รู้จักกับ ‘CAPTCHA’ เทคโนโลยีการยืนยันตัวตนบนเว็บไซต์ทั้งยุคเก่า-ยุคใหม่-ยุคถัดไป

เคยสมัครบัญชีอะไรสักอย่าง แล้วต้องมานั่ง ‘ตอบคำถาม’ หรือ ‘แก้พัซเซิล’ ก่อนถึงจะผ่านหน้านั้นไปได้บ้างไหม ?

สิ่งนั้นเรียกว่าเป็น ‘CAPTCHA’ หรือก็คือระบบที่ใช้บนเว็บไซต์ หรือแอปฯต่าง ๆ เพื่อยืนยันว่าผู้ใช้งานคนนั้น ๆ เป็นมนุษย์จริง ๆ ไม่ใช่โปรแกรมอัตโนมัติ (บอต) ที่ถูกสร้างขึ้นมาเพื่อวัตถุประสงค์ร้าย เช่น การเจาะระบบ หรือการสร้างบัญชีปลอม ซึ่งแม้จะมีประโยชน์ด้านความปลอดภัย แต่ก็สร้างความลำบากใจให้ผู้ใช้งานอยู่ตลอดเลย เราลองมาทำความรู้จักกับระบบการยืนยันตัวตนเพื่อป้องกันบอตนี้กันดู

รู้จัก CAPTCHA ประเภทต่าง ๆ

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) เป็นมาตรการรักษาความปลอดภัยประเภทหนึ่งที่มักจะใช้การตรวจสอบความเป็นมนุษย์​ ซึ่งถูกออกแบบมาหลายรูปแบบ เพื่อให้บอตไม่สามารถผ่านไปได้ แต่ในขณะเดียวกันก็ต้องง่ายพอสำหรับมนุษย์ด้วย รูปแบบที่เรามักจะพบกันก็จะประกอบไปด้วย

• Text CAPTCHA ที่ให้ผู้ใช้กรอกตัวอักษรหรือตัวเลขที่โดนบิดให้เบี้ยว
• Image CAPTCHA ที่ให้เลือกรูปภาพตามคำสั่ง เช่น ‘เลือกภาพที่มีไฟจราจรทั้งหมด’ หรือให้เลือกรูปภาพแบบอื่น ๆ เช่น ต่อจิ๊กซอว์, เรียงภาพที่โดนบิดมุมให้กลับมาตรงเหมือนเดิม หรือกระทั่งเลือกภาพไอคอนที่ถูกต้อง
• Math CAPTCHA ที่ให้แก้โจทย์คณิตศาสตร์ง่าย ๆ

นอกจากนี้ยังมี reCAPTCHA จาก Google ซึ่งเป็นที่นิยมอย่างแพร่หลายมาก ตั้งแต่ที่ Google ได้เข้าซื้อ reCAPTCHA มาเพื่อทำระบบ CAPTCHA ของตัวเองตั้งแต่ปี 2009 โดยมีตั้งแต่เวอร์ชันที่ให้คลิกช่อง ‘I’m not a robot’ (reCAPTCHA v2) ไปจนถึงเวอร์ชันที่ทำงานอยู่ในเบื้องหลังทั้งหมด (v3 และ Invisible reCAPTCHA) ซึ่งจะประเมินพฤติกรรมของผู้ใช้เพื่อแยกแยะระหว่างคนกับบอตโดยไม่รบกวนการใช้งาน ซึ่งเรียกว่าเป็น Behavioral CAPTCHA ที่วิเคราะห์พฤติกรรมการใช้งาน เช่น การเคลื่อนไหวของเมาส์ หรือความเร็วในการพิมพ์ เพื่อดูว่าเราเป็นคนหรือเป็นบอตกันแน่

ประโยชน์และข้อจำกัดของ CAPTCHA

ข้อดีที่เด่นที่สุดของ CAPTCHA คือการทำหน้าที่เป็นเกราะป้องกันด่านแรกให้กับเว็บไซต์ หรือแอปฯ ต่าง ๆ ช่วยป้องกันการโจมตีจากโปรแกรมอัตโนมัติ ลดจำนวนบัญชีผู้ใช้ปลอม และลดปริมาณสแปมได้ดีเลย เพื่อที่จะคอยช่วยแยกคน กับบอตให้ก่อนในระดับเบื้องต้น เพียงแต่ว่า CAPTCHA เองก็มีข้อเสียที่เริ่มจะก่อตัวขึ้นมาเช่นกัน

อย่างแรก คือ CAPTCHA นั้น สร้างความรำคาญกับผู้ใช้งาน โดยเฉพาะ CAPTCHA ที่มีความซับซ้อนสูง และสูงขึ้นเรื่อย ๆ จนอาจสร้างความลำบากให้ผู้ใช้ เพราะว่ามันยากจนเกินไป นอกจากนี้ยังเป็นอุปสรรคต่อการเข้าถึงของผู้พิการ โดยเฉพาะผู้ที่มีความบกพร่องทางการมองเห็น ที่อาจจะไม่สามารถแก้ได้ด้วย

ที่น่ากลัวกว่าก็คือ ในปัจจุบันที่ ‘AI’ มีบทบาทต่อการทำงานที่มากขึ้นเรื่อย ๆ รวมไปถึง AI มีความสามารถมากยิ่งขึ้นเรื่อย ๆ และทำให้ AI เริ่มมีความสามารถในการ ‘แก้ CAPTCHA’ ที่เก่งขึ้นเรื่อย ๆ ด้วย จนกระทั่วเดี๋ยวนี้ ที่เราสามารถนำเอา CAPTCHA ไปยื่นให้ AI แก้ แล้ว AI ก็สามารถแก้ให้ได้แล้วด้วย แม้จะเป็น CAPTCHA ที่ยากก็ตาม

เมื่อ CAPTCHA ไม่ใช่คำตอบเดียว

เดี๋ยวนี้ นอกจาก CAPTCHA แบบเดิม ๆ ก็ยังมีวิธีการอื่น ๆ ที่สามารถนำมาใช้แทนที่ หรือเสริมการทำงานของ CAPTCHA ได้ เช่น การให้ผู้ใช้เข้าระบบผ่านบัญชีบริการอื่น (OAuth) อย่าง Google หรือ Facebook ซึ่งเป็นการยืนยันตัวตนที่สะดวกกว่า นอกจากนี้ยังมีการใช้เทคนิคเบื้องหลัง เช่น การตรวจสอบพฤติกรรมการใช้งาน (Behavior Pattern) การจำกัดการเข้าถึงจาก IP หรือ Session ที่น่าสงสัย (Rate Limiting) และการสร้างช่องกรอกข้อมูลปลอมที่มองไม่เห็นเพื่อดักจับบอตโดยเฉพาะ (Honeypot Fields) ได้ด้วย

นอกจากนั้น CAPTCHA ก็ไม่ใช่ทางเลือกในการยืนยันตัวตนของมนุษย์เพียงอย่างเดียวอีกต่อไปแล้ว อย่างเช่น Cloudflare Turnstile ที่ยังทำหน้าที่เหมือนเดิม คือให้ผู้ใช้กดเลือกว่าเป็นมนุษย์ แต่ในระบบหลังบ้าน ได้ใช้ข้อมูล Telemetry (โทรมาตร – วัดและส่งข้อมูลจากระยะไกลไปยังที่อื่น โดยใช้แค่การรับและส่งข้อมูลผ่านไอพีเท่านั้น) และพฤติกรรมของผู้ใช้ในเซสชันนั้น ๆ เอามาคำนวณหาว่าเราเป็นมนุษย์หรