Thực ra đây không phải là một bài kiểm tra khó, đối với bạn nó rất đơn giản và dễ dàng. Nhưng với một chiếc máy tính thì bài toán này không hề dễ chút nào. 

Bài kiểm tra này mang tên CAPTCHA, một bài kiểm tra hoàn toàn tự động để phân biệt người và máy, hay còn có tên gọi HIP (Human Interaction Proof- Bằng chứng tương tác con người). Chắc bạn đã gặp CAPTCHA trên rất nhiều trang web. Trong đó dạng quen thuộc nhất của CAPTCHA là một hình ảnh gồm các ký tự bị bóp méo. Và công việc của bạn là phải gõ lại đúng các ký tự này vào một ô vuông. Nếu những gì bạn gõ khớp với hình ảnh trên thì bạn đã vượt qua bài kiểm tra. 

Dịch vụ Gmail của Google yêu cầu người dùng phải nhập CAPTCHA trước khi tạo tài khoản. 

Nhưng tại sao lại cần tạo ra một bài kiểm tra để phân biệt người và máy? Đó là bởi có một số kẻ luôn muốn lợi dụng website – chúng muốn khai thác các điểm yếu trong những máy tính điều khiển website này. Tuy những kẻ như vậy chỉ chiếm thiểu số trong những người dùng Internet nhưng hành động của chúng có thể gây ảnh hưởng đến nhiều triệu người dùng web. Ví dụ như, một dịch vụ mail miễn phí có thể bị một phần mềm tự động liên tục yêu cầu lập tài khoản. Chương trình tự động này có thể là một khâu trong âm mưu phát tán spam tới hàng triệu người dùng web. Và CAPTCHA sẽ giúp kiểm tra xem những người dùng nào là người thật, và “người” dùng nào thực ra là chương trình máy tính. 

­Một điều thú vị về những bài trắc nghiệm CAPTCHA là những người thiết kế bài trắc nghiệm sẽ không hài lòng khi những bài kiểm tra của họ lại luôn luôn được các thí sinh vượt qua . Đó là bởi mỗi khi điều đó xảy ra, tức là đã có người tìm được cách dạy cho máy tính cách giải bài toán. Nói cách khác, mỗi sự thất bại của CAPTCHA là một bước tiến trong công nghệ trí thông minh nhân tạo. 

CAPTCHA và kiểm định Turing 

Công nghệ CAPTCHA bắt nguồn từ một thí nghiệm mang tên Kiểm định Turing. Alan Turing, đôi khi được gọi là cha đẻ của điện toán hiện đại, đã sáng chế ra kiểm định này để kiểm tra xem máy móc có biết suy nghĩ – hay có vẻ suy nghĩ – như con người không. Bài kiểm định cổ điển là một trò chơi mô phỏng. Trong trò chơi này, một người chất vấn sẽ hỏi 2 người tham gia một loạt câu hỏi. Một trong hai người tham gia là người thật, còn “người” kia là máy. Người chất vấn không thể nhìn thấy hoặc nghe thấy hai người tham gia và không thể biết được đâu là người và đâu là máy. Nếu kết thúc bài kiểm tra mà người chất vấn vẫn không xác định được đâu là máy thì cỗ máy đó đã vượt qua bài kiểm tra. 

Tất nhiên, với CAPTCHA, mục đích là tạo ra một bài kiểm tra mà người có thể dễ dàng qua, còn máy thì không. Điều quan trọng là ứng dụng CAPTCHA sẽ phải hiển thị được nhiều CAPTCHA khác nhau cho những người dùng khác nhau, nhưng lại không quá lâu đến nỗi spammer phát hiện ra mẫu, giải mã ký tự, và lập trình một ứng dụng tự động trả lời được câu hỏi.  

Không phải tất cả CAPTCHA đều bắt bạn gõ chữ. Phiên bản này yêu cầu người dùng dùng chuột để vẽ một hình nhất định trong ảnh.  

Hầu hết, nhưng không phải tất cả CAPTCHA đều dùng kiểm định thị giác. Máy tính không có được sự tinh tế như con người trong việc xử lý dữ liệu thị giác. Chúng ta có thể nhìn một hình ảnh rồi nhận ra dạng hình học của nó nhanh hơn và dễ hơn máy tính. Đôi khi trí óc con người còn nhận ra được những hình ảnh mà thực ra không tồn tại. Bạn đã bao giờ nhìn ra một hình ảnh nào đó trong đám mây hay trên mặt trăng chưa? Đó là do bộ não của bạn cố liên kết những thông tin ngẫu nhiên thành các dạng hình học khác nhau.   

