ในยุคที่บริการออนไลน์ต่างๆ พึ่งพาโซลูชัน CAPTCHA จากบุคคลที่สามมากขึ้น ซึ่งส่งผลเสียต่อความเป็นส่วนตัวและการเข้าถึงของผู้ใช้ ALTCHA ได้ปรากฏตัวขึ้นในฐานะทางเลือกที่น่าสนใจ ระบบนี้เป็นกลไกพิสูจน์การทำงาน (proof-of-work) ที่สามารถโฮสต์เองได้ มีเป้าหมายเพื่อปกป้องเว็บไซต์จากสแปมและการใช้งานที่ไม่เหมาะสม โดยไม่สร้างประสบการณ์ที่น่าหงุดหงิดให้กับผู้ใช้ซึ่งมักเกิดขึ้นกับ CAPTCHA แบบดั้งเดิม
ปัญหาของ CAPTCHA แบบดั้งเดิม
โซลูชัน CAPTCHA แบบดั้งเดิมอย่าง Google reCAPTCHA ได้กลายเป็นที่รู้จักในแง่ลบเนื่องจากลักษณะที่รุกล้ำและประสบการณ์ผู้ใช้ที่แย่ลง ผู้ใช้หลายคนรายงานว่าต้องเสียเวลามากในการแก้ปัญหาภาพ แต่กลับถูกระบบตรวจจับผิดพลาดว่าเป็นบอท การสนทนาในชุมชนชี้ให้เห็นถึงปัญหาสำหรับผู้ใช้ Firefox และ Linux โดยเฉพาะ ซึ่งดูเหมือนจะถูกท้าทายด้วยงานที่ยากเกินไปอย่างไม่เป็นธรรม
reCaptcha มักจะใช้งานไม่ได้สำหรับผม เกือบทุกครั้งที่ผมเจอมัน ผมต้องแก้ปัญหาประมาณสิบสองครั้ง จากนั้นมันก็ตัดสินว่าผมไม่ใช่มนุษย์ หลังจากรีเฟรชหน้าเว็บ 2-3 ครั้ง มันจึงยอมให้ผ่าน แต่มันน่าหงุดหงิดมาก
นอกเหนือจากประสบการณ์ผู้ใช้ที่น่าหงุดหงิดแล้ว ยังมีความกังวลที่เพิ่มขึ้นเกี่ยวกับแนวปฏิบัติในการเก็บข้อมูล ผู้แสดงความคิดเห็นหลายคนชี้ให้เห็นว่าบริการอย่าง reCAPTCHA ดูเหมือนจะถูกออกแบบมาเพื่อเก็บเกี่ยวข้อมูลมากกว่าเพื่อความปลอดภัย โดยผู้ใช้คนหนึ่งกล่าวอย่างตรงไปตรงมาว่าจุดประสงค์คือการขโมยข้อมูลเพิ่มเติมจากคุณ ความรู้สึกนี้สะท้อนถึงความไม่ไว้วางใจในวงกว้างต่อการรวมบริการที่มีกรรมสิทธิ์ที่โฮสต์โดยบุคคลที่สามซึ่งเว็บไซต์ต่างๆ ได้พึ่งพามากขึ้น
ALTCHA ทำงานแตกต่างอย่างไร
ต่างจาก CAPTCHA แบบดั้งเดิมที่พยายามแยกแยะระหว่างมนุษย์กับคอมพิวเตอร์ผ่านปัญหาภาพ ALTCHA ใช้กลไกพิสูจน์การทำงาน (PoW) เมื่อผู้ใช้เข้าชมหน้าเว็บที่ได้รับการปกป้อง เบราว์เซอร์ของพวกเขาจะทำการคำนวณทางคณิตศาสตร์ที่ต้องใช้ทรัพยากรการประมวลผล กระบวนการนี้เกิดขึ้นโดยอัตโนมัติโดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้
ความแตกต่างที่สำคัญคือ ALTCHA ไม่ได้พยายามแยกแยะระหว่างมนุษย์และคอมพิวเตอร์ - มันเพียงแค่ทำให้คำขออัตโนมัติมีค่าใช้จ่ายสูงขึ้นสำหรับผู้โจมตี โดยการเพิ่มต้นทุนการคำนวณของแต่ละคำขอ ALTCHA มีเป้าหมายที่จะทำให้การเข้าถึงอัตโนมัติจำนวนมากไม่คุ้มค่าทางเศรษฐกิจ ในขณะที่ยังคงสร้างภาระให้กับผู้ใช้ที่ถูกต้องน้อยที่สุด
วิธีการนี้แก้ไขปัญหาสำคัญหลายประการของ CAPTCHA แบบดั้งเดิม:
- กำจัดความจำเป็นในการแก้ปัญหาที่น่าหงุดหงิด
- ทำงานโดยไม่ต้องใช้คุกกี้หรือการติดตามผู้ใช้
- รักษาการปฏิบัติตามมาตรฐานการเข้าถึงอย่างครบถ้วน
- สามารถโฮสต์เองได้ ลดการพึ่งพาบุคคลที่สาม
ALTCHA เทียบกับ CAPTCHA แบบดั้งเดิม
| คุณสมบัติ | ALTCHA | CAPTCHA แบบดั้งเดิม |
|---|---|---|
