Комментарии 38
Ого! Статья выложена 10 минут назад - думаю вас уже завалили предложениями о взломе нужных акков! Ну или предприимчивые школьники могут скачать ваши файлы и...
Впрочем брутфорс он и есть брутфорс - длина пароля должна от него спасать.
---
Интересно подискутировать - отомрет ли капча как метод защиты с распространеним ИИ?
Я замечал, что иногда бывают такие сложные капчи, что я сразу нажимаю кнопку перегрузить, потому что даже не хочу напрягаться - с большой вероятностью я ошибусь.
---
Интересно - а есть ли эти базы распознанных капч для разных сервисов? Имхо вполне так dark-товар.
Капча просто эволюционирует, да и все на этом.
В том же дарке на одном из сайтов капча представлена в виде псевдо-3d текста, который сначала нужно развернуть ползунком, чтобы прочитать.
Опять же, гугл капча с её светофорами и прочим.
Скорее интересно, во что эволюционирует капча лет через 5.
У Microsoft тоже капча псевдо-трехмерная, там надо человечка на объект поставить... Картинки каждый раз еще и под разным ракурсом, с эффектом боке, размытием и т.д. И не сразу поймешь, что и как решать. Причём подходов аж 6 штук!
Очень недевственный ребус, рекомендую решать его в собранном и максимально адекватном состоянии:
Не для ̶с̶л̶а̶б̶о̶н̶е̶р̶в̶н̶ы̶х̶ ИИ
Придётся наверное сетчаткой глаза подтверждать или отпечатком пальца)
Нужно будет подтверждать сетчаткой глаза)
В отпечаток сетчатки глаза с таким темпом)
мне кажется что вот это вот все слишком просто. Если понять как под капотом устроен поворот 3d текста, его и робот повернет. А светофоры выбрать GPT сможет. Думаю, было бы сложнее, если бы капча предлагала сыграть в мини игру (3 в ряд, и многие другие). Может даже пройти задания вроде дойти конем по шахматной доске из точки А в точку Б. И чтобы таких вариантов было очень много. И чтобы их можно было добавлять без серьезного вмешательства в работу сервера. Тогда придется обучать ИИ понимать какое задание перед ним и обучать выполнять каждое.
По моему мнению, если грамотно построить сеть, то она будет решать капчи в разы лучше, чем реальные пользователи: если она поймет их принцип (найдет все нужные фичи и научится-таки отличать 'v' от 'y'), то текстовые капчи с концами отомрут.
Ну а начёт датасетов — не знаю, не интересовался. Зато я знаю, что есть платные решения-подписки для "профессиональных спамеров" (от 100$/месяц), которые обучены на огромных датасетах капч разных сервисов и ломают почти любую капчу (например, насколько я понял, в сервисе captcha.guru как раз используется такой бот)
Автор - большой респект. Но я бы все равно подумал по поводу нейросетей. RNN очень много жрет. Поэтому можно было бы использовать только CNN, а в конец добавить обычные перцептроны. Если я правильно понимаю то текстовый код имеет определенную длину. Так же у тебя не пропорционально сжимаются картинки. И вообще не понятно зачем reshape после если его нужно делать до? Конечно у тебя так долго обучалась сеть. Мне было бы интересно увидеть статистику. Accuracy недостаточно. Было бы интересно так же сравнивать с каким нибудь ocr с обработкой изображений.
Цель статьи не рассказать о реальном применение нейросети, а больше обвинить ВК. Конечно мне нравится что ВК бьют, но все же было бы интересно видеть на Хабре подробные статьи. Хотелось бы сравнение уже имеющихся решений с решением созданным автором. Вот другие примеры решения каптч: у гугл рекаптча есть специальный extension для его обхода использую сам google api или gpt4 уже может обходить каптчу.
К сожалению, я недостаточно технически подкован в теме нейросетей, поэтому не могу как-то прокомментировать Ваши доводы.
Но в целом в статье я говорил, что, вероятнее всего, можно сконструировать модель гораздо лучше моей. Я всего лишь взял готовый код и переделал его под себя так, как посчитал нужным, и получил уже такие вполне рабочии результаты (не было цели добиться 98% успеха)
Будет интересно посмотреть на другие версии моделей, если такие есть/будут и сравнить их на практике.
А как обстоят дела с капчой типа выбери картинки?
