CAPTCHA rất tốt cho bảo mật nhưng lại rất tệ đối với quyền riêng tư của bạn.
Thực tế thú vị:bạn thực sự hiếm khi gặp CAPTCHA gốc. Chúng đã được thay thế phần lớn bởi reCAPTCHA, một hệ thống thuộc sở hữu của gã khổng lồ công cụ tìm kiếm, Google. Và trong nỗ lực ngăn chặn spam bots, reCAPTCHA đã phát triển rất nhiều, giờ đây chúng là mối đe dọa đối với quyền riêng tư của bạn.
reCAPTCHA là gì?
Kiểm tra Turing công khai hoàn toàn tự động để nói với máy tính và con người khác (CAPTCHA) là một công cụ hữu ích trong việc ngăn chặn bot khỏi các hình thức gửi thư rác. CAPTCHA truyền thống làm sai lệch văn bản trong nỗ lực làm cho phần mềm độc hại không thể đọc được. Tuy nhiên, con người có thể giải mã nó, vì vậy chúng hoạt động như một bộ lọc.
Spambots ngày càng thông minh hơn. CAPTCHA đã phải phát triển. Chúng đã thay đổi thành reCAPTCHA, được phát triển bởi cùng một nhóm, những người ban đầu đã đưa ra các bài kiểm tra. Google đã mua lại dự án này vào năm 2009. Điều này khiến một số người ngạc nhiên vì nhiều người dùng nghi ngờ ý định của nó.
ReCAPTCHA vẫn được sử dụng cho hiệu quả tuyệt vời. Họ học máy tiên tiến. Thay vì các chữ cái ngẫu nhiên, một reCAPTCHA bao gồm các từ mà chương trình của Google không thể giải mã. Kiến thức thu được từ các bài kiểm tra nâng cấp này đồng nghĩa với việc số hóa tự động nhiều tài liệu cổ điển cho dịch vụ Google Sách của mình.
Sau đó, các thuật toán đã vượt qua con người. ReCAPTCHA trở nên thừa. Đó là lý do tại sao Google giới thiệu NoCAPTCHA reCAPTCHA.
NoCAPTCHA reCAPTCHA là gì?
Bạn đã bao giờ nhấp vào nút "Tôi không phải là người máy" và được chấp thuận mà không cần phải chèn thêm bất kỳ thông tin nào chưa? Đó là vì trang web sử dụng reCAPTCHA v2 trở lên.
Với phiên bản thứ hai, Google đã giới thiệu xác minh dựa trên các số liệu khác --- cụ thể là nếu các hoạt động khác của người dùng trên trang web là dấu hiệu của con người hoặc bot. CAPTCHA chỉ được hiển thị nếu không thành công.
Sau đó, reCAPTCHAs v3 xuất hiện. Bản cập nhật này đã loại bỏ hộp kiểm "Tôi không phải là rô bốt". Nó cũng được thiết kế để hợp lý hóa quy trình, vì vậy trải nghiệm người dùng tốt hơn nhiều.
Điều này sử dụng nền tảng tương tự như phiên bản 2, trong đó nó đánh giá hoạt động trên toàn bộ trang web. Tuy nhiên, nó còn đi xa hơn thế bằng cách tìm hiểu sâu hơn về các hoạt động trực tuyến của bạn.
Nó tiếp tục làm giảm nguy cơ nông dân CAPTCHA (những người được thuê để phá vỡ CAPTCHA truyền thống) vượt qua biện pháp an ninh. Với v3, nhiệm vụ của họ về cơ bản là đoán cách người dùng bình thường tương tác với trang web; nhưng do phạm vi rộng hơn của v3, nên cũng phải có một hồ sơ trực tuyến toàn diện hơn.
4,5 triệu trang web đã sử dụng reCAPTCHA (bao gồm một phần tư trong số 10.000 trang hàng đầu). Hơn 650.000 trong số này đã được cài đặt reCAPTCHA v3.
Bạn sẽ tìm thấy các phiên bản reCAPTCHA khác nhau trên internet vì quản trị viên trang web vẫn có thể sử dụng các trình cắm đã lỗi thời. ReCAPTCHA v1 (CAPTCHA cơ bản) không tốt cho bảo mật của trang web, nhưng tốt hơn cho quyền riêng tư của bạn.
Tại sao reCAPTCHA lại có hại cho quyền riêng tư của bạn
ReCAPTCHA v3 hoạt động như thế nào và tại sao đó lại là điều tiêu cực đối với quyền riêng tư của bạn?
Một trong những cách v3 kiểm tra tính hợp lệ là thông qua việc kiểm tra xem bạn đã cài đặt cookie Google trên trình duyệt của mình chưa. Cookie là dữ liệu được lưu trữ về các tương tác của bạn với một trang web, nói chung để các phần tử có thể tải lại nhanh hơn. Đăng nhập vào tài khoản Google và reCAPTCH Như bạn đã đăng nhập.
Cơ sở lý luận rất hợp lý:bất kỳ ai có tài khoản Google đều có nhiều khả năng là người thật chứ không phải bot.
Quản trị viên được khuyến khích nhúng mã reCAPTCHA trên tất cả các trang web (được bảo vệ thông qua việc thay đổi khóa mã hóa) để dịch vụ có thể đánh giá chính xác hơn hoạt động điển hình. Điều này đặt ra câu hỏi về dữ liệu được thu thập và những gì Google làm với dữ liệu đó.