Nhưng không phải tất cả CAPTCHA đều dùng hình ảnh để kiểm tra. Trong thực tế rất cần một phương pháp khác để thay thế CAPTCHA thị giác. Nếu không website sẽ có nguy cơ loại bỏ người dùng thị lực kém hoặc mất thị lực. Một cách khác đó là tạo một CAPTCHA âm thanh, đưa ra một dãy âm thanh các tiếng bị bóp méo. Thường thì chương trình sẽ làm méo hoặc làm rè giọng nói. Điều này giúp hạn chế việc sử dụng chương trình nhận diện âm thanh. 

Một tùy chọn khác đó là tạo một CAPTCHA yêu cầu người đọc dịch một đoạn chữ ngắn để kiểm tra kỹ năng hiểu của họ. Bởi tuy máy tính có thể nhận ra từ khóa trong đoạn văn, nhưng chúng không thể hiểu được từ đó có nghĩa thực sự là gì. 

Trong phần tiếp theo, chúng ta sẽ tìm hiểu những loại website sử dụng CAPTCHA để kiểm tra xem bạn có phải là người hay không.  

Ai sẽ dùng CAPTCHA

Một ứng dụng quen thuộc của CAPTCHA là để chứng thực các phiếu bầu trực tuyến. Trong thực tế, kiểu bỏ phiếu Slashdot trước đây sẽ rất dễ bị sai lệch nếu người chủ trì không sử dụng bộ lọc cho bài khảo sát của mình. Năm 1999, Slashdot tiến hành một cuộc bỏ phiếu để chọn ra trường sau đại học nào có khoa dạy Khoa học máy tính tốt nhất. Và kết quả là sinh viên của hai trường Carnegie Mellon và MIT đã tạo ra một chương trình tự động gọi là Botđể liên tục bỏ phiếu cho trường họ. Mỗi trường trong số hai trường này đều được vài nghìn phiếu, trong khi các trường khác chỉ được vài trăm. Nếu việc tạo ra một chương trình bỏ phiếu tự động như vậy quá dễ thì làm sao có thể tin tưởng các cuộc điều tra trên mạng nữa? Khi đó CAPTCHA sẽ giúp giải quyết vấn đề. 

Các bản đăng ký trên nhiều website thường sử dụng CAPTCHA. Ví dụ như các dịch vụ mail Hotmail, Yahoo! Mail hay Gmail cho phép người dùng tạo ra một tài khoản mail miễn phí. Thường thì họ sẽ phải cung cấp thông tin cá nhân khi tạo tài khoản, nhưng dịch vụ mail không kiểm chứng các thông tin này mà dùng CAPTCHA để chặn spammer sử dụng Botđể tạo hàng loạt tài khoản. 

Yahoo sử dụng CAPTCHA chuỗi chữ và số thay vì chỉ dùng chữ mỗi khi người dùng đăng ký tài khoản Yahoo!  

Các trang bán vé trực tuyến như TicketMaster cũng dùng CAPTCHA. Các ứng dụng này giúp chặn những kẻ phe vé khỏi đặt mua vé hàng loạt trước các sự kiện lớn. Nếu không có bộ lọc, kẻ xấu có thể dùng Bot để mua hàng ngàn vé chỉ trong vài giây. Khi đó các fan chân chính sẽ bị thiệt bởi vé bị bán hết chỉ trong vài phút. Sau đó những tên phe vé sẽ bán những tấm vé mua được với giá cắt cổ. Và mặc dù CAPTCHA không chặn nạn phe vé nhưng nó giúp tình trạng này trở nên đỡ nhức nhối hơn. 

Một số trang web có đặt bảng tin nhắn hoặc form liên lạc để khách có thể đưa tin nhắn lên website hoặc gửi chúng đến Admin. Và để chặn Spam, nhiều trang trong số này đã dùng CAPTCHA để lọc những kẻ phá đám. Tất nhiên CAPTCHA không ngăn được ai đó cố tình đưa những tin nhắn thô lỗ hoặc quấy rầy Admin, nhưng nó giúp chặn Bot tự động gửi tin nhắn. 

