CAPTCHA: uno strumento di sicurezza sempre più diffuso

CAPTCHA: uno strumento di sicurezza sempre più diffuso

Sono convinto che i lettori incontrino sempre più spesso questo strumento di sicurezza, che serve a distinguere un uomo da un robot. Vediamo come funziona.

Cominciamo a scomporre questo acronimo, che significa “Completely Automated Public Turing Test To Tell Computers And Humans Apart”.

Grazie a questo accorgimento, è possibile che un sito Web possa verificare se il soggetto che sta prendendo contatto con il sito sia un robot, oppure un essere umano. Si presume infatti che un robot abbia notevoli difficoltà nel decodificare il messaggio e digitarlo nell’apposita finestra.

La versione che ho allegato a questo articolo è una delle più semplici, ma ve ne sono di molto più complesse, in cui le lettere sono intercalate o circondate da segni grafici vari, in modo che solo un occhio umano possa riconoscere correttamente i caratteri da digitare nell’apposita finestra.

L’obiettivo di questo test di Turing è quello di chiedere al navigatore di effettuare una operazione, che un software non riesce a effettuare. Il tipo più corrente di test è quello nel quale si richiede all’utente di vedere una stringa distorta di caratteri alfa numerici e digitare tali caratteri in un’apposita finestrella.

Pubblicità

Come accennato, più complicata diventa la faccenda quando i caratteri alfanumerici sono difficilmente riconoscibili e, in questo caso, normalmente il navigatore può richiedere un secondo test.

Ancora più complicati sono i test nei quali vengono offerte delle immagini, ed il navigatore deve cliccare solo sulle immagini che contengono un determinato elemento di riferimento, come ad esempio un albero o simili.

Le versioni più elementari di questo test mettono a disposizione una finestrella, nella quale il navigatore deve effettuare un clic, per dichiarare di non essere un robot.

Vediamo adesso quali sono i vantaggi e gli svantaggi di questa tecnica garantistica di separazione tra uomo e macchina.

Uno dei vantaggi per i quali il test viene usato sempre più spesso riguarda il blocco di applicativi di spam, che possono mandare messaggi di posta elettronica, pubblicità od altro. Un altro vantaggio sta nel fatto che l’inserimento di questa tecnica di verifica in un sito Web è molto semplice.

Ciò non toglie che gli attaccanti, sempre alla ricerca di nuovi strumenti per bypassare misure di sicurezza, possano usare degli algoritmi automatici, che fanno riferimento a un certo numero di esempi di test, per capire quale sia la tecnica necessaria per individuare il codice corretto.

Esistono anche alcuni algoritmi, che vengono inseriti nel sito Web, che permettono di rispondere automaticamente alla sfida del test, e che vengono prevalentemente usati da navigatori che possono avere difficoltà di visione.

Questa tecnica di prova è nata nel lontano 1997, quando cominciarono a diventare sempre più frequenti gli attacchi automatizzati ai siti Web, e gli specialisti misero a punto delle tecniche di difesa, tra le quali questo è quello che ad oggi ha assunto la maggiore diffusione.

In attesa che i malviventi riescano a superare con facilità anche questo nuovo ostacolo, penso sia comunque opportuno che il test di Turing venga inserito nelle pagine di un sito Web, per diminuire la probabilità di attacchi criminosi.

Adalberto Biasiotti

Questo articolo è pubblicato sotto una Licenza Creative Commons.

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.