| วิธีการยืนยัน | Proof-of-Work | ปริศนาภาพ/ความท้าทายทางภาพ |
| การมีส่วนร่วมของผู้ใช้ | อัตโนมัติ (ไม่ต้องป้อนข้อมูล) | การแก้ปริศนาด้วยตนเอง |
| ความเป็นส่วนตัว | ไม่มีคุกกี้ ไม่มีการติดตาม | มักเก็บรวบรวมข้อมูลผู้ใช้ |
| การโฮสต์ | มีตัวเลือกโฮสต์ด้วยตนเอง | มักเป็นบริการจากบุคคลที่สาม |
| ขนาดไฟล์ | 17 KB (บีบอัดแบบ Gzip) | reCAPTCHA: 455 KB, hCaptcha: 270+ KB |
| การเข้าถึง | รองรับมาตรฐาน WCAG 2.2 ระดับ AA, สอดคล้องกับ EAA | มักมีปัญหาด้านการเข้าถึง |
| เป้าหมาย | ทำให้การทำงานอัตโนมัติมีต้นทุนสูง | พยายามระบุว่าเป็นมนุษย์ |
ประสิทธิภาพในการต่อต้านบอท
การสนทนาในชุมชนเผยให้เห็นความคิดเห็นที่หลากหลายเกี่ยวกับประสิทธิภาพของ ALTCHA บางคนชี้ให้เห็นว่าการท้าทายแบบพิสูจน์การทำงานได้ช่วยลดการจราจรของบอทบนเว็บไซต์อย่าง GNOME GitLab ได้ถึง 97% อย่างไรก็ตาม คนอื่นๆ แสดงความกังวลเกี่ยวกับฮาร์ดแวร์เฉพาะทางที่อาจแก้ปัญหาเหล่านี้ได้อย่างมีประสิทธิภาพมากกว่าอุปกรณ์ของผู้บริโภคทั่วไป
ผู้เชี่ยวชาญด้านเทคนิคคนหนึ่งสังเกตว่าแม้ว่าการแฮช SHA-256 (ซึ่ง ALTCHA ใช้) สามารถทำได้อย่างมีประสิทธิภาพมากกว่าหลายล้านเท่าบนฮาร์ดแวร์ขุดเหมืองเฉพาะทางเมื่อเทียบกับแล็ปท็อปทั่วไป แต่ผู้ดำเนินการบอทส่วนใหญ่ในปัจจุบันไม่ได้ใช้ฮาร์ดแวร์ดังกล่าว ฉันทามติดูเหมือนจะเป็นว่า ALTCHA ให้การป้องกันที่มีประสิทธิภาพต่อบอททั่วไปในปัจจุบัน แต่อาจเผชิญกับความท้าทายจากคู่แข่งที่มุ่งมั่นซึ่งมีทรัพยากรเฉพาะทางในอนาคต
ประโยชน์ด้านความเป็นส่วนตัวและความเป็นอิสระ
ประเด็นที่เกิดขึ้นซ้ำในการสนทนาของชุมชนคือคุณค่าของโซลูชันที่โฮสต์เองซึ่งลดการพึ่งพาบุคคลที่สาม แนวทางของ ALTCHA สอดคล้องกับปรัชญานี้โดยอนุญาตให้เจ้าของเว็บไซต์รักษาการควบคุมโครงสร้างพื้นฐานด้านความปลอดภัยของตนโดยไม่ต้องส่งข้อมูลผู้ใช้ไปยังบริการภายนอก
โซลูชันนี้สอดคล้องกับ GDPR โดยค่าเริ่มต้น ไม่ใช้คุกกี้หรือการติดตาม และเป็นไปตามมาตรฐานการเข้าถึงรวมถึง WCAG 2.2 ระดับ AA และพระราชบัญญัติการเข้าถึงของยุโรป สำหรับผู้ที่ไม่ต้องการโฮสต์เอง ก็มีตัวเลือก SaaS ให้บริการด้วย
ในช่วงเวลาที่นักพัฒนาหลายคนแสดงความกังวลเกี่ยวกับการพึ่งพาบริการที่มีกรรมสิทธิ์ของอินเทอร์เน็ตที่เพิ่มขึ้น ซึ่งแทบจะหลีกเลี่ยงไม่ได้ที่จะหายไปหรือพังในอนาคต ALTCHA แสดงถึงการก้าวไปสู่โครงสร้างพื้นฐานเว็บที่ยั่งยืนและเป็นอิสระมากขึ้น
แม้จะไม่ใช่โซลูชันที่สมบูรณ์แบบสำหรับทุกกรณีการใช้งาน แต่ ALTCHA นำเสนอทางเลือกที่น่าสนใจสำหรับ CAPTCHA แบบดั้งเดิมที่สร้างความสมดุลระหว่างความต้องการด้านความปลอดภัยกับประสบการณ์ผู้ใช้และการพิจารณาด้านความเป็นส่วนตัว ในขณะที่เว็บไซต์ต่างๆ ยังคงค้นหาวิธีปกป้องตัวเองจากการใช้งานอัตโนมัติที่ไม่เหมาะสมโดยไม่ทำให้ผู้ใช้รู้สึกแปลกแยก แนวทางเช่นกลไกพิสูจน์การทำงานของ ALTCHA อาจเป็นส่วนสำคัญของภูมิทัศน์ด้านความปลอดภัยในอนาคต
อ้างอิง: ALTCHA