امنیت ابری

CAPTCHA را بهتر بشناسید!

Shahin Noei Shahin Noei
31 بازدید 0 دیدگاه 29 آبان 1401
/storage/post-covers/1667736690_2022-11-06_cloud-servers-370x370.png /storage/post-images/1667736690_2022-11-06_cloud-servers-830x250.png
CAPTCHA را بهتر بشناسید!

CAPTCHA که مخفف عبارت Completely Automated Public Turing test to tell Computers and Humans Apart یا تست عمومی کاملاً خودکار برای جداسازی کامپیوترها و انسان ها است، در واقع ابزاری است برای تشخیص کاربران واقعی از کاربران غیرواقعی مثل بات ها. این کپچا ها چالش هایی را فراهم می کنند که حل آن برای کامپیوترها دشوار بوده و تنها انسان ها می توانند آنها را تحلیل کرده و پاسخ دهند. برای مثال، شناسایی حروف یا اعداد کشیده شده یا کلیک بر روی یک ناحیه خاص.

CAPTCHA در چه مواردی کاربرد دارد؟

کپچا برای هر سایتی که می خواهد در مقابل بات ها ایستادگی کند، کاربرد دارد، برخی از این کاربردها عبارتند از:

بالا بردن دقت پرسشنامه ها: کپچا ها می توانند جلوی تحریف کردن پرسشنامه ها را بگیرد، برای اینکار از تکمیل فرم یا ارسال رای توسط انسان واقعی اطمینان حاصل می کند. اگرچه این موضوع تعداد کلی رای ها را محدود نمی کند، اما زمان تکمیل فرم ها را کمی طولانی تر می کند، که برخی اوقات ارسال چند رای توسط کاربر را دشوار می کند.

محدودسازی ثبت نام در سرویس ها: سرویس ها می توانند از کپچا برای جلوگیری از اسپم شدن سیستم توسط ثبت نام های بات ها استفاده کنند؛ یعنی بات هایی که قصد ایجاد اکانت های فیک را دارند. این محدودسازی باعث جلوگیری از هدر رفت منابع سرویس شده و احتمال کلاه برداری های سایبری را کاهش می دهد.

جلوگیری از بالا رفتن تعداد تیکت ها: سیستم های ارسال تیکت  می توانند از کپچا ها برای محدود سازی اسکرپرها (Scrapers) در ایجاد تعداد بالای تیکت استفاده کنند. این ابزارها می توانند برای مقابله با ثبت نام های کاذب در رویدادهای رایگان نیز مورد استفاده قرار گیرند.

جلوگیری از کامنت های کاذب: کپچا ها می توانند از ارسال پیام ها و کامنت های ساختگی توسط بات ها و اسپم کردن سیستم جلوگیری کنند.

CAPTCHA چطور عمل می کند؟

کپچا ها اطلاعاتی را به کاربر نمایش می دهند تا آنها را ترجمه کند. کپچا های قدیمی تر از اعداد یا حروف کج یا کشیده شده و روی هم قرار گرفته استفاده می کردند تا کاربر آنها را شناسایی کرده و در فرم مورد نظر وارد کند.

این تغییر ظاهر اعداد یا حروف کار را برای بات ها سخت می کرد تا متن را درک کرده و پس از ترجمه آن را در سیستم وارد کنند؛ اما با ظهور قابلیت شناسایی کارکترها توسط بات ها این روش قدرت خود را از دست داده است.

این مدل از کپچا برای بات ها این فرصت را فراهم می کند تا الگوهای تکراری را ردیابی کرده و از پیاده کردن کارکترهای تصادفی برای دریافت دسترسی استفاده کنند. مگر اینکه کپچا پیشرفته تر بوده و هر بار از الگوهای جدیدی پیروی کند.

اما با توجه به پیشرفت های اخیر در بات ها و توانایی آنها در شناسایی الگوریتم ها و الگوهای استفاده شده در کپچا ها، زمان آن فرا رسیده بود تا روش های جدیدی برای کپچا ها در نظر گرفته شود. به همین دلیل تست های پیچیده تر طراحی شدند.

برای مثال، reCAPTCHA کاربر را ملزم به کلیک بر روی یک ناحیه خاص می کند، که باید تا اتمام یک تایمر صبر کند.

و در برخی موارد حرفه ای تر کاربر باید قطعه ای از پازل را از قسمتی با ناحیه خالی درگ کند.

مسلما در چنین نمونه هایی کار برای بات ها نزدیک به غیر ممکن خواهد شد.