Dạng CAPTCHA thường gặp nhất yêu cầu người dùng gõ một từ hoặc một chuỗi từ và số đã được bóp méo theo một cách nào đó. Một số người tạo CAPTCHA lại nghĩ ra cách tăng giá trị của ứng dụng: số hóa những quyển sách. Ứng dụng mang tên reCAPTCHA sẽ yêu cầu người dùng gõ nội dung của một đoạn văn bản đã được quét vào. Do không phải lúc nào máy tính cũng nhận diện được ký tự từ bản quét nên người dùng sẽ phải tự kiểm định xem trang đó viết gì. Sau đó các công cụ tìm kiếm có thể tìm và phân loại nội dung của trang được quét.  

Và đây là cách hoạt động của reCAPTCHA: đầu tiên, admin của chương trình reCAPTCHA sẽ tự động quét một cuốn sách. Sau đó reCAPTCHA sẽ chọn 2 từ trong những file ảnh đó. Khi đó ứng dụng này đã nhận ra một trong hai từ trên. Nếu người dùng gõ từ này vào đúng trường cần điền thì ứng dụng sẽ mặc định rằng từ thứ hai cũng sẽ được gõ đúng. Từ thứ hai này sẽ được đưa vào ngân hàng từ vựng để sử dụng cho những người dùng khác. Khi mỗi người dùng gõ một từ, ứng dụng sẽ so sánh từ đó với câu trả lời ban đầu. Cuối cùng ứng dụng sẽ gom đủ số lượng câu hỏi để xây dựng độ chắc chắn cao. Sau đó từ này sẽ được bổ sung vào ngân hàng từ vựng đã kiểm chứng. 

Nghe có vẻ mất thời gian nhưng cần nhớ rằng trong trường hợp này CAPTCHA đã cùng lúc thực hiện hai chức năng. Nó không chỉ kiểm tra nội dung của một cuốn sách số mà còn kiểm tra xem người đang đăng ký có phải là người thật hay không. Đến lượt mình, những người này sẽ được truy cập vào một dịch vụ họ muốn sử dụng. 

Cách tạo một CAPTCHA

Bước đầu tiên trong việc tạo ra một CAPTCHA là quan sát sự khác nhau trong cách xử lý thông tin của người và máy. Máy móc thì tuân theo các tập lệnh có sẵn. Nếu thứ gì đó nằm ngoài “tầm phủ sóng” của các tập lệnh này, máy tính không thể thực hiện được. Người thiết kế CAPTCHA cần phải tính đến điều này khi xây dựng bài kiểm định. Ví dụ như, rất dễ để xây dựng một chương trình sử dụng metadata– thông tin trên web mà con người không thể nhìn thấy nhưng máy tính có thể đọc được. Nếu bạn tạo ra một CAPTCHA mà metadata của hình ảnh đó chứa sẵn lời giải thì CAPTCHA của bạn đã trở nên vô dụng. 

Tương tự, rất không thông minh khi tạo ra một CAPTCHA không làm méo được chữ hoặc số. Một chuỗi ký tự không bị làm méo thì chẳng có gì an toàn. Nhiều loại chương trình máy tính có thể quét hình ảnh và nhận ra những hình dạng đơn giản như chữ và số. 

Một cách để tạo CAPTCHA là chọn trước hình ảnh và cách xử lý nó. Cách làm này cần đến một cơ sở dữ liệu bao gồm tất cả các cách xử lý CAPTCHA, giúp đảm bảo độ tin cậy của bài kiểm định. Theo hai chuyên gia nghiên cứu của Microsoft là Kumar Chellapilla và Patrice Simard thì con người có 80% khả năng thành công khi giải CAPTCHA, nhưng máy tính chỉ có 0,01% [nguồn: Chellapilla and Simard]. Nếu một spammer tìm ra được danh sách tất cả các cách xử lý CAPTCHA, hắn có thể tạo được một ứng dụng dội bom CAPTCHA  với tất cả những câu trả lời có thể. Như vậy cơ sở dữ liệu phải có trên 10,000 CAPTCHA thì mới đạt tiêu chuẩn CAPTCHA tốt.

Các ứng dụng CAPTCHA khác lại tạo ra một chuỗi các chữ số và chữ cái ngẫu nhiên. Khi đó bạn hiếm khi gặp lại một chuỗi ký tự đến hai lần. Cách này loại bỏ khả năng tấn công như ở trên – xác suất để dò tìm câu trả lời đúng một chuỗi ký tự ngẫu nhiên là rất thấp. Và chuỗi càng dài thì xác suất này càng ngắn. 