Не знаю, не интересовался.
Но это совсем другая модель нужна — object recognition.
Есть прикол для google recaptcha:
https://chrome.google.com/webstore/detail/buster-captcha-solver-for/mpbjkejclgfgadiemmefgebjfooflfhl
У меня у самого уже в печенках сидит эта капча с буквами и светофорами, но увы без нее щас никуда, спамеры и горе хакеры придут на ваш сайт толпами. Изучал альтернативные варианты что можно сделать чтобы и спамеров с хакерами отбить и людям было хорошо. Вот что удалось найти - это альтернатива от Cloudflare, замена привычной капчи которая проверяет браузер, а не знаение светофоров: https://blog.cloudflare.com/turnstile-private-captcha-alternative/
Еще была идея сделать PoW вместо капчи: https://habr.com/ru/post/580540/ но там полно подводных камней и нет уже проверенного временем решения.
Если у кого-то есть решения которые реально работают и имею дружелюбный способ проверки для пользователя, дайте мне знать что поставить на свой сайт?
Для незаметности прекрасно подойдёт google recaptcha V3. Она вообще не беспокоит пользователя, но достаточно хорошо помогает отсеивать ботов.
А для обхода капчи с cloudflare можно воспользоваться https://pypi.org/project/cloudscraper/ :)
recaptcha V3 идет от «Корпорации добра» и меня это немного напрягает, бог знает что они там собирают и за чем следят. Cloudflare согласен можно обойти, не сильно продвинутая защита, но простых спамеров и ботов отсеивает. Proof of Work метод для меня наиболее предпочитителе т.к. полностью self-hosted и сильно напрягат устройство спамера и хакера. У меня оновная задача защита от подбора пароля и взлом аккаунтов. Может есть что-то для таких целей малопопулярное о чем мало гворят, но что имеет высокую эффективность?
Насчёт proof of work сильно сомневаюсь, что выйдет что-то годное.
Потому что то, что на js будет решаться 1сек — на c++ будет работать за 0.2с, на видеокарте, распараллелив — 0.02с, а если кто-нибудь додумается подключить биткоин майнер.... То всё, капут)
А если через 5 попыток не верного входа бан по IP? Пусть у тебя есть видеокарта для взлома но далеко на ней не уехать, и купить для взлома куча IP тоже проблема, это в копеечку влетит. Может Proof of Work не так плох в купе с другими вариантами бана и проверки?
А зачем тогда вообще Proof Of Work? Насколько я понимаю, капча изначально и задумывалась как альтернатива бану по IP — например, если на 1 вайфае (например, в кафе) сидят 100 человек, и один неправильно 5 раз ввел пароль, то что, всем доступ перекрывать?
Открытый cloudscraper обходит только капчу v1, насколько я помню. Для чего-то посложнее либо воспользоваться его интеграциями к решателям, либо заплатить за его приватную платную версию. Так что он достаточно бесполезен.
Ну и, конечно, не используйте никакие публичные данные в своих паролях: сильному паролю — капча, не капча — всё нипочём!
К тому же есть 2FA.
Остался один вопрос - что делать с капчами, которые я сам не могу разобрать? Не часто, но встречаются...
хотя бы условие несодержания имени/фамилии и даты рождения (правда 50% паролей пойдут в мусорку, но им туда и дорога?).
майл.ру уже. Причем в наиболее параноидальном варианте. Например имя - Моёимя. Отвергаются даже варианты типа мвоЁ%иМя891. Как результат - забыл записать новый пароль и благополучно его забыл. Привязка к другому е-майл не помогла, телефон не привязывал, ответ на вопрос "Любимое блюдо" был благополучно забыт за давностью лет. Контроль зад почтой утерян. Спасибо, майл.ру!
Здравствуйте. Для обеспечения безопасности почтового ящика мы рекомендуем указывать сложные пароли. Если у вас возникли какие-то проблемы с восстановлением, напишите нам, пожалуйста, об этом через нашу форму https://help.mail.ru/surveys/claims
А потом выходит
новая версия капчи
Проблема то не в капчах, а то почему ВК не идентифицирует такое кол-во попыток и не блочит аккаунт либо ip
а давно школьники спамеры захватили хабр?
Ломаем текстовую капчу на примере VK или брутфорсинг до сих пор актуален