Station D Logo

Captcha là gì? Bao giờ thì chúng ta mới thoát được Captcha?

Công Nghệ
Captcha là gì? Bao giờ thì chúng ta mới thoát được Captcha?

Bài viết được sự cho phép của blogchiasekienthuc.com

Thuật ngữ Captcha được công khai vào năm 2000 bởi một nhóm các chuyên gia khoa học máy tính: Luis von Ahn, Manuel Blum, Nicholas J. Hopper, và John Langford. Từ đó cho đến nay thì CAPTCHA đã để lại cho người dùng Internet không ít niềm vui cũng như nỗi buồn.

capcha-la-gi (1)capcha-la-gi (1)

Niềm vui là dành cho cho các chủ trang web (Webmaster), bởi nhờ CAPTCHA mà trang web của họ tránh được vô số các cuộc tấn công ác ý với mục đích phá hoại (các hình thức DDOS ví dụ như Brute-force Login attack, Web-scraping,…)

Còn nỗi buồn là dành cho người tấn công và cả những người dùng phổ thông như chúng ta nữa, tự dưng chúng ta phải nhập những ký tự khó đọc vào khung xác nhận rồi mới có thể đăng nhập được, thậm chí là khi tìm kiếm hoặc vừa truy cập vào một trang web đã phải nhập CAPTCHA rồi.

Gọi là “nhập” CAPTCHA cho gần gũi, vì CAPTCHA phiên bản đầu tiên gắn liền với tuổi thơ của rất nhiều người. Người dùng phải nhập vào những con số, con chữ bị làm móp méo, biến dạng và làm mờ…

Còn hiện tại thì đa phần CAPTCHA bắt người dùng chúng ta click chuột để tìm “trụ nước chữa cháy”, “xe bus”, “đèn giao thông”, “tàu thuyền”… mọi thứ đã nhẹ nhàng hơn trước.

capcha-la-gi (2)capcha-la-gi (2)

Một số biến thể của CAPTCHA còn bắt người dùng “xếp hình” nữa (ví dụ như chọn những mảnh ghép còn thiếu và đặt vào để hoàn thiện bức hình).

Bây giờ chúng ta sẽ tìm hiểu chi tiết hơn về khái niệm của Captcha nhé !

#1. CAPTCHA là gì?

CAPTCHA là viết tắt của cụm từ Completely Automated Public Turing test to tell Computers and Humans Apart, đây là một phương pháp kiểm tra kiểu challenge-response dùng trong điện toán (computing) để xác định lượt truy cập có phải là con người thật hay không, hay là Roboot, người máy..

capcha-la-gi (3)capcha-la-gi (3)

Thực ra thì phiên bản sơ khai nhất của CAPTCHA (tức là Version 1) đã hình thành từ năm 1997 với ý tưởng ban đầu là bắt người dùng nhập lại các chữ (đã bị làm mờ, che một phần, làm biến dạng…) trong hình mẫu, một việc tưởng chừng rất đơn giản nhưng lại rất hiệu quả để ngăn ngừa các phần mềm, bot vượt qua.

Ngay từ khi mới hình thành thì CAPTCHA đã phải nhận rất nhiều những chỉ trích, không chỉ với những người mắc bệnh về mắt, về khả năng nhận thức kém, mà còn đối với cả những người bình thường như chúng ta nữa, bởi CAPTCHA khiến người dùng rất bực mình và mất thời gian.

Từ đó cho đến nay, cũng trên dưới 30 năm rồi, CAPTCHA đã trải qua nhiều lần cải tiến để vừa mang đến sự tiện lợi hơn cho người dùng, cũng như là để các nhà phát triển tối ưu thuật toán, các công ty như Google còn dùng CAPTCHA để “nhờ” người dùng “dịch các từ trong hình ra chữ” (reCAPCHA).

capcha-la-gi (4)capcha-la-gi (4)

Google là đơn vị tiên phong cải tiến CAPTCHA bằng phiên bản mới của công ty: reCAPTCHA, ban đầu với version 1 thì reCAPTCHA cũng bắt người dùng đoán đúng chữ trong hình, nhưng sang đến version 2 thì nếu có dấu hiệu bất thường mới hiện reCAPTCHA lên.

Còn version 3 mới nhất của reCAPTCHA thì đã hoàn toàn chạy ngầm trong trang web/ trình duyệt web, tức là nó sẽ tự động phân tích người dùng với thuật toán thông minh, nên đa phần người dùng bình thường sẽ ít bị nó làm phiền.

Tìm hiểu thêm về lịch sử của Captcha trên Wikipedia !

#2. Lý do nên cho CAPTCHA “nghỉ hưu”?

Đơn giản là do mọi người đều ghét nó, cá nhân mình khi duyệt web qua Wi-Fi bình thường thì không sao, còn khi nào dùng VPN/Proxy thì y như rằng CAPTCHA hiện ra liên tục. Rất là bực !

Hoặc là khi chúng ta làm việc gì liên quan đến tìm kiếm nhiều (tìm kiếm trên Google Search) đó các bạn, lúc đó reCAPTCHA sẽ hiện ra, và chúng ta lại phải hoàn tất thủ tục thì mới xem được rất quả.

Kinh nghiệm là bạn hãy đăng nhập vào tài khoản Google trước khi tìm kiếm, như vậy sẽ giảm thiểu tối đa số lần hiển thị reCAPTCHA.

capcha-la-gi (5)capcha-la-gi (5)

Mình xin nêu ra 4 vấn đề khiến mình rất bực về CAPTCHA:

  1. Mất thời gian: Trung bình chúng ta mất 32 giây để giải xong CAPTCHA, mà trên thế giới có khoảng 6 tỷ người dùng Internet, giả sử cứ 10 ngày 1 người gặp 1 CAPTCHA => có thể ước tính nhân loại tốn thời gian = 500 năm lãng phí mỗi ngày chỉ để giải CAPTCHA, để chứng minh chúng ta là con người thật chứ không phải là robot =]]
  2. Trở ngại: Những người khuyết tật về mắt hoặc những người bị suy giảm nhận thức có thể không giải được CAPTCHA để truy cập vào các trang web. Người mù thì chắc chắn phải khóc ròng rồi, vì đa phần các chương trình trợ năng như trên Windows đều không giải CAPTCHA thay con người được.
  3. Nhận thức: Chắc chắn có nhiều người không biết trụ nước cứu hỏa màu đỏ huyền thoại của nước Mỹ, kết hợp thêm CAPTCHA toàn tiếng Anh thì chắc 1/4 dân số địa cầu cũng phải bó tay, gây ức chế.

Một ví dụ vui đó là CAPTCHA tiếng Anh có thể bắt bạn tìm “cab” trong hình (taxi ở New York hay London thì gọi là cab, ở châu Á toàn gọi là taxi), chưa kể “cab” ở NewYork màu vàng, còn ở London thì màu đen !

  1. Người dùng di động: Xu hướng truy cập Internet đổ dồn về các điện thoại thông minh, tất nhiên thì CAPTCHA cũng gây tốn Pin/Data, chưa kể là màn hình nhỏ còn gây trở ngại rất nhiều cho người dùng.

#3. Giải pháp của CloudFlare

capcha-la-gi (6)capcha-la-gi (6)

Dành cho bạn nào chưa biết thì CloudFlare (CF) thường được biết đến với dịch vụ tăng tốc độ website, tối ưu trang web, giảm tải cho trang web, dịch vụ DNS, chống lại các cuộc DDOS…

Khi bạn sử dụng dịch vụ CF cho trang web của bạn thì hCAPTCHA sẽ tự động xuất hiện khi lưu lượng truy cập đến trang web bị nghi là bot hoặc do tool tấn công (cái này bạn không phải cấu hình gì cả, dịch vụ CloudFlare này rất hay, bạn nên tìm hiểu thêm nhé).

Theo hãng này đề xuất thì phương thức test CAPTCHA nên được thay bằng Cryptographic Attestation of Personhood (mình gọi tắt là CAP).

Thông tin thêm: Với Cryptographic Attestation of Personhood thì người dùng chỉ mất tất cả 5 giây và yêu cầu tối đa 3 lần nhấp để hoàn thành việc xác thực, thay vì phải mất đến 32 giây cần để giải quyết CAPTCHA.

CloudFare sẽ sử dụng các Khoá bảo mật phần cứng (Hardware Security key), ví dụ như YubiKey, HyperFIDO hay Thetis FIDO U2F chẳng hạn) để triển khai giải pháp của họ, hoặc lấy smartphone làm trung tâm.

Mình xin giới thiệu mô hình demo của hãng:

  1. Khi người dùng truy cập vào trang web được bảo vệ bởi CAP, ví dụ: com
  2. Trường hợp này là trang web đó được bảo vệ thông qua dịch vụ của CloudFlare thì CloudFlare sẽ yêu cầu bạn giải CAP.
  3. Người dùng click vào “I am human (beta)”, thì thay vì phải nhập chữ, chọn hình như CAPTCHA thì trình duyệt web sẽ yêu cầu bạn xuất trình thiết bị bảo mật (Security key chẳng hạn).
  4. Người dùng cắm Hardware Security key (khóa bảo mật này có hình dáng tương tự USB), hoặc quét NFC từ smartphone.
  5. Sau đó thì thông tin mã hóa chứa dữ liệu xác nhận bạn là con người thật (cryptographic attestation) sẽ được gửi về CloudFlare, như vậy những lần khác khi truy cập vào trang web đó/ hoặc các trang có sử dụng dịch vụ của CloudFlare bạn sẽ không bị làm phiền bởi những thứ như CAPTCHA nữa!

capcha-la-gi (7)capcha-la-gi (7)

Trong tương lai thì CloudFare sẽ có thêm các thiết bị hỗ trợ cho quá trình xác thực với trang web đa dạng hơn, mình nghĩ là phương án sử dụng smartphone là hay nhất, chứ USB key có vẻ hơi bất tiện (dễ làm rơi/ bị đánh cắp).

