รู้จักกับ ‘CAPTCHA’ เทคโนโลยีการยืนยันตัวตนบนเว็บไซต์ทั้งยุคเก่า-ยุคใหม่-ยุคถัดไป

เคยสมัครบัญชีอะไรสักอย่าง แล้วต้องมานั่ง ‘ตอบคำถาม’ หรือ ‘แก้พัซเซิล’ ก่อนถึงจะผ่านหน้านั้นไปได้บ้างไหม ?

สิ่งนั้นเรียกว่าเป็น ‘CAPTCHA’ หรือก็คือระบบที่ใช้บนเว็บไซต์ หรือแอปฯต่าง ๆ เพื่อยืนยันว่าผู้ใช้งานคนนั้น ๆ เป็นมนุษย์จริง ๆ ไม่ใช่โปรแกรมอัตโนมัติ (บอต) ที่ถูกสร้างขึ้นมาเพื่อวัตถุประสงค์ร้าย เช่น การเจาะระบบ หรือการสร้างบัญชีปลอม ซึ่งแม้จะมีประโยชน์ด้านความปลอดภัย แต่ก็สร้างความลำบากใจให้ผู้ใช้งานอยู่ตลอดเลย เราลองมาทำความรู้จักกับระบบการยืนยันตัวตนเพื่อป้องกันบอตนี้กันดู

รู้จัก CAPTCHA ประเภทต่าง ๆ

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) เป็นมาตรการรักษาความปลอดภัยประเภทหนึ่งที่มักจะใช้การตรวจสอบความเป็นมนุษย์​ ซึ่งถูกออกแบบมาหลายรูปแบบ เพื่อให้บอตไม่สามารถผ่านไปได้ แต่ในขณะเดียวกันก็ต้องง่ายพอสำหรับมนุษย์ด้วย รูปแบบที่เรามักจะพบกันก็จะประกอบไปด้วย

• Text CAPTCHA ที่ให้ผู้ใช้กรอกตัวอักษรหรือตัวเลขที่โดนบิดให้เบี้ยว
• Image CAPTCHA ที่ให้เลือกรูปภาพตามคำสั่ง เช่น ‘เลือกภาพที่มีไฟจราจรทั้งหมด’ หรือให้เลือกรูปภาพแบบอื่น ๆ เช่น ต่อจิ๊กซอว์, เรียงภาพที่โดนบิดมุมให้กลับมาตรงเหมือนเดิม หรือกระทั่งเลือกภาพไอคอนที่ถูกต้อง
• Math CAPTCHA ที่ให้แก้โจทย์คณิตศาสตร์ง่าย ๆ

นอกจากนี้ยังมี reCAPTCHA จาก Google ซึ่งเป็นที่นิยมอย่างแพร่หลายมาก ตั้งแต่ที่ Google ได้เข้าซื้อ reCAPTCHA มาเพื่อทำระบบ CAPTCHA ของตัวเองตั้งแต่ปี 2009 โดยมีตั้งแต่เวอร์ชันที่ให้คลิกช่อง ‘I’m not a robot’ (reCAPTCHA v2) ไปจนถึงเวอร์ชันที่ทำงานอยู่ในเบื้องหลังทั้งหมด (v3 และ Invisible reCAPTCHA) ซึ่งจะประเมินพฤติกรรมของผู้ใช้เพื่อแยกแยะระหว่างคนกับบอตโดยไม่รบกวนการใช้งาน ซึ่งเรียกว่าเป็น Behavioral CAPTCHA ที่วิเคราะห์พฤติกรรมการใช้งาน เช่น การเคลื่อนไหวของเมาส์ หรือความเร็วในการพิมพ์ เพื่อดูว่าเราเป็นคนหรือเป็นบอตกันแน่

