CAPTCHA คืออะไร ? CAPTCHA เกี่ยวกับบอทอย่างไร ? ทำไมไม่หายไปสักที ?

CAPTCHA คือ อะไร ? ทำไมถึงต้องมี CAPTCHA ?

หากคุณเป็นผู้ใช้อินเทอร์เน็ตเป็นประจำ คุณคงเคยเห็นกล่องปริศนา ซึ่งมักจะปรากฏขึ้นเวลาที่เรากำลังทำกิจกรรมอะไรสักอย่างบนเว็บไซต์ เช่น เมื่อต้องการโพสต์ความคิดเห็น, สร้างบัญชี หรือเข้าสู่ระบบ จะมีกล่องปริศนาปรากฏขึ้นมาคั่น ซึ่งเราต้องจัดการกับอุปสรรคดังกล่าวให้เรียบร้อยก่อน ถึงจะเดินหน้าต่อไปได้ บางทีก็ให้เราแกะคำจากภาพตัวอักษรที่อ่านได้ยาก, บ้างก็ให้เราแก้โจทย์คณิตศาสตร์พื้นฐาน หรือไม่ก็มีภาพให้เราคลิกเลือกหา ทางม้าลาย, รถยนต์, ป้ายหน้าร้าน, สัญญาณไฟจราจร ฯลฯ ปริศนาดังกล่าวนั้นมีชื่อเรียกว่า "CAPTCHA"

ทำไมเว็บไซต์หลายแห่งต้องมี CAPTCHA ประโยชน์ของมันคืออะไร ? และมันทำงานอย่างไร ? บทความนี้จะมาเล่าให้ฟังกัน ...

CAPTCHA คือ อะไร ? (What is CAPTCHA ?)

คำว่า "CAPTCHA" นั้นย่อมาจากคำว่า "Completely Automated Public Turing Test to tell Computers and Humans Apart" มันเป็นเครื่องมือที่พัฒนาขึ้นมาใช้ในการแยกแยะระหว่างมนุษย์ และคอมพิวเตอร์แบบอัตโนมัติ ด้วยการใช้หลักการ Turing Test ในการทำงาน ถูกคิดค้น และเริ่มใช้งานบนโลกอินเทอร์เน็ต มาตั้งแต่ช่วงประมาณปี ค.ศ. 2000 (พ.ศ. 2543)

Turing Test เป็นวิธีการง่าย ๆ ที่ แอลัน ทัวริง (Alan Turing) ได้เสนอขึ้นในปี ค.ศ. 1950 (พ.ศ. 2493) เพื่อใช้ทดสอบความสามารถของเครื่องจักร ว่ามีความสามารถในการคิดแบบมนุษย์หรือไม่ ?โดยวิธีการทดสอบคือ ให้คนทำการพิมพ์บทสนทนาโต้ตอบกับกลุ่มตัวอย่างที่เป็นคน และคอมพิวเตอร์ หากคู่สนทนาไม่สามารถแยกได้ว่าอีกฝ่ายที่คุยเป็นคอมพิวเตอร์ได้ จะถือว่าเครื่องจักรนั้นผ่านการทดสอบของทัวริงได้สำเร็จ

ภาพจาก : https://analyticsindiamag.com/ai-origins-evolution/turing-test-key-contribution-field-artificial-intelligence/

CAPTCHA ออกแบบมาเพื่อสร้างโจทย์ปัญหาที่ถ้าหากเป็นมนุษย์ ควรจะสามารถตอบได้ง่าย (แต่หลายครั้งก็ยากนะ ฮา) แต่จะเป็นโจทย์ที่ยากมากสำหรับบอทที่จะตอบได้อย่างถูกต้อง ตัวอย่างของ CAPTCHA ที่พบเห็นบ่อยๆ ก็อย่างเช่น การเลือกภาพตามเงื่อนไขที่กำหนด, พิมพ์ตัวอักษรจากตัวอย่างฟอนต์ที่บิดเบี้ยว, แก้สมการคณิตศาสตร์ง่าย ๆ ฯลฯ

หลายครั้ง CAPTCHA ก็สามารถสร้างความปวดหัวให้กับผู้ใช้
ภาพจาก : https://www.boredpanda.com/captcha-struggles-fails/

ทำไมเราต้องมี CAPTCHA ? (Why do we need CAPTCHA ?)