Các bạn có thể tìm hiểu thêm về kỹ thuật của phương thức xác thực người dùng mới này từ CloudFlare:

https://blog.cloudflare.com/introducing-cryptographic-attestation-of-personhood/

Bonus thêm quả video rất hài về CAPTCHA <có thể bạn sẽ thích – dịch phụ đề tiếng việt trên Youtube>:

CTV: Dương Minh Thắng – Bài viết gốc tại blogchiasekienthuc.com

Có thể bạn quan tâm:

Xem thêm Việc làm IT hấp dẫn trên Station D

Bạn có thể quan tâm

Đọc thêm

Thị trường EdTech Vietnam- Nhiều tiềm năng nhưng còn bị bỏ ngỏ tại Việt Nam
Bộ cài đặt Laravel Installer đã hỗ trợ tích hợp Jetstream
Principle thiết kế của các sản phẩm nổi tiếng
Applicant Tracking System là gì? ATS hoạt động ra sao
Lập TrìnhCông nghệ

Bài viết liên quan

Bộ cài đặt Laravel Installer đã hỗ trợ tích hợp Jetstream
Công Nghệ

Bộ cài đặt Laravel Installer đã hỗ trợ tích hợp Jetstream

Bài viết được sự cho phép của tác giả Chung Nguyễn Hôm nay, nhóm Laravel đã phát hành một phiên bản chính mới của “ laravel/installer ” bao gồm hỗ trợ khởi động nhanh các dự án Jetstream. Với phiên bản mới này khi bạn chạy laravel new project-name , bạn sẽ nhận được các tùy chọn Jetstream. Ví dụ: API Authentication trong Laravel-Vue SPA sử dụng Jwt-auth Cách sử dụng Laravel với Socket.IO laravel new foo --jet --dev Sau đó, nó sẽ hỏi bạn thích stack Jetstream nào hơn: Which Jetstream stack do you prefer? [0] Livewire [1] inertia > livewire Will your application use teams? (yes/no) [no]: ... Nếu bạn đã cài bộ Laravel Installer, để nâng cấp lên phiên bản mới bạn chạy lệnh: composer global update Một số trường hợp cập nhật bị thất bại, bạn hãy thử, gỡ đi và cài đặt lại nha composer global remove laravel/installer composer global require laravel/installer Bài viết gốc được đăng tải tại chungnguyen.xyz Có thể bạn quan tâm: Cài đặt Laravel Làm thế nào để chạy Sql Server Installation Center sau khi đã cài đặt xong Sql Server? Quản lý các Laravel route gọn hơn và dễ dàng hơn Xem thêm Tuyển dụng lập trình Laravel hấp dẫn trên Station D

By stationd
Principle thiết kế của các sản phẩm nổi tiếng
Công Nghệ

Principle thiết kế của các sản phẩm nổi tiếng

Tác giả: Lưu Bình An Phù hợp cho các bạn thiết kế nào ko muốn làm code dạo, design dạo nữa, bạn muốn cái gì đó cao hơn ở tầng khái niệm Nếu lập trình chúng ta có các nguyên tắc chung khi viết code như KISS , DRY , thì trong thiết kế cũng có những nguyên tắc chính khi làm việc. Những nguyên tắc này sẽ là kim chỉ nam, nếu có tranh cãi giữa các member trong team, thì cứ đè nguyên tắc này ra mà giải quyết (nghe hơi có mùi cứng nhắc, mình thì thích tùy cơ ứng biến hơn) Tìm các vị trí tuyển dụng designer lương cao cho bạn Nguyên tắc thiết kế của GOV.UK Đây là danh sách của trang GOV.UK Bắt đầu với thứ user cần Làm ít hơn Thiết kế với dữ liệu Làm mọi thứ thật dễ dàng Lặp. Rồi lặp lại lần nữa Dành cho tất cả mọi người Hiểu ngữ cảnh hiện tại Làm dịch vụ digital, không phải làm website Nhất quán, nhưng không hòa tan (phải có chất riêng với thằng khác) Cởi mở, mọi thứ tốt hơn Bao trừu tượng luôn các bạn, trang Gov.uk này cũng có câu tổng quát rất hay Thiết kế tốt là thiết kế có thể sử dụng. Phục vụ cho nhiều đối tượng sử dụng, dễ đọc nhất nhất có thể. Nếu phải từ bỏ đẹp tinh tế – thì cứ bỏ luôn . Chúng ta tạo sản phẩm cho nhu cầu sử dụng, không phải cho người hâm mộ . Chúng ta thiết kế để cả nước sử dụng, không phải những người đã từng sử dụng web. Những người cần dịch vụ của chúng ta nhất là những người đang cảm thấy khó sử dụng dịch...