نقاط ضعف استفاده از CAPTCHA

مزیت واضح کپچا ها این است که در برابر بات های مخرب پیشرفته (نه همه ولی بیشتر آنها) کارایی دارد. ولی با این وجود، مکانیزم های موجود در کپچا ها می تواند بر تجربه کاربری سایت تاثیر منفی بگذارد؛ چراکه:

  • برای کاربران خسته کننده و مزاحم هستند.
  • ممکن است درک آنها برای برخی از مخاطبین دشوار باشد.
  • برخی از مدل های کپچا ها در تمام مرورگرها پشتیبانی نمی شوند.
  • برخی از مدل های کپچا ها برای کاربرانی که از Screen reader یا دستگاه های کمکی استفاده می کنند، در دسترس نخواهد بود.

 

نمونه هایی از انواع کپچا ها (CAPTCHA types examples)

کپچا های مدرن در سه طبقه بندی قرار می گیرند، متن محور، تصویر محور و صوت محور.

  • کپچا های متن محور (text-based CAPTCHAs)

کپچا های متن محور روشی سنتی برای شناسایی انسان ها بودند. این کپچا ها می توانند از کلمات یا عبارات شناخته شده یا ترکیبی از ارقام یا حروف تصادفی استفاده کنند. البته برخی از کپچا ها بر حروف بزرگ و کوچک نیز حساس اند.

این کپچا این کارکترها را به صورتی نمایش می دهد که گاهاً وارونه یا بهم ریخته شده که باید توسط کاربر کشف شوند.

این بهم ریختگی می تواند کج کردن، تغییر اندازه دادن، چرخاندن، کشیدن یا جا به جا کردن کارکترها باشد.

البته ممکن است این کارکترها با عناصر گرافیکی نظیر رنگ ها، نویزهای پس زمینه، خطوط، منحنی ها، یا نقطه ها ترکیب شده و یا توسط آنها تا حدودی پوشانده شوند.

تمام این کارها برای این است که بات ها نتوانند متون را شناسایی کرده و از الگوها و الگوریتم های مورد استفاده سوء استفاده کنند.

 

تکنیک هایی که برای ساخت کپچا های متن محور مورد استفاده قرار می گیرند، عبارتند از:

Gimpy: تعدادی از کلمات را از بین 850 کلمه موجود در یک دیکشنری به صورت تصادفی انتخاب کرده و این کلمات را به صورت بهم ریخته نمایش می دهد. مثلاً دو کلمه را کنار هم می گذارد.

  1. EZ-Gimpy: متغیری از Gimpy است که تنها از یک کلمه استفاده می کند.
  2. Gimpy-r: از حروف تصادفی استفاده کرده و پس از بهم ریخته کردن آن از نویز پس زمینه نیز کمک می گیرد.
  3. Simard’s HIP: حروف یا اعداد تصادفی را انتخاب کرده و سپس آنها را با خطوط، رنگ ها یا منحنی ها ترکیب می کند.

 

  • کپچا های تصویر محور (image-based CAPTCHAs)

کپچا های تصویر محور برای جایگزینی کپچا های متن محور طراحی شدند. این کپچا ها از عناصر گرافیکی قابل فهم نظیر تصویر یک حیوان، شکل هندسی، یا یک صحنه استفاده می کنند.

معمولاً در این مدل، کاربر باید تصویر را بر مبنای یک تم مشخص انتخاب کند، یا تصاویری را انتخاب کند که با سایرین شباهتی ندارد.

می توانید مثال این نوع از کپچا را در تصویر زیر مشاهده کنید که چطور از یک تم استفاده کرده:

قطعاً این مدل از کپچا ها را در گوگل زیاد دیده اید.

کپچا های تصویر محور معمولاً نسبت به مدل های متن محور برای انسان ها ساده تر شناخته می شوند. این مدل از کپچا ها برای بات ها نسبت به نسخه های متن محور سخت تر بوده و ترجمه آنها را دشوار می کند، چراکه باید هم تصویر را شناسایی کرده و هم رده بندی معنایی را درک کنند.

  •  کپچا های صوت محور (audio-based CAPTCHAs)

کپچاهای صوت محور برای این طراحی شدند که نقطه ضعف کپچا های تصویری و متنی را در زمینه ناتوانی نابینانیان در شناسایی و درک آنها را پوشش دهند. البته بیشتر اوقات این مدل از کپچا ها در کنار مدل های متن محور یا تصویر محور به صورت مکمل استفاده می شود.

این مدل از کپچا از یک سری حروف یا اعداد از پیش ضبط شده استفاده می کند که در صورت متوجه شدن آنها توسط کاربر، می توانند در فیلد مربوطه تایپ شوند.

  • مسئله های ریاضی یا کلمه ای

برخی از مکانیزم های کپچا ها، از کاربران می خواهند تا یک سوال ساده ی ریاضی را حل کرده و جواب را در فیلد وارد کنند، مثلاً 3+4 یا 18-3 . فرض بر این است که بات در شناسایی سوال و توانایی پاسخ دادن به آن با چالش مواجه شود.