ประโยชน์ของ CAPTCHA นั้นก็เป็นไปตามความหมายของชื่อมันเลย คือ เพื่อแยกแยะระหว่างมนุษย์ และคอมพิวเตอร์ออกจากกัน หลายคนอาจเกิดความสงสัยว่า "อ้าว แล้วทำไมต้องแยกล่ะ ?"

ต้องเท้าความไปสมัยก่อนที่จะมี CAPTCHA เว็บไซต์ต่าง ๆ มักจะถูกบอทเข้ามาสแปมในส่วนความคิดเห็นของเว็บไซต์ และบล็อก (Blog) นักสแปมจำนวนมากจะโจมตีส่วนความคิดเห็นด้วยการแปะลิงก์ เพื่อเพิ่มการจัดอันดับในเครื่องมือค้นหาเพื่อทำ SEO, เข้าไปสร้างคอมเมนต์โฆษณาในทุกกระทู้ หรือส่งอีเมลขยะเป็นพัน ๆ ฉบับภายในเวลาไม่กี่ชั่วโมง ฯลฯ 

รวมไปถึงบริษัทหลายแห่งที่ให้บริการอีเมลฟรี แต่ก่อนหน้าที่จะมี CAPTCHA แฮกเกอร์ได้สร้างบอทที่สามารถสมัครบัญชีฟรีหลายพันบัญชีอย่างรวดเร็ว และใช้บัญชีเหล่านี้ในการทำความเสียหายบนอินเทอร์เน็ต แต่ปัจจุบันนี้ สังเกตว่าเวลาเราจะสมัครบัญชีอีเมลใหม่ จะมีความซับซ้อนมากขึ้น ต้องฝ่าด่าน CAPTCHA ก่อนที่จะได้รับบัญชีอีเมลฟรี 

หรือจะเป็นเรื่องการสำรวจข้อมูล หรือโหวตผ่านระบบออนไลน์ โดยปกติแล้ว IP Address จะถูกบันทึกไว้ เพื่อป้องกันไม่ให้ผู้คนสามารถลงคะแนนมากกว่าหนึ่งครั้ง แต่ด้วยการใช้บอท มันสามารถหลบหลีกระบบป้องกันนี้ได้ ส่งผลให้ความน่าเชื่อถือของคะแนนโหวตออนไลน์ตกต่ำ

เพื่อแก้ปัญหาที่ว่ามา จึงมีการพัฒนา CAPTCHA ขึ้นมาเพื่อหวังว่าจะมีเพียงมนุษย์เท่านั้นที่สามารถแสดงความคิดเห็นได้

ภาพจาก : https://groups.google.com/g/selenium-users/c/_6ROHoNU6Iw?pli=1

CAPTCHA ทำงานอย่างไร ? (How does CAPTCHA work ?)

CAPTCHA มีการพัฒนารูปแบบการทำงานมาหลายรูปแบบ โดยมีเป้าหมายให้ผู้ใช้สามารถแก้ปริศนาได้ง่ายขึ้น แต่ยังยากสำหรับบอทอยู่

CAPTCHA แบบดั้งเดิม ที่ปัจจุบันนี้ ก็ยังคงมีเว็บไซต์บางส่วนใช้งานอยู่ จะขอให้ผู้ใช้ดูตัวอักษรที่ถูกบิดเบือนจนเบี้ยว แล้วพิจารณาว่ามันคือ ตัวอักษรอะไรกันแน่ ? แล้วพิมพ์ตัวอักษรที่ถูกต้องลงไปในช่องคำตอบ หากเราตอบถูก เว็บไซต์ก็จะอนุญาตให้คุณดำเนินการคำร้องต่อไปได้ แต่ถ้าตอบผิด ก็ต้องตอบใหม่ซ้ำไปเรื่อยๆ จนกว่าจะถูก