Dựa trên những điều này, reCAPTCHA ấn định điểm cho khách truy cập, đánh dấu mức độ rủi ro thấp hoặc cao của họ. 1.0 có nghĩa là bạn chắc chắn là con người. 0.0 nghĩa là bạn gần như chắc chắn là một spambot. Nói chung, người dùng có rủi ro thấp sẽ không cần phải thực hiện thêm bất kỳ xác thực nào.
Điều đó cũng có nghĩa là bất kỳ ai sử dụng Mạng riêng ảo (VPN) sẽ tự động bị gắn cờ là rủi ro cao. Chưa hết nhiều --- bao gồm MakeUseOf --- khuyên bạn nên sử dụng VPN để nâng cao quyền riêng tư trực tuyến của mình. Dữ liệu hoạt động không được ghi lại vì khách truy cập được ẩn danh. VPN đánh bại khóa vùng và kiểm duyệt. Họ có thể giúp bạn tiết kiệm tiền mặt. Và chúng là hàng rào chống lại tội phạm mạng.
Trên thực tế, có vô số lý do bạn nên sử dụng VPN. Đó là một bước lùi đáng kể đối với reCAPTCHA khi trừng phạt những người sử dụng nó. Tuy nhiên, đó không phải là một cú sốc lớn:Google dựa vào thông tin về người dùng của mình để kiếm doanh thu.
Google Làm gì với Thông tin Cá nhân?
Google sử dụng dữ liệu thu thập được như thế nào?
Dịch vụ thu thập thông tin phần mềm và phần cứng về khách truy cập trang web, chẳng hạn như địa chỉ IP, trình cắm của trình duyệt và thiết bị bạn đang sử dụng.
Google đảm bảo với người dùng rằng mọi thứ được thu thập thông qua API reCAPTCHA sẽ không được sử dụng để xác định sở thích của bạn. Nó không được sử dụng cho quảng cáo --- điều này có thể làm bạn ngạc nhiên. Công ty cho biết:
"Thông tin được thu thập liên quan đến việc bạn sử dụng dịch vụ sẽ được sử dụng để cải thiện reCAPTCHA và cho các mục đích bảo mật chung. Thông tin này sẽ không được sử dụng cho quảng cáo được cá nhân hóa của Google."
Tất nhiên, Google không phải là công ty duy nhất theo dõi bạn. Nhìn vào các plug-in truyền thông xã hội, được sử dụng để chia sẻ các bài báo trên Facebook, Twitter và những thứ tương tự. Một số tiện ích con này cũng thu thập thông tin của khách truy cập --- có nghĩa là không quan trọng nếu bạn có hồ sơ:Facebook vẫn có thể theo dõi bạn.
Không có gì về reCAPTCHA v3 trong Điều khoản dịch vụ của Google. Điều này là mặc dù reCAPTCHA liên kết với các chính sách này. Nó có nghĩa là chúng ta chỉ cần nghe lời họ.
Tương lai giữ cho CAPTCHA là gì?
Vấn đề cốt lõi, ngoài những lo ngại về quyền riêng tư, là ngay cả reCAPTCHA v3 cũng không đủ tốt. Một nhóm nghiên cứu phát hiện ra rằng trí tuệ nhân tạo vẫn có tỷ lệ thành công là 90%.
Hiện tại càng có thêm áp lực vì chúng tôi nhận thức được khả năng vi phạm quyền riêng tư.
Vấn đề là sự đa dạng của con người đồng nghĩa với việc tìm ra các giải pháp chung là rất khó. CAPTCHA dựa trên hình ảnh thường yêu cầu bạn tìm kiếm các biển báo trên đường, nhưng một thử nghiệm đã kiểm tra xem việc giải mã các biểu hiện trên khuôn mặt cũng có thể hoạt động hay không. Như bạn có thể tưởng tượng, nó không.
Các bài kiểm tra dựa trên trò chơi có vẻ là một lựa chọn tốt. Đây có thể chỉ đơn giản là di chuyển các mảnh ghép vào đúng vị trí và yêu cầu các phần tử xoay. Nếu không có hướng dẫn, các bot có thể gặp khó khăn trong việc tạo các kết nối như vậy. Tuy nhiên, hệ thống sẽ dựa trên logic của con người --- điều này không chính xác đáng tin cậy.
Amazon đã được cấp bằng sáng chế cho một khái niệm thú vị, nếu có vẻ như còn thiếu sót, vào năm 2017. Nó cho rằng khả năng sai sót của con người là chìa khóa. "Kiểm tra Turing qua Thất bại" sẽ đưa ra những thách thức mà hầu hết mọi người cảm thấy quá khó để hoàn thành, đặc biệt là trong một khoảng thời gian ngắn. Con người làm điều đó sai và được xác minh. Bots luôn đưa ra câu trả lời chính xác (hoặc đó là lý thuyết).
Tăng tính độc quyền của Google?
Luis von Ahn, người đồng sáng tạo của CAPTCHAs, người đã làm việc với một nhóm tại Đại học Carnegie Mellon, lập luận rằng việc mua lại reCAPTCHAs của Google là công bằng vì nhiều người đã cho rằng người khổng lồ internet sở hữu dịch vụ. Phiên bản 3 nói rõ rằng reCAPTCHA có lợi cho người dùng Google. Đây có phải là một cách khác mà công ty đang bị bóp nghẹt trên Internet?
Hay ý định của nó là sự thật?
Dù bằng cách nào, nếu bạn cảm thấy mâu thuẫn với Google, bạn có thể chuyển trình duyệt sang một tùy chọn riêng tư hơn. Tuy nhiên, trong đánh giá của chúng tôi về tính bảo mật của trình duyệt chính thống, Chrome đứng đầu…