Szinte mindenki találkozik captcha alapú védelemmel valahol a weben: legtöbbször kommenteléshez illetve védett oldalakra lépéshez alkalmazzák a kissé eltorzított betűket, azonban ez a módszer sem verhetetlen.
A captcha alapötlete abból származott, hogy a felhasználónak képfájl formájában mutatják be az eltorzított karaktereket, ezek alapján kell a szövegmezőbe begépelni a belépéshez szüjkséges kódot. A módszer előnye az, hogy itt semmilyen visszafejthető, szöveges formában nem található meg a weboldal motorjában a kód, ezért a különféle adatbányász feltörési módszerek kudarcot vallottak.
Tényleg emberből vagy? ■ A captcha eddigi sikere pont a kép alapú megközelítésből származott, ezzel ugyanis az automatizált "kódtörők" gyakorlatilag semmilyen kapaszkodóval nem rendelkeztek a kód megfejtésére. Sok captcha még ma is úgy kéri a kód beírását, hogy kedvesen közli: "az alábbi képen látható kód beírásával bizonyítsd be, hogy ember vagy".
A technológiát legelőször az ezredfordulón használták az AltaVista keresőben annak megakadályozására, hogy automata rendszerek kártékony vagy reklámcélú oldalak címeit táplálhassák be a kereső adatbázisába. A furcsának hangzó név is a módszer nevének rövidítéséből fakad (captcha = Completely Automated Public Turing-test to tell Computers and Humans Apart, azaz Teljesen Automatizált Turing-teszt a Számítógépek és Emberek Megkülönböztetésére).
Áttört védelem ■ A Stanford Egyetem kutatói most egy olyan módszerről adtak számot, amely képes újszerű módon visszafejteni a képfájlokon található torzított karaktereket. A grafikai algoritmus előre beállított példák és metódusok segítségével elsőként azt fejti meg, milyen módon torzíthatták el a képeken látható karaktereket, ezután pedig megkísérli a torzítás inverzét alkalmazni, végül pedig egy szimpla szövegfelismerő (OCR) számítógépes karakterekké alakítja a kinyert képet.
A megoldás természetesen még nem száz százalékos, leginkább annak köszönhetően, hogy a captcha többféle variánsa terjedt már el a világon. A szimplán megnyújtott vagy hullámoztatott karakterek mellett olyanok is ismertek, ahol "direkt bekoszolt" rétegeket helyeznek a kód elé, esetleg geometriai formákat, matematikai egyenleteket kell felismernie a felhasználónak.
Ennek ellenére a hatásfok már jelentős: a Visa által működtetett authorize.net kódjainak 66 százalékát, vagy a Blizzard Entertainment által használt kódok 70 százalékát sikerült automatikusan megfejtenie a Stanford szakembereinek. A teszt során a legerősebbnek az eBay és a Reddit kódjai bizonyultak, ezeknek csupán 43 illetve 24 százalékánál sikerült eredményesen alkalmazni a megoldást.
Természetesen ez a kutatás demonstrációs, figyelemfelkeltési célokat szolgál arra, hogy az eddig bombabiztosnak hitt captcha sem nyújt száz százalékos védelmet. A weboldalak üzemeltetőinek nem árt odafigyelni arra, hogy többféle különböző védelemmel szabjanak gátat az automatikus komment- vagy linkáradatnak, a webes biztonsági megoldások fejlesztőinek pedig ideje elgondolkozniuk valami teljesen újszerű technológián.