ตรรกะของ CAPTCHA ในอดีตจึงเป็นแค่การคาดการณ์ว่า Bot จะไม่สามารถอ่านอักษรภาพออกนั่นเอง แต่มนุษย์ยังสามารถอ่านข้อความดังกล่าวได้ไม่ยาก อย่างไรก็ตาม บ่อยครั้งที่ ผู้ใช้ต้องเจอกับ CAPTCHA แบบภาพด้านล่างนี้ ซึ่งอย่าว่าแต่ Bot อ่านไม่ออกเลย มนุษย์ก็ยังอ่านไม่ค่อยจะออกเช่นกัน

ภาพจาก : https://www.zuko.io/blog/should-you-use-captcha-on-your-web-forms

จากปัญหาดังกล่าว ทำให้มีคนพยายามคิดค้น CAPTCHA แบบใหม่ๆ ขึ้นมา โดยมุ่งเป้าให้มัน "ง่ายขึ้น" ในขณะที่ยังป้องกัน Bot ได้ ซึ่งก็มีอยู่หลากหลายไอเดีย เช่น ใช้วิธีการสไลด์ ทำโจทย์เลข ฯลฯ 

  
CAPTCHA แบบเลื่อนสไลด์
ภาพจาก : https://coffeebytes.dev/en/my-analysis-of-anti-bot-captchas-and-their-advantages-and-disadvantages/

reCAPTCHA คืออะไร ? (What is reCAPTCHA ?)

reCAPTCHA เป็นไอเดียเยี่ยมยอดที่มหาวิทยาลัยคาร์เนกีเมลลอน (Carnegie Mellon University) ได้คิดค้นขึ้นมา จากที่เรากล่าวไว้ก่อนหน้าว่า CAPTCHA นั้นบังคับให้มนุษย์พยายามแกะตัวอักษรที่อ่านยาก ๆ อยู่แล้ว ดังนั้น ทำไมเราไม่ให้คนเหล่านี้มาพยายามแกะภาพตัวอักษรที่สแกนจากหนังสือ เพื่อตรวจสอบความถูกต้องของข้อมูลด้วยเลยล่ะ ด้วยจำนวนผู้ใช้อินเทอร์เน็ตที่มีอยู่มหาศาล ลองคิดดูสิว่าจะมีแรงงานคนมากขนาดไหนที่ช่วยกันตรวจสอบว่าคำถูกต้องหรือไม่

ระบบนี้ช่วยให้การแปลงเอกสารของ The New York Times ให้เป็นรูปแบบดิจิทัลเป็นไปอย่างรวดเร็ว ภายหลังในเดือนกันยายน ค.ศ. 2009 (พ.ศ. 2552) Google ก็ได้เข้าซื้อกิจการ เพื่อนำมาใช้ในโครงการ Google Books ด้วยวัตถุประสงค์ที่คล้ายคลึงกัน

ข้อมูลคำของ reCAPTCHA จะไม่ใช่กลุ่มคำสุ่มมามั่ว ๆ แบบ CAPTCHA แต่จะเป็นคำที่ได้มาจากการสแกนหนังสือเก่าที่ต้องการแปลงข้อมูลให้อยู่ในรูปแบบหนังสือดิจิทัล ซึ่งการสแกนหนังสือนั้นจะใช้เทคโนโลยี OCR ในการแปลงข้อมูลภาพ ให้กลายเป็นข้อมูลตัวอักษร อย่างไรก็ตาม โอกาสผิดพลาดก็มีสูงมากเช่นกัน โดยเฉพาะอย่างยิ่งหากเป็นหนังสือเก่าเก็บที่สภาพไม่ค่อยดีนัก

