخدم إلى أنه قد يكون روبوتًا. على سبيل المثال، ربما يتم إرسال تعليقات المدونة من المستخدمين ذوي الدرجات المنخفضة إلى قائمة انتظار الإشراف عند النقر فوق "إرسال"، وقد يُطلب من المستخدمين ذوي الدرجات المنخفضة إكمال عملية مصادقة متعددة العوامل عند محاولة تسجيل الدخول إلى حساب.
تسعى أساليب المصادقة المستندة إلى الذكاء الاصطناعي مثل الإصدار الثالث من reCAPTCHA إلى تجنب مشكلة المتسللين. ومن خلال إزالة التحديات التفاعلية من عملية تحقق CAPTCHA، يستطيع النظام منع المتسللين من استخدام البيانات من التحديات التي تم حلها سابقًا في تدريب الروبوتات على اجتياز اختبارات CAPTCHA الجديدة. ولهذا السبب، يعتقد الخبراء أن اختبارات CAPTCHA القائمة على الذكاء الاصطناعي قد تصبح هي القاعدة، وتحل محل اختبارات CAPTCHA القائمة على التحدي بشكل كامل خلال السنوات الخمس إلى العشر المقبلة.
تُستخدم تقنية CAPTCHA بشكل شائع كإجراء للكشف عن الروبوتات والوقاية منها، بما في ذلك:
منع عمليات التسجيل المزيفة
من خلال تقديم اختبار CAPTCHA للمستخدمين قبل تسجيل حساب بريد إلكتروني أو ملف تعريف على وسائل التواصل الاجتماعي أو خدمات أخرى عبر الإنترنت، يمكن للشركات منع الروبوتات التي تستخدم هذه الخدمات لنشر البريد العشوائي أو البرامج الضارة أو تنفيذ أنشطة خبيثة. وقد كانت شركات مثل Yahoo وMicrosoft وAOL من أوائل الشركات التي اعتمدت تقنية CAPTCHA، حيث أرادت منع الروبوتات من التسجيل للحصول على حسابات بريد إلكتروني وهمية.
الحماية من المعاملات المشبوهة
استخدمت شركات مثل Ticketmaster تقنية CAPTCHA لمنع الروبوتات من شراء سلع محدودة، مثل تذاكر الحفلات الموسيقية، وإعادة بيعها في الأسواق الثانوية.
حماية نزاهة الاستطلاعات عبر الإنترنت
تستطيع الروبوتات اختراق استطلاعات الرأي عبر الإنترنت دون وجود رادع مثل CAPTCHA. وكانت الحاجة إلى حماية نزاهة نتائج استطلاعات الرأي عبر الإنترنت بمثابة الدافع وراء بعض التجارب الأولى في تقنية مشابهة لتقنية CAPTCHA. على سبيل المثال، لضمان جودة استطلاعات الرأي التي أجرتها عبر الإنترنت خلال الانتخابات الرئاسية الأمريكية عام 1996، طلبت شركة Digital Equipment Corporation من المستخدمين تحديد موقع صورة منقطة لعلم على صفحة الويب والنقر فوقها قبل الإدلاء بأصواتهم.
إيقاف البريد العشوائي المرتبط بالتعليقات وتقييمات المنتجات
يستخدم المحتالون والمجرمون الإلكترونيون في الغالب أقسام التعليقات على المدونات والمقالات لنشر عمليات الاحتيال والبرامج الضارة. وقد يشاركون أيضًا في بريد عشوائي خاص بالتقييمات، حيث ينشرون أعدادًا كبيرة من التقييمات المزيفة لرفع تصنيف المنتج بشكل مصطنع على موقع للتجارة الإلكترونية أو محرك بحث. كما يمكن للروبوتات استخدام أقسام التعليقات غير المحمية لتنفيذ حملات الابتزاز. ومع ذلك، يمكن التخفيف من حدة هذه الأنشطة الضارة من خلال مطالبة المستخدمين بإكمال CAPTCHA قبل نشر تعليق أو تقييم.
الدفاع ضد هجمات القوة الغاشمة وهجمات القاموس
في هجمات القوة الغاشمة وهجمات القاموس، يخترق المتسللون حسابًا باستخدام روبوتات لتخمين تركيبات من الأرقام والأحرف والأحرف الخاصة إلى أن يعثروا على كلمة المرور الصحيحة. ويمكن إيقاف هذه الهجمات من خلال مطالبة المستخدمين بإكمال اختبار CAPTCHA بعد عدد معين من محاولات تسجيل الدخول غير الناجحة.
رغم أن تقنية CAPTCHA أثبتت فاعليتها بشكل عام في إيقاف الروبوتات، إلا أنها ليست خالية من العيوب، ومن هذه العيوب:
تجارب غير مريحة للمستخدم
تُضيف تحديات CAPTCHA خطوة إضافية إلى عمليات التسجيل، وتسجيل الدخول، وإكمال النماذج التي ينزعج منها بعض الأشخاص. بالإضافة إلى ذلك، مع ازدياد تعقيد CAPTCHA للتغلب على الروبوتات الأكثر تعقيدًا، أصبح حل CAPTCHA من الأمور المحبطة للمستخدمين أيضًا. في دراسة أُجريت في عام 2010، عندما طلب باحثو جامعة ستانفورد من مجموعات من ثلاثة أشخاص حل اختبارات CAPTCHA نفسها، اتفق المشاركون بالإجماع على حل CAPTCHA بنسبة 71% فقط من الوقت (يؤدي الرابط إلى صفحة خارج ibm.com). ووجدت الدراسة أيضًا أنها تشكل تحديًا أكبر للأشخاص غير الناطقين باللغة الإنجليزية مقارنةً بالناطقين بها، ما يشير إلى أن اختبارات CAPTCHA قد تكون أكثر صعوبة لبعض المجموعات السكانية من غيرها.