ประโยชน์และข้อจำกัดของ CAPTCHA

ข้อดีที่เด่นที่สุดของ CAPTCHA คือการทำหน้าที่เป็นเกราะป้องกันด่านแรกให้กับเว็บไซต์ หรือแอปฯ ต่าง ๆ ช่วยป้องกันการโจมตีจากโปรแกรมอัตโนมัติ ลดจำนวนบัญชีผู้ใช้ปลอม และลดปริมาณสแปมได้ดีเลย เพื่อที่จะคอยช่วยแยกคน กับบอตให้ก่อนในระดับเบื้องต้น เพียงแต่ว่า CAPTCHA เองก็มีข้อเสียที่เริ่มจะก่อตัวขึ้นมาเช่นกัน

อย่างแรก คือ CAPTCHA นั้น สร้างความรำคาญกับผู้ใช้งาน โดยเฉพาะ CAPTCHA ที่มีความซับซ้อนสูง และสูงขึ้นเรื่อย ๆ จนอาจสร้างความลำบากให้ผู้ใช้ เพราะว่ามันยากจนเกินไป นอกจากนี้ยังเป็นอุปสรรคต่อการเข้าถึงของผู้พิการ โดยเฉพาะผู้ที่มีความบกพร่องทางการมองเห็น ที่อาจจะไม่สามารถแก้ได้ด้วย

ที่น่ากลัวกว่าก็คือ ในปัจจุบันที่ ‘AI’ มีบทบาทต่อการทำงานที่มากขึ้นเรื่อย ๆ รวมไปถึง AI มีความสามารถมากยิ่งขึ้นเรื่อย ๆ และทำให้ AI เริ่มมีความสามารถในการ ‘แก้ CAPTCHA’ ที่เก่งขึ้นเรื่อย ๆ ด้วย จนกระทั่วเดี๋ยวนี้ ที่เราสามารถนำเอา CAPTCHA ไปยื่นให้ AI แก้ แล้ว AI ก็สามารถแก้ให้ได้แล้วด้วย แม้จะเป็น CAPTCHA ที่ยากก็ตาม

เมื่อ CAPTCHA ไม่ใช่คำตอบเดียว

เดี๋ยวนี้ นอกจาก CAPTCHA แบบเดิม ๆ ก็ยังมีวิธีการอื่น ๆ ที่สามารถนำมาใช้แทนที่ หรือเสริมการทำงานของ CAPTCHA ได้ เช่น การให้ผู้ใช้เข้าระบบผ่านบัญชีบริการอื่น (OAuth) อย่าง Google หรือ Facebook ซึ่งเป็นการยืนยันตัวตนที่สะดวกกว่า นอกจากนี้ยังมีการใช้เทคนิคเบื้องหลัง เช่น การตรวจสอบพฤติกรรมการใช้งาน (Behavior Pattern) การจำกัดการเข้าถึงจาก IP หรือ Session ที่น่าสงสัย (Rate Limiting) และการสร้างช่องกรอกข้อมูลปลอมที่มองไม่เห็นเพื่อดักจับบอตโดยเฉพาะ (Honeypot Fields) ได้ด้วย

นอกจากนั้น CAPTCHA ก็ไม่ใช่ทางเลือกในการยืนยันตัวตนของมนุษย์เพียงอย่างเดียวอีกต่อไปแล้ว อย่างเช่น Cloudflare Turnstile ที่ยังทำหน้าที่เหมือนเดิม คือให้ผู้ใช้กดเลือกว่าเป็นมนุษย์ แต่ในระบบหลังบ้าน ได้ใช้ข้อมูล Telemetry (โทรมาตร – วัดและส่งข้อมูลจากระยะไกลไปยังที่อื่น โดยใช้แค่การรับและส่งข้อมูลผ่านไอพีเท่านั้น) และพฤติกรรมของผู้ใช้ในเซสชันนั้น ๆ เอามาคำนวณหาว่าเราเป็นมนุษย์หรือไม่ โดยที่ผู้ใช้ไม่ต้องมานั่งกดเองเลยแม้แต่น้อย