หลักการที่น่าสนใจของ reCAPTCHA มีอยู่ว่า จะนำเสนอคำออกมา 2 ชุด โดยหนึ่งในนั้น จะเป็นคำที่ระบบรู้จัก ส่วนอีกคำจะเป็นคำที่ไม่รู้จัก หากผู้ใช้สามารถตรวจสอบคำแรกได้ ระบบก็จะเชื่อมั่นว่าเขาจะพิมพ์คำที่สองถูกด้วยเช่นกัน คำเหล่านี้จะถูกตรวจสอบโดยคนที่เจอกับ CAPTCHA หลายๆ ครั้ง หากมีคนตอบเหมือนกันสัก 100 คน ระบบก็จะเชื่อในคำที่ตอบยังไม่มีอยู่ในระบบ ว่าเป็นคำตอบที่ถูกต้อง

ภาพจาก : https://g-liu.com/blog/2010/04/messing-with-recaptcha/

ปัจจุบัน reCAPTCHA แบบที่ให้ผู้ใช้พยายามอ่านคำไม่ค่อยจะได้เห็นกันแล้ว แต่จะเป็นให้เราคลิกใน Checkbox หรือไม่ก็จิ้มเลือกรูปที่กำหนดเสียมากกว่า ที่น่าสนใจ คือ reCAPTCHA แบบที่เราแค่คลิก Checkbox "I'm not a robot" เพียงอย่างเดียว ก็สามารถยืนยันวาเราเป็นมนุษย์ได้แล้ว หลายคนคงจะสงสัยว่ามันมีหลักการทำงานอย่างไร ?

ภาพจาก : https://forum.wixstudio.com/t/new-feature-recaptcha/34828

ความลับในการทำงานของมัน ไม่ได้อยู่ที่ว่าแค่คลิกแล้วมันรู้ว่าเราไม่ใช่ Bot แต่มันจะอาศัยข้อมูลการเคลื่อนที่ของเคอร์เซอร์เมาส์ โดยรูปแบบการเคลื่อนที่ของเมาส์ที่มนุษย์ลากไปคลิก จะมีความแตกต่างจากการเคลื่อนที่ของเมาส์ที่ Bot ควบคุม ซึ่ง reCAPTCHA จะเอาข้อมูลตรงนั้นมาตัดสินว่าผู้ที่คลิกเป็นมนุษย์หรือ Bot อย่างไรก็ตาม หากระบบไม่แน่ใจ พอเราคลิก Checkbox แล้ว ระบบก็จะให้เรายืนยันอีกทีผ่านการเลือกรูปภาพที่กำหนด

ภาพจาก : https://developers.nopecha.com/token/recaptcha3/

อันที่จริง ยังมี reCAPTCHA แบบที่ไม่ต้องกดอะไรเลยด้วยนะ ใน reCAPTCHA เวอร์ชันล่าสุด มันจะอาศัยข้อมูลพฤติกรรมการใช้งานของมนุษย์ และประวัติการใช้งานเนื้อหาบนอินเทอร์เน็ต ในการตัดสินว่าผู้ใช้ในขณะนี้เป็นคนจริงๆ หรือว่า Bot

ประวัติความเป็นมาของ CAPTCHA (History of CAPTCHA)

CAPTCHA ในปัจจุบันเป็นวิธีการยืนยันตัวตนของมนุษย์ เมื่อใช้งานเว็บไซต์ และบริการต่างๆ บนอินเทอร์เน็ต แต่มีต้นกำเนิดมาได้อย่างไร ? และมีการพัฒนามาไกลขนาดไหนแล้ว ? มาสำรวจประวัติศาสตร์ของ CAPTCHA กันสักหน่อย

