Tenho certeza de que você tentou entrar em um site apenas para se deparar com uma série de testes desafiadores de identificação visual projetados para garantir que você é um ser humano. Os sites podem ser protegidos contra fraude e abuso com o uso de uma técnica chamada Teste de Turing Público Completamente Automatizado para diferenciar Computadores e Humanos (CAPTCHA).
O objetivo dos quebra-cabeças é impedir ataques automatizados, limitando o acesso ao site a usuários legítimos. Os bots podem passar nos testes CAPTCHA destinados a impedi-los de acessar sites com muito mais rapidez e precisão do que os humanos. Dada a quantidade de aborrecimento que nossa pesquisa mostrou que essas medidas de segurança podem causar, levanta-se a questão de saber se devemos continuar a utilizá-las.
Por quase vinte anos, hackers e criadores de sites estão em desacordo sobre como impedir que bots acessem sites e copiem conteúdo, estabeleçam contas falsas e envie comentários ou análises falsos. Há muito tempo, os sites incluem testes que as pessoas podem passar facilmente, mas que causam problemas para o software automatizado. O CAPTCHA evoluiu para formas cada vez mais complexas ao longo do tempo, tornando mais difícil para os humanos decifrá-lo.
A solução de CAPTCHA agora é principalmente uma tarefa “Human-VS-Bots”
Desenvolvimentos recentes em visão de máquina e IA possibilitaram que computadores e bots reagissem de maneira semelhante, e talvez mais significativamente, mais rápido do que os seres humanos. Cada um dos 1.400 participantes foi solicitado a responder 10 captchas fornecidas por 120 dos sites mais visitados do mundo e classificar sua complexidade.
Os pesquisadores chegaram a um consenso: os robôs são superiores aos humanos em termos de velocidade e precisão. O emprego de CAPTCHAs é um verdadeiro jogo de gato e rato entre sites legítimos e hackers mal-intencionados. No entanto, isso resulta em avaliações mais difíceis e demoradas para os usuários da Internet. Devemos parar de usar esse método de autenticação agora? Google e Apple querem entrar na pele dos CAPTCHAs e fornecer uma alternativa, então a resposta é sim.
Em 2019, o Google introduziu uma nova ferramenta chamada reCAPTCHA para substituir o CAPTCHA, mas o chefe técnico da equipe, Aaron Malenfant, previu ao Verge que em 10 anos a tecnologia estaria obsoleta porque a tecnologia atualizada permitirá que o teste de Turing seja executado no fundo. Sua previsão provou ser precisa. Os rápidos avanços na tecnologia de bots de inteligência artificial (IA) permitiram que eles superassem a técnica reCAPTCHA agora em uso para verificar a identidade dos visitantes do site. Seu método é baseado na emulação do sistema visual e do cérebro humano. De muitas maneiras, os robôs de inteligência artificial já são superiores aos seres humanos.
Os bots de IA, como o Crypto Genius, são projetados normalmente para simplificar coisas complexas que os humanos não conseguem. É por isso que eles são mais rápidos que os humanos. Os cientistas mostraram que os robôs de IA podem resolver o CAPTCHA mais rápido do que os humanos. Agora, um relatório de pesquisa não revisado (pdf) divulgado no mês passado sugere que os ataques automatizados por IA em vários métodos CAPTCHA foram eficazes. Pesquisadores da Microsoft, Laboratório Nacional Lawrence Livermore, ETH Zurich e da Universidade da Califórnia, Irvine descobriram que os bots de IA agora são mais eficazes em decifrar CAPTCHAs do que os humanos. Eles fazem as pessoas se sentirem ainda mais como robôs do que o software automatizado que os CAPTCHAs foram projetados para bloquear. Eles também são visivelmente mais rápidos nisso.
Estatísticas
Cento e vinte dos 200 principais sites do mundo utilizam quebra-cabeças CAPTCHA, portanto, os pesquisadores recrutaram 1.400 indivíduos para avaliar esses sites. A maior parte dos bots tem uma precisão de 96% ou superior. Diferentes CAPTCHAs, como aqueles que exigem que os participantes localizem chaminés e barcos, gire fotos, marquem uma caixa ou escrevam texto distorcido, foram usados na pesquisa, conduzida na plataforma de crowdsourcing MTurk da Amazon.
De acordo com a pesquisa, os bots de IA são mais rápidos em resolver o desafio neste cenário mais realista, quando o tempo de solução humana diminui para 22 segundos.
É necessário usar CAPTCHAs?
Depende do nível de segurança exigido para um determinado site ou aplicativo. Se um bot de baixo nível não conseguir passar por um CAPTCHA difícil após algumas tentativas, como os voluntários na pesquisa de Acartürk, o hacker pode desistir e partir para um alvo mais fácil. Então, eles têm um lugar no mundo, embora pequeno.
Não é óbvio como os engenheiros podem melhorar os futuros sistemas CAPTCHA, mas Wang acredita que, para “combater fogo com fogo”, a IA provavelmente será usada para criar soluções.
Os cientistas preveem que os métodos de autenticação biométrica, como varredura de retina e verificação de impressões digitais, substituirão os CAPTCHAs nas próximas décadas.
Enquanto isso, em setembro deste ano, Cloudflare, uma empresa de segurança cibernética, introduziu uma substituição CAPTCHA que eles chamam de Turnstile.
Turnstile é uma extensão que monitora seu navegador em busca de atividades humanas, em vez de apontar imagens de motocicletas ou táxis. Além disso, leva apenas uma fração de segundo, então podemos acabar economizando muito tempo a longo prazo.
Os sites devem mudar a forma como distinguir humanos de robôs?
Esta nova pesquisa lança dúvidas sobre a eficácia do teste Captcha, fazendo com que nos perguntemos se precisamos mudar para uma abordagem diferente para distinguir entre máquinas e pessoas. Os agentes de ameaças podem utilizar a IA para escapar dos sistemas de segurança, portanto, monitorar seu uso está se tornando mais importante à medida que a tecnologia se torna mais difundida e acessível. O estudo mostra que, se um bot pode fazer um trabalho, ele pode fazê-lo cada vez mais rápido, portanto, é possível que os desenvolvedores já estejam se atualizando quando se trata de impedir que os bots passem nos testes de Turing.