By stationd
Hiểu về trình duyệt – How browsers work
Công Nghệ

Hiểu về trình duyệt – How browsers work

Bài viết được sự cho phép của vntesters.com Khi nhìn từ bên ngoài, trình duyệt web giống như một ứng dụng hiển thị những thông tin và tài nguyên từ server lên màn hình người sử dụng, nhưng để làm được công việc hiển thị đó đòi hỏi trình duyệt phải xử lý rất nhiều thông tin và nhiều tầng phía bên dưới. Việc chúng ta (Developers, Testers) tìm hiểu càng sâu tầng bên dưới để nắm được nguyên tắc hoạt động và xử lý của trình duyệt sẽ rất hữu ích trong công việc viết code, sử dụng các tài nguyên cũng như kiểm thử ứng dụng của mình. Cách để npm packages chạy trong browser Câu hỏi phỏng vấn mẹo về React: Component hay element được render trong browser? Khi hiểu được cách thức hoạt động của trình duyệt chúng ta có thể trả lời được rất nhiều câu hỏi như: Tại sao cùng một trang web lại hiển thị khác nhau trên hai trình duyệt? Tại sao chức năng này đang chạy tốt trên trình duyệt Firefox nhưng qua trình duyệt khác lại bị lỗi? Làm sao để trang web hiển thị nội dung nhanh và tối ưu hơn một chút?… Hy vọng sau bài này sẽ giúp các bạn có một cái nhìn rõ hơn cũng như giúp ích được trong công việc hiện tại. 1. Cấu trúc của một trình duyệt Trước tiên chúng ta đi qua cấu trúc, thành phần chung và cơ bản nhất của một trình duyệt web hiện đại, nó sẽ gồm các thành phần (tầng) như sau: Thành phần nằm phía trên là những thành phần gần với tương tác của người dùng, càng phía dưới thì càng sâu và nặng về xử lý dữ liệu hơn tương tác. Nhiệm...

By stationd
Thị trường EdTech Vietnam- Nhiều tiềm năng nhưng còn bị bỏ ngỏ tại Việt Nam
Chuyện IT

Thị trường EdTech Vietnam- Nhiều tiềm năng nhưng còn bị bỏ ngỏ tại Việt Nam

Lĩnh vực EdTech (ứng dụng công nghệ vào các sản phẩm giáo dục) trên toàn cầu hiện nay đã tương đối phong phú với nhiều tên tuổi lớn phân phối đều trên các hạng mục như Broad Online Learning Platforms (nền tảng cung cấp khóa học online đại chúng – tiêu biểu như Coursera, Udemy, KhanAcademy,…) Learning Management Systems (hệ thống quản lý lớp học – tiêu biểu như Schoology, Edmodo, ClassDojo,…) Next-Gen Study Tools (công cụ hỗ trợ học tập – tiểu biểu như Kahoot!, Lumosity, Curriculet,…) Tech Learning (đào tạo công nghệ – tiêu biểu như Udacity, Codecademy, PluralSight,…), Enterprise Learning (đào tạo trong doanh nghiệp – tiêu biểu như Edcast, ExecOnline, Grovo,..),… Hiện nay thị trường EdTech tại Việt Nam đã đón nhận khoảng đầu tư khoảng 55 triệu đô cho lĩnh vực này nhiều đơn vị nước ngoài đang quan tâm mạnh đến thị trường này ngày càng nhiều hơn. Là một trong những xu hướng phát triển tốt, và có doanh nghiệp đã hoạt động khá lâu trong ngành nêu tại infographic như Topica, nhưng EdTech vẫn chỉ đang trong giai đoạn sơ khai tại Việt Nam. Tại Việt Nam, hệ sinh thái EdTech trong nước vẫn còn rất non trẻ và thiếu vắng nhiều tên tuổi trong các hạng mục như Enterprise Learning (mới chỉ có MANA), School Administration (hệ thống quản lý trường học) hay Search (tìm kiếm, so sánh trường và khóa học),… Với chỉ dưới 5% số dân công sở có sử dụng một trong các dịch vụ giáo dục online, EdTech cho thấy vẫn còn một thị trường rộng lớn đang chờ được khai phá. *** Vừa qua Station D đã công bố Báo cáo Vietnam IT Landscape 2019 đem đến cái nhìn toàn cảnh về các ứng dụng công...

By stationd