I CAPTCHA possono essere ancora considerati sicuri?

In occasione di una conferenza alla RSA Conference 2021 si è discusso sull'efficacia e la sicurezza odierna del sistema dei CAPTCHA.

Avatar di Antonello Buzzi

a cura di Antonello Buzzi

Editor

Come riportato sul blog di Kaspersky, in una recente conferenza tenutasi alla RSA Conference 2021 inerente agli attacchi Web e le frodi online, Dan Woods, ex ufficiale delle forze dell'ordine, ha parlato della sua esperienza all'interno del mondo dei CAPTCHA. Sicuramente avrete incontrato i CAPTCHA (acronimo di Completely Automated Public Turing Test-to-tell Computers and Humans Apart) in molteplici siti, così da verificare che sia davvero una persona ad accedere ad un determinato sito o parte di esso e non un bot.

L'esistenza di click farm, come quella che ha assunto Woods, cioè aziende che impiegano persone per compiere azioni piuttosto semplici come cliccare sugli annunci di un determinato sito, vedere video, aggiungersi a pagine o profili per far crescere il numero di like o, per l'appunto, risolvere i semplici quesiti proposti dai CAPTCHA, mettono in luce i problemi che presenta un sistema di sicurezza di questo tipo.

Nonostante si tratti di compiti molto facili per una persona, come l'individuazione di determinate figure all'interno di una foto (auto, semafori, idranti ecc) o la risoluzione di equazioni elementari (sebbene anche in questi casi non è escluso che gli umani siano in grado di commettere errori grossolani), rimangono piuttosto complessi per una macchina e, per quanto imperfetto, il sistema dei CAPTCHA permette di implementare un livello di protezione aggiuntivo.

Probabilmente, allo stato attuale, i CAPTCHA non riescono più a proteggere in modo affidabile l'accesso a determinate parti dei siti e possono annoiare gli utenti reali. Per questo motivo, sarebbe meglio pensare a qualcosa di alternativo per determinare se sia realmente una persona che cerca di accedere al sistema o meno. Ad esempio, usando tecnologie di apprendimento automatico si potrebbe analizzare il comportamento degli utenti o identificare con maggiore precisione il dispositivo utilizzato per l'accesso, così da eliminare passaggi di autenticazione non necessari e garantire una migliore esperienza utente.

La licenza di Kaspersky Total Security 2021 valida per 1 anno su 4 dispositivi (PC/Mac/Android) e disponibile su Amazon a meno di 45 euro, non perdete questa occasione!