ในช่วงทศวรรษที่ ค.ศ. 1980-1990 (พ.ศ. 2533-) ผู้ใช้งานอินเทอร์เน็ตที่ต้องการทำให้ข้อความไม่สามารถอ่านได้โดยคอมพิวเตอร์เป็นกลุ่มแรกที่ทำเช่นนี้คือ แฮกเกอร์ที่ต้องการโพสต์เกี่ยวกับหัวข้อที่ละเอียดอ่อน ซึ่งมักมีเครื่องมือในการตรวจสอบอัตโนมัติโดยใช้คีย์เวิร์ด (Keyword) ​เพื่อหลีกเลี่ยงฟิลเตอร์กรองคำต้องห้าม ต่อมาพวกสแปมโฆษณาก็ใช้เทคนิคนี้ในการฝ่าด่านป้องกันด้วยเช่นกัน พวกเขาแทนที่คำด้วยตัวอักษรที่มีลักษณะคล้ายกัน เช่น คำว่า HELLO ก็พิมพ์ด้วย |-|3||() หรือ )-(3££0 จนฟิลเตอร์ไม่สามารถตรวจจับได้ทั้งหมด เทคนิคนี้ภายหลังได้กลายเป็นที่รู้จักในชื่อ "Leetspeak"

ปัญหาดังกล่าวนำไปสู่การพัฒนาสร้างระบบป้องกัน การสแปม (Spamming) นั่นเอง

ค.ศ. 1996 (พ.ศ. 2539) ตรวจสอบว่ามนุษย์กำลังใช้งานอยู่

ในปี ค.ศ. 1996 (พ.ศ. 2539) Moni Naor ได้เขียนต้นฉบับ (ที่ไม่ได้ตีพิมพ์) ชื่อ "Verification of a human in the loop, or Identification via the Turing Test" หรือแปลภาษาไทยได้ว่า "การยืนยันว่ามนุษย์ยังอยู่ในการใช้งาน หรือการระบุผ่านการทดสอบทัวริง” 

บทความนี้นำเสนอแนวคิดเกี่ยวกับการใช้ "การทดสอบทัวริง" เพื่อยืนยันว่ามนุษย์เป็นผู้ที่ทำการสืบค้นบริการผ่านเว็บไซต์ โดยเขาได้เสนอแนวคิดหลายอย่าง เช่น

• การเข้าใจการแสดงออกทางสีหน้า
• การหาชิ้นส่วนของร่างกาย เช่น จากภาพสัตว์ให้คลิกที่ตาของมัน
• เข้าใจการวาดภาพอย่างง่าย
• เข้าใจลายมือ
• การจำเสียงพูด
• การเติมคำ

ค.ศ. 1997 (พ.ศ. 2540) สิทธิบัตรการพิสูจน์การมีปฏิสัมพันธ์ของมนุษย์ได้รับการจดทะเบียน

ในปีถัดมา มี 2 กลุ่มนักพัฒนาที่ได้ยืนจดสิทธิบัตรที่มีแนวคิดในการทำ "Turing Test" ในเวลาเดียวกัน

• Eran Reshef, Gili Raanan และ Eilon Solan ได้ยื่นจดสิทธิบัตรในฐานะส่วนหนึ่งของงานที่เกี่ยวกับ Web Application Firewall
• Mark D. Lillibridge, Martin Abadi, Krishna Bharat และ Andrei Z. Broder ก็ได้ยื่นจดสิทธิบัตรในฐานะส่วนหนึ่งของงานของพวกเขาที่ Alta Vista

วิธีการป้องกันบอทที่ใช้ "การทดสอบทัวริง" เหล่านี้ มีพื้นฐานจากแนวคิดที่เรียบง่าย นั่นคือมีบางงานที่ง่ายสำหรับมนุษย์ แต่ยังคงยากสำหรับคอมพิวเตอร์ ไอเดียเริ่มต้นคือ อาศัยความยากในการวิเคราะห์ตัวอักษรของ ซอฟต์แวร์จดจำตัวอักษร (OCR) ที่เมื่อเจอกับอักษร หรือตัวเลขที่ไม่ชัดเจน หรือถูกบิดเบี้ยว มันจะอ่านไม่เข้าใจ ในขณะที่มนุษย์ยังสามารถอ่านได้อย่างไม่ยากนัก