CAPTCHA có nhiều cách khác nhau để làm méo từ: kéo dài, bóp méo chữ cái một cách kỳ quặc như thể bạn đang nhìn qua một tấm kính nung chảy; phủ lên ký tự một tấm lưới hay bẻ gãy chữ cái; dùng màu sắc hoặc vùng chấm khác nhau để tạo ra cùng hiệu ứng. Cuối cùng vẫn chỉ để đạt một mục đích: khiến máy tính khó nhận ra được CAPTCHA. 

Các nhà thiết kế cũng có thể tạo ra những câu đố hoặc vấn đồ mà con người rất dễ giải quyết. Một số CAPTCHA lại dùng thuật nhận diện khuôn mẫu và phép ngoại suy. Ví dụ, một CAPTCHA có thể chứa một dãy hình dạng và yêu cầu người dùng xem hình nào trong số các lựa chọn sẽ xuất hiện tiếp theo. Vấn đề ở đây là không phải người nào cũng giỏi loại toán này và tỉ lệ số người giải đúng tụt xuống dưới 80%. 

Tiếp theo hãy nghiên cứu cách máy tính có thể bẻ gãy CAPTCHA. 

Bẻ gãy một CAPTCHA

Thách thức trong việc bẻ gãy một CAPTCHA không phải là hiểu được dòng chữ méo mó đó là gì – suy cho cùng thì con người có ít nhất 80% thành công. Vấn đề ở đây là dạy cho máy tính biết cách xử lý thông tin giống như con người. Trong nhiều trường hợp, những người bẻ gãy được CAPTCHA không tập trung vào việc biến máy tính trở nên thông minh hơn, mà chỉ giảm độ phức tạp của vấn đề mà CAPTCHA tạo ra. 

Hãy giả định bạn đang bảo vệ một mẫu đơn Online bằng cách sử dụng CAPTCHA hiển thị chữ cái tiếng Anh. Ứng dụng này chỉ giảm kích thước Font chữ , kéo căng và bóp méo các ký tự theo cách ngẫu nhiên, đồng thời lồng hình nền ngẫu nhiên vào sau chuỗi ký tự. 

Một người muốn phá vỡ CAPTCHA có thể tiến hành theo nhiều bước. Đầu tiên hắn cần viết một thuật toán – một tập lệnh hướng dẫn máy tính làm theo một chuỗi bước. Trong ví dụ này, đầu tiên là chuyển hình ảnh sang màu xám, tức là xóa mọi màu sắc trong hình, loại bỏ thủ thuật màu sắc mà CAPTCHA đã áp dụng. 

Tiếp theo, thuật toán sẽ cho máy tính biết cách nhận ra các hình mẫu trong tấm ảnh đen trắng đã có. Chương trình này sẽ so sánh từng hình mẫu với một ký tự bình thường để khớp. Nếu nó chỉ khớp được một số ký tự thì nó có thể đối chiếu chúng với một cơ sở dữ liệu gồm các từ tiếng Anh, sau đó đưa các chữ cái đã khớp vào vùng xác nhận. Cách làm này có thể có tác dụng đáng ngạc nhiên. Không đạt được hiệu quả 100% nhưng thường thì thế cũng là quá đủ cho spammer. 

CAPTCHA Gimpy chứa 10 từ khác nhau theo cặp, cặp này chồng lên cặp kia, nhưng bạn chỉ phải gõ đúng 3 từ là đã qua bài kiểm tra.   

Vậy còn các CAPTCHA phức tạp hơn thì sao? Ví dụ CAPTCHA Gimpy hiển thị 10 từ tiếng Anh với font chữ lung tung trên một hình nền ngẫu nhiên. CAPTCHA còn sắp xếp các từ theo cặp và cặp này chồng lên cặp kia. Người dùng sẽ phải gõ đúng được 3 từ mới được chấp nhận. Cách làm này đáng tin cậy đến đâu? 

Và kết quả là, với một thuật toán phù hợp thì CAPTCHA này chẳng có gì là an toàn quá mức. Greg Mori và Jitendra Malik đã xuất bản một bài viết miêu tả chi tiết cách mà họ đã làm để phá vỡ bản CAPTCHA Gimpy. Một điều thuận lợi là Gimpy sử dụng những từ có thật chứ không phải các ký tự ngẫu nhiên. Lợi dụng điều này, Mori và Malik đã thiết kế một thuật toán nhận diện được các từ bằng cách dựa vào chữ cái đầu và cuối. Họ cũng sử dụng cuốn từ điển 500 từ của Gimpy. 