อนาคตของการยืนยันตัวตนในยุคที่ AI ครองโลก

ท้ายที่สุดแล้ว CAPTCHA ยังคงเป็นระบบรักษาความปลอดภัยที่ดี แต่ก็ยังไม่สมบูรณ์แบบ การเลือกใช้ระบบป้องกันใด ๆ จึงจำเป็นต้องหาความสมดุลระหว่างความปลอดภัย และความสะดวกของผู้ใช้งาน เพราะถ้าระบบป้องกันสร้างความยุ่งยากจนผู้ใช้เลือกที่จะเลิกใช้งาน ก็ไม่ต่างจากการล็อกประตูร้านอย่างแน่นหนา จนคนไม่กล้าเข้ามาใช้บริการนั่นแหละ

ล่าสุด วงการเทคโนโลยีเริ่มมองหานวัตกรรมใหม่ที่สามารถแยกแยะมนุษย์ออกจาก AI ที่พยายามปลอมตัวเข้ามาในระบบได้เนียนขึ้น แนวคิดเรื่อง ‘Digital Identity’ หรือ ‘ตัวตนดิจิทัล’ เลยกลายมาเป็นทางออกสำคัญขึ้นมา โดย ‘World’ คือหนึ่งในโครงการที่ถูกพัฒนาขึ้นโดย Tools For Humanity (ร่วมก่อตั้งโดย Alex Blania และ Sam Altman จาก OpenAI) เพื่อสร้างเครือข่ายของมนุษย์ที่สามารถพิสูจน์ความเป็นตัวตนจริงบนโลกออนไลน์ได้ โดยมีหัวใจสำคัญคือการยืนยันว่าเป็น ‘บุคคลจริง’ โดยไม่ต้องเปิดเผยข้อมูลส่วนตัวอย่างชื่อ หรืออีเมล เพื่อปกป้องความเป็นส่วนตัวของผู้ใช้เป็นสำคัญ

ซึ่งหนทางการเข้าสู่ระบบนิเวศของ World คือ World Orb อุปกรณ์สแกนม่านตาและใบหน้า ที่ทำหน้าที่ในการสร้างรหัสลับเฉพาะตัวบุคคล (Iris Code) เพื่อออก World ID ซึ่งเปรียบเสมือนบัตรประชาชนดิจิทัล ที่ยืนยันความเป็นมนุษย์โดยไม่ระบุตัวตน หลังจากสร้างรหัสลับแล้ว ข้อมูลภาพจะถูกลบออกจากอุปกรณ์ทันที ล่าสุดในปี 2568 นี้ บริษัท Tools for Humanity ได้ขยายการดำเนินงานเข้ามาในประเทศไทยแล้ว โดยตั้งเป้าขยายจุดสแกน Orb ให้ได้กว่า 1,000 แห่งทั่วประเทศ และได้ร่วมมือกับพันธมิตรชั้นนำอย่าง Pantip, Whoscall (Gogolook), และ Eventpop เพื่อนำ World ID มาใช้แก้ปัญหาผู้ใช้ปลอม บัญชีสแปม และการใช้บอตในการซื้อตั๋วต่าง ๆ แบบอัตโนมัติ เพื่อที่จะยืนยันตัวตนของคนให้ชัดเจน และทำในสิ่งที่ AI เข้ามาแทนที่ไม่ได้นั่นเอง

จากการพิสูจน์ความเป็นมนุษย์ด้วย ‘การกระทำ’ ผ่านระบบ CAPTCHA ที่แม้จะช่วยป้องกันบอตได้ดี แต่ก็มักจะแลกมาด้วยความยุ่งยาก ปัจจุบัน การยืนยันผ่านเทคโนโลยีที่เพิ่มความง่ายให้กับคน ก็เริ่มมีเยอะขึ้นเรื่อย ๆ โดยเฉพาะการแยกคนด้วย ‘ชีวมาตร’ ที่ไม่ซ้ำกันในแต่ละคน ผ่านเทคโนโลยีอย่าง World Orb ที่ชูจุดเด่นด้านความแม่นยำ และความเป็นส่วนตัว ซึ่งทั้งหมดนี้เป็นเหมือนความท้าทายใหม่ ในยุคที่ AI ใกล้มนุษย์มากขึ้นเรื่อย ๆ ว่าเราจะมีความแตกต่างจาก AI มากน้อยแค่ไหนกัน

ที่มา : Google, Cloudflare, Blackpointcyber, Wallarm, World