تحديات إمكانية الوصول
يمكن أن يكون حل اختبارات CAPTCHA النصية والقائمة على الصور صعبًا للغاية أو مستحيلًا للمستخدمين ضعاف البصر. ويتفاقم هذا الأمر بسبب حقيقة أن برامج قراءة الشاشة لا يمكنها قراءة معظم تحديات CAPTCHA لأن هذه الاختبارات مصممة بحيث لا يمكن للأجهزة قراءتها.
وقد حاولت الأشكال البديلة من اختبارات CAPTCHA معالجة هذه المشكلة، ولكن توجد قيود جوهرية تحد من استخدامها. وتشتهر اختبارات CAPTCHA الصوتية، التي تتطلب من المستخدمين فك تشفير الصوت المشوش، بصعوبة حلها. واكتشفت دراسة جامعة ستانفورد المذكورة أعلاه أن المستخدمين اتفقوا بالإجماع على حلول اختبارات CAPTCHA الصوتية بنسبة 31% فقط من الوقت.
ويُعدّ MAPTCHA أحد أنواع CAPTCHA الذي يتطلب من المستخدمين حل مسائل رياضية بسيطة، وهو عرضة للاختراق بواسطة الخوارزميات.
يمكن أن يكون لاستخدام اختبارات CAPTCHA التي يتعذر الوصول إليها تداعيات قانونية أيضًا. حيث يتطلب تعديل المادة 508 من قانون إعادة التأهيل لعام 1973، الذي تم اعتماده في عام 1998، من الوكالات الفيدرالية الأمريكية وشركائها من القطاع الخاص إتاحة المعلومات الرقمية للأشخاص ذوي الإعاقة. وقد تنتهك الشركات هذا الشرط إذا لم يكن لديها خيارات CAPTCHA ملائمة للأشخاص ذوي الاحتياجات الخاصة.
انخفاض معدلات التحويل
يمكن أن تؤثر تجارب المستخدمين غير المريحة وعدم إمكانية الوصول إلى اختبارات CAPTCHA سلبًا في معدلات التحويل. في دراسة أجريت في عام 2009 على 50 موقعًا إلكترونيًا في عام 2009، أدت مطالبة المستخدمين بإكمال CAPTCHA إلى خفض التحويلات المشروعة بنسبة 3.2% (يؤدي الرابط إلى صفحة خارج ibm.com). يمكن أن تكون اختبارات CAPTCHA الصوتية ضارة بشكل خاص: حيث كشفت دراسة ستانفورد المذكورة سابقًا أن 50% من المستخدمين يفشلون في حل اختبارات CAPTCHA الصوتية.
قدرة الذكاء الاصطناعي للروبوتات على هزيمة اختبارات CAPTCHA الجديدة
لقد تغيرت مخططات CAPTCHA عدة مرّات منذ بداية التقنية؛ لأن الروبوتات تطورت باستمرار للتغلب على كل تحدٍ جديد من تحديات CAPTCHA. وتُسهم بنية تقنية CAPTCHA ذاتها في هذه المشكلة؛ وذلك لأن CAPTCHA تعتمد على مشكلات الذكاء الاصطناعي غير المحلولة لإحباط محاولات الروبوتات. فعندما ينجح البشر في حل تحديات CAPTCHA، يؤدي ذلك إلى إنشاء مجموعات من البيانات التي يتم استخدامها لتدريب خوارزميات التعلم الآلي على حل المشكلات التي كانت مستحيلة على الذكاء الاصطناعي سابقًا. على سبيل المثال، في عام 2016، استخدم الباحث في علوم الحاسوب Jason Polakis بحث الصور العكسي في Google لحل اختبارات CAPTCHA القائمة على الصور من Google بنسبة 70%.
مخاوف تتعلق بالخصوصية
بينما تسعى الأشكال الجديدة من CAPTCHA إلى حل مشكلات إمكانية الوصول وإيقاف سباق تسلح الروبوتات عن طريق إزالة التحديات التفاعلية تمامًا، يرى بعض المستخدمين والباحثين أن اختبارات CAPTCHA المعتمدة على الذكاء الاصطناعي تنتهك حريتهم الشخصية. حيث أثار بعض الأشخاص مخاوف بشأن كيفية استخدام الإصدار الثالث من reCAPTCHA للرموز وملفات تعريف الارتباط لتتبع المستخدمين عبر مواقع إلكترونية متعددة. ويشعر البعض أنه لا توجد شفافية كافية في كيفية استخدام بيانات التتبع هذه لأغراض تتجاوز التحقق.
امنح كل مستخدم مستوى الوصول الذي يتناسب معه عن طريق حل IBM Security® Verify لإدارة الهوية والوصول (IAM).
تجاوز المصادقة الأساسية مع خيارات المصادقة دون كلمة مرور أو المصادقة متعددة العوامل باستخدام IBM Security Verify.
يمكنك حماية المستخدمين والأصول بشكل استباقي باستخدام المصادقة القائمة على المخاطر بمساعدة الذكاء الاصطناعي مع IBM Security Verify.
ابحث عن نهج إدارة الهوية والوصول للقوى العاملة الذي يناسب أعمالك بشكل أفضل.