สิทธิบัตรของ Alta Vista
ภาพจาก : https://ramimac.me/history-of-captcha

ค.ศ. 200x (พ.ศ. 254x) กำเนิดคำว่า CAPTCHA

เริ่มต้น

ในปี ค.ศ. 2000 (พ.ศ. 2543) นักวิจัยจากมหาวิทยาลัย Carnegie Mellon ประกอบไปด้วย Luis von Ahn, Manuel Blum, Nicholas Hopper และ John Langford ได้เริ่มโครงการ CAPTCHA และได้คิดค้นคำว่า CAPTCHA ซึ่งย่อมาจาก "Completely Automated Public Turing Test To Tell Computers and Humans Apart" ขึ้นมา

ภาพจาก : https://en.wikipedia.org/wiki/CAPTCHA

การทดสอบ Gausebeck-Levchin 

David Gausebeck และ Max Levchin พยายามต่อสู้กับปัญหาการฉ้อโกงของ Paypal โดยเปิดตัว CAPTCHA ที่สามารถใช้ได้จริงเป็นครั้งแรกในปี ค.ศ. 2001(พ.ศ. 2544) พวกเขาตั้งชื่อมันว่าการทดสอบ Gausebeck-Levchin ซึ่งจะแสดงข้อความที่บิดเบี้ยวขึ้นมาให้ผู้ใช้พิมพ์ตามเพื่อยืนยันตัวตน

Yahoo Gimpy

Yahoo ได้ทำงานร่วมกับทีมผู้พัฒนา CAPTCHA เพื่อสร้าง และใช้งาน "Gimpy" ซึ่งเป็นระบบแสดงคำที่บิดเบี้ยวจากพจนานุกรมที่มีอยู่ทั้งหมด 850 คำ อย่างไรก็ตามในปี ค.ศ. 2002 (พ.ศ. 2546) ทีมนักวิจัยจากมหาวิทยาลัย UC Berkeley ได้คิดค้นวิธีโจมตี Gimpy แบบอัตโนมัติขึ้นมา โดยมีอัตราความสำเร็จสูงถึง 83% เมื่อโจมตี Gimpy แบบง่าย และต่ำว่า 30% เมื่อโจมตี Gimpy แบบยาก นี่เป็นจุดเริ่มต้นให้เกิดการวิจัยระยะยาวในการคิดค้น CAPTCHA ที่ยากต่อการโจมตี

ปรับปรุง CAPTCHA

ในปี ค.ศ. 2003 (พ.ศ 2547) นักวิจัยจากมหาวิทยาลัย Carnegie Mellon ผู้ริเริ่มโครงการ CAPTCHA ได้เผยแพร่บทความชื่อ "CAPTCHA: Using Hard AI Problems for Security" บทความนี้กล่าวถึงทฤษฎีของการโจมตี CAPTCHA ด้วย AI ซึ่งยากต่อการป้องกัน เพื่อกระตุ้นการวิจัย และลงทุน การพัฒนา CAPTCHA เพื่อรับมือกับสถานการณ์ในอนาคต 

CAPTCHA แบบรูปภาพ

ในปี ค.ศ. 2005 (พ.ศ. 2548) มีบทความ IMAGINATION ที่นำเสนอแนวคิดการใช้ CAPTCHA ที่อิงจากภาพที่บิดเบี้ยวแทนตัวอักษร

Asirra

Microsoft ได้พัฒนาระบบ CAPTCHA รูปแบบใหม่ในปี ค.ศ. 2007 (พ.ศ. 2550) ที่อาศัยแนวคิดการแยกแยะระหว่างแมว และสุนัข เรียกว่า Asirra โดยใช้ร่วมมือกับเว็บไซต์ Petfinder เพื่อนำภาพมาใช้ในระบบนี้ อย่างไรก็ตาม Asirra ได้ปิดตัวลงอย่างถาวรในปี ค.ศ. 2014 (พ.ศ. 2557)

ภาพจาก : https://www.drupal.org/project/asirra_antispam

ReCAPTCHA

โครงการ CAPTCHA ของมหาวิทยาลัย Carnegie Mellon ได้พัฒนา ReCAPTCHA เปิดตัวในปี ค.ศ. 2007 (พ.ศ. 2550) ซึ่งเป็นการต่อยอดจาก CAPTCHA แบบ OCR ที่ช่วยการดิจิไทซ์ (Digitizing) ข้อความที่ OCR ไม่สามารถทำได้ โดยเริ่มจากการแปลงข้อมูลเก่าของหนังสือพิมพ์ The New York Times