Mori và Malik đã chạy thử một loại bài kiểm định cho thuật toán của mình. Họ phát hiện ra rằng thuật toán này có thể nhận diện đúng CAPTCHA Gimpy đến 33%. Tuy tỉ lệ này không lớn nhưng nó cũng rất đáng kể. Spammer chỉ càn đến 1/3 số cơ hội thành công bởi mỗi Bot của chúng có thể phá vài trăm CAPTCHA một lúc.

Hẳn bạn đang nghĩ những người tạo ra CAPTCHA rất thất vọng khi công lao của họ bị tin tặc phá bỏ, nhưng bạn đã sai. Hãy tìm hiểu xem điều gì xảy ra tiếp theo. 

CAPTCHA và trí thông minh nhân tạo

Luis von Ahnthuộc Đại học Carnegie Mellon là một trong những người phát minh ra CAPTCHA. Trong một bài thuyết trình năm 2006, von Ahn nhắc đến mối quan hệ giữa những thứ như CAPTCHA và trí thông minh nhân tạo (AI – Artificial Intelligence ). DO CAPTCHA là một rào cản đối với giới Hacker và Spammer nên chúng sẽ phải đầu tư thời gian và công sức để bẻ gãy CAPTCHA. Và thành công của những người này cũng đồng nghĩa với việc máy tính ngày càng trở nên phức tạp hơn. Mỗi khi có ai tìm ra cách dạy một cái máy đánh gục CAPTCHA, chúng ta lại tiến gần hơn nữa tới trí thông minh nhân tạo.   

Hacker đã tìm ra cách để dạy máy tính nhận ra chữ trong CAPTCHA EZ-Gimpy.

Khi có người tìm ra cách đánh gục CAPTCHA, các nhà khoa học như von Ahn lại phát triển những CAPTCHA mới nhằm khắc phục những thách thức khác trong lĩnh vực AI. Một bước lùi CAPTCHA lại là một bước tiến của AI – mỗi thất bại cũng đồng thời là một chiến thắng [nguồn: Human Computation].

Nhưng còn các nhà Quản trị web thì sao? Có thể họ không thích thú lắm với triết lý của von Ahn. Các Admin vẫn phải đối mặt với một nguy cơ lớn –Spammer và Hacker. Những người muốn duy trì website hay tạo một cuộc điều tra trực tuyến sẽ phải cảnh giác bởi có thể một số CAPTCHA không còn hiệu quả nữa. Việc nghiên cứu xem loại ứng dụng CAPTCHA nào còn hiệu quả là rất quan trọng. Nhưng quan trọng không kém là cập nhật CAPTCHA đầy đủ. Nếu một hệ thống CAPTCHA bị bẻ gãy, Admin có thể phải gỡ bỏ đoạn mã này khỏi trang web của mình và thay bằng một phiên bản mới.   

Còn với những người thiết kế CAPTCHA, họ sẽ phải thật cẩn trọng. Khi máy tính ngày càng trở nên phức tạp, các biện pháp kiểm định cũng phải tiến bộ theo. Nhưng nếu việc kiểm định đã đạt đến độ mà con người cũng không thể giải CAPTCHA với độ thành công cao thì tức là họ đã thất bại. Có thể câu hỏi không còn chỉ gồm một dòng chữ bị làm méo nữa mà có thể buộc người dùng giải một bài toán hoặc trả lời câu hỏi về một câu chuyện ngắn. Và khi các bài kiểm tra trở nên phức tạp hơn thì sự kiên nhẫn của người dùng cũng giảm. Bao nhiêu người muốn ngồi viết phản hồi cho một bài báo nếu trang Web sau đó bắt họ giải một bài toán phương trình bậc hai?    

Cuối cùng chúng ta có thể đạt đến điểm khi mà máy tính và con người cùng có khả năng thành công như nhau. Nếu điều này xảy ra, những bài kiểm tra như CAPTCHA sẽ trở thành những dòng mã vô nghĩa. Còn từ giờ đến lúc đó, chúng ta vẫn phải nhìn hoặc nghe thật kỹ để giải mã từng dòng CAPTCHA.