متغیر دیگری نیز وجود دارد که در آن از سوالاتی با پاسخ یک کلمه ای کمک گرفته می شود؛ مثلاً از کاربر می خواهند که یک جمله را با کلمه ای تکمیل کنند، یا کلمه جا افتاده را پیدا کنند.

این مدل از کپچا ها نیز برای نابینایان با مشکل مواجه شده و شاید توسط برخی از بات های پیشرفته و هوشمند، شناسایی شوند.

  • ورود با اکانت های شبکه های اجتماعی

یک جایگزین مناسب برای CAPTCHA ها این است که از کاربر بخواهید تا با استفاده از پروفایل های شبکه های اجتماعی شان مثل فیس بوک، گوگل یا لینکدین به حساب کاربری وارد شده یا فرم را پس از ورود ثبت کنند.

اطلاعات کاربر بلافاصله پس از استفاده از مدل SSO یا single sign on که توسط سایت های شبکه های اجتماعی فراهم می شود، در اختیار کپچا قرار می گیرد.

البته این روش نیز مزاحم بوده و ممکن است برخی از کاربران اعتمادی به آن نداشته باشند، اما با این حال روشی آسان در مقایسه با پر کردن فرم های کپچاست.

  • No CAPTCHA reCAPTCHA

این مدل از کپچا، که توسط گوگل مورد استفاده قرار می گیرد، برای کاربران بسیار آسان تر از مدل های پیشین است. این روش یک checkbox نمایش می دهد که کاربر باید دکمه من ربات نیستم را تیک بزند؛ و تمام!

این مدل با ردیابی حرکات کاربر و شناسایی اینکه آیا کلیک کاربر و سابر اقداماتش در صفحه شبیه به فعالیت های نرمال یک انسان است یا نه، شما را تایید یا رد می کند. به همین دلیل است که اگر شک کند، ممکن است از شما پس از زدن تیک من ربات نیستم، باز هم درخواست کند تا از مدل تصویر محور نیز عبور کنید.

اما در بیشتر مواقع اقدامات شما را درست حدس زده و تنها با زدن همان تیک، می توانید از کپچا عبور کنید.

راهکار میزبان کلود

میزبان کلود برای کسب و کارهای کوچک و بزرگ و سازمان هایی که دارای داده های حساسی هستند، سیستم های امنیتی پیشرفته طراحی و فراهم کرده است. به طوری که می توانید پس از فعالسازی سرویس امنیت ابری میزبان کلود، از بخش تنظیمات DDoS در داشبورد مدیریتی خود، به راحتی و تنها با یک کلیک، سطوح امنیتی مورد نظر را برای سرویس خود فعال کنید.

برای مثال می توانید با فعالسازی تنظیمات حرفه ای مقابله با حملات، از پیشرفته ترین و مستحکم ترین تاکتیک های امنیتی برای دفاع در مقابل حملات DDoS در لایه 7 استفاده کنید. با فعالسازی این حالت، بدون افزایش بار بر سرور تان، جهت شناسایی ورودی های مشکوک، برای تمام کاربران یک چالش امنیتی ( Captcha ) نمایش داده می شود و در صورت پذیرش، به کاربر دسترسی داده خواهد شد.

پیشنهاد می کنیم به صفحه پدافند امنیتی ابری میزبان کلود مراجعه کرده و با سیستم های مقابله با حملات DDoS، WAF، فایروال و Rate limit بیشتر آشنا شوید و همچنین به صفحه dns ابری و خرید سرور ابری نیز مراجعه نمایید..

جمع بندی

یکی از مهم ترین مسائل برای سایت ها و وب اپلیکیشن هایی که داده های حساسی را میزبانی می کنند، حفظ امنیت و جلوگیری از ورود بات ها به سیستم است. بات ها می توانند با اهداف مخرب مختلفی به سمت سایت شما آیند؛ این بات ها معمولاً برای اعمال حملاتی در لایه اپلییکشن طراحی شده و در تلاش اند تا با ورود به اکانت کاربران، ایجاد اکانت های متعدد کاذب، درج کامنت های متعدد اسپمی، و درگیر کردن سیستم تیکتینگ شما، سرویس دهی به کاربران حقیقی و واقعی را مسدود کنند. در این مطلب شما را با سیستم CAPTCHA آشنا کرده و کاربردها و انواع آن را باهم مرور کردیم. امیدواریم این مطلب برای شما مفید واقع شده باشد.

پیشنهاد ویژه

CDN ابری میزبان کلود

سرعت در بارگذاری و تحویل محتوای سایت

سرعت در بارگذاری و تحویل محتوای سایت

سرعت در بارگذاری و تحویل محتوای سایت

سرعت در بارگذاری و تحویل محتوای سایت

مشاهده پلانها
برچسب‌ها :
نویسنده مطلب Shahin Noei

نویسنده مطلب

CAPTCHA را بهتر بشناسید! 0 دیدگاه