ในปีเดียวกัน Luis von Ahn ได้แยก ReCAPTCHA ออกมาก่อตั้งเป็นบริษัทโดยเฉพาะในชื่อเดียวกัน และภายหลัง Google ได้ซื้อกิจการ ReCAPTCHA ในปี ค.ศ. 2009 (พ.ศ. 2552) เพื่อนำไปใช้กับข้อความจาก Google Books

ค.ศ. 201x (พ.ศ. 255x) วิวัฒนาการของ ReCAPTCHA

ReCAPTCHA V2

Google ได้อัปเดต ReCAPTCHA เป็นครั้งแรกในปี ค.ศ. 2012 (พ.ศ. 2555) โดยเพิ่มภาพชื่อถนน และที่อยู่จาก Google Maps เข้ามา และในปีถัดมาก็ได้เปิดตัว "No CAPTCHA reCAPTCHA" ซึ่งถือว่าเป็นเวอร์ชัน 2 ของ ReCAPTCHA โดยในเวอร์ชันนี้มีการนำข้อมูลพฤติกรรมของผู้ใช้มาประเมินความเสี่ยง และบางครั้งอนุญาตให้ผู้ใช้ที่มีความเสี่ยงต่ำสามารถยืนยันตัวตนได้ด้วย คลิกยืนยันโดยไม่ต้องแก้ปริศนาเลย และยังมีการนำปริศนารูปแบบใหม่มาใช้ในการยืนยันความเป็นมนุษย์ด้วย โดยเริ่มจากการจับคู่รูปภาพ

ภาพจาก : https://ramimac.me/history-of-captcha

reCAPTCHA แบบล่องหน

ในปี ค.ศ. 2017 (พ.ศ. 2560) Google ได้พัฒนา "Invisible reCAPTCHA" ทำงานแบบล่องหน โดยอาศัยการวิเคราะห์พฤติกรรมของผู้ใช้เหมือนเช่นเคย แต่ว่าจะทำงานซ่อนตัวอยู่พื้นหลังอย่างสมบูรณ์แบบ ผู้ใช้ไม่ต้องคลิกอะไรเลยแม้แต่นิดเดียว

อย่างไรก็ตาม การใช้วิธีวิเคราะห์พฤติกรรมในการพิสูจน์ความเป็นมนุษย์ ได้เริ่มสร้างความกังวลเกี่ยวกับความเป็นส่วนตัว เพราะในการวิเคราะห์นี้ จะมีการเก็บโปรไฟล์ของอุปกรณ์ และเก็บข้อมูลจาก เว็บคุกกี้ (Web Cookie) มาใช้วิเคราะห์

reCAPTCHA เวอร์ชัน 3

ในปี ค.ศ. 2018 (พ.ศ. 2561) เปิดตัว reCAPTCHA v3 มีการเพิ่มระบบคะแนนสำหรับแต่ละคำขออย่างชัดเจนแก่เว็บไซต์ที่ฝัง CAPTCHA ไว้ ทำให้สามารถควบคุมการให้บริการ CAPTCHA ได้อย่างละเอียดมากขึ้น มีความเหมาะสมกับสถานการณ์ต่าง ๆ

hCAPTCHA 

ในปี ค.ศ. 2018 (พ.ศ. 2561) มีการเปิดตัว hCAPTCHA โดยมันวางตำแหน่งของตัวเองไว้เป็นอีกทางเลือกที่สามารถใช้งานแทน ReCAPTCHA ได้ มีจุดขายที่เน้นรักษาความเป็นส่วนตัว โดยในช่วงแรก hCAPTCHA ได้หาเงินลงทุนจากการร่วมมือกับบริษัทต่าง ๆ ที่ต้องการนำภาพสินค้ามาใช้ในการยืนยันตัวตน แต่ภายหลังมันกลายเป็นส่วนหนึ่งของ Human Protocol บริษัทที่ใช้ Blockchain ในสร้างระบบการทำงานแบบ โอเพ่นซอร์ส (Open-Source) หรือเปิดเผยซอร์สโค้ดนั่นเอง

ภาพจาก : https://blog.openresty.com/en/edge-hcaptcha/

Privacy Pass

นอกจาก hCAPTCHA แล้ว ในปี ค.ศ. 2018 (พ.ศ. 2561) ยังมี Privacy Pass ที่เปิดตัวมาแข่งกับ ReCAPTCHA ด้วยเช่นกัน ทำงานแบบไม่มีการระบุตัวตนของผู้ใช้ แต่อาศัย ส่วนขยาย (Extension) ของเว็บเบราว์เซอร์ มาช่วยสร้างโทเค็น (Token) สำหรับยืนยันตัวตน อย่างไรก็ตาม Privacy Pass ไม่ได้รับความนิยมเท่าไหร่นัก มีเพียง Cloudflare ที่เป็นผู้สนับสนุนหลัก และ hCAPTCHA เพียงสองรายที่สนับสนุนการใช้โทเค็นนี้

ค.ศ. 2020 (พ.ศ. 2563) - ปัจจุบัน

เป็นช่วงเวลาที่ CAPTCHA ยังคงมีความท้าทายกับการรักษาความปลอดภัยในการยืนยันว่า ผู้ใช้เป็นมนุษย์จริง ๆ ไม่ใช่บอทที่ถูกแฮกเกอร์สร้างขึ้นมา

Cryptographic Attestation of Personhood

Cryptographic Attestation of Personhood หรือ การพิสูจน์ตัวตนด้วยการรับรองแบบเข้ารหัส เป็นเทคนิคที่ทาง  Cloudflare เป็นผู้นำเสนอมันในปี ค.ศ. 2021 (พ.ศ. 2564) วิธีนี้จะใช้การรับรองผ่าน WebAuthn Attestation เพื่อยืนยันตัวตน

Private Access Tokens

ในปี ค.ศ. 2022 (พ.ศ. 2565) Cloudflare ร่วมมือกับ Apple เพื่อขยายการใช้งาน Privacy Pass ให้สามารถทำงานร่วมกับ Private Access Tokens อย่างไรก็ตาม มีเพียง Fastly และ Cloudflare เท่านั้น ที่รองรับโทเค็นตัวนี้ โดยมี Apple เป็นฝ่ายรับรองตัวตนของผู้ใช้

Turnstile

ในช่วงปลายปี ค.ศ. 2022 (พ.ศ. 2565) Cloudflare ได้เปิดตัว "Turnstile" เป็น CAPTCHA ที่รวมเทคโนโลยีต่าง ๆ เข้าไว้ด้วยกัน เช่น มีการวิเคราะห์พฤติกรรมขลูกค้า, รวม Private Access Tokens เข้ามา, ตรวจสอบ API ของเว็บไซต์ ฯลฯ เพื่อนำข้อมูล มาใช้ในการตรวจจับพฤติกรรมแปลกปลอมของเบราว์เซอร์ และพฤติกรรมของมนุษย์"

CAPTCHA มีประสิทธิภาพขนาดไหน ? (How effective is CAPTCHA ?)

ว่ากันตามตรง มันก็เหมือนเกมไล่จับหนู แฮกเกอร์สรรหาวิธีมากมายในการแก้ CAPTCHA ตั้งแต่การใช้ฐานข้อมูลในการวิเคราะห์ตัวอักษรที่บิดเบี้ยว ใช้สคริปต์ที่ Bypass ระบบ CAPTCHA ยิ่งปัจจุบันนี้ มีการพัฒนา AI ขึ้นมาแก้ปัญหา CAPTCHA เลยด้วยซ้ำไป

อย่างไรก็ตาม ก็ปฏิเสธไม่ได้ว่า CAPTCHA ก็ยังช่วยกัน Bot ส่วนใหญ่ได้เป็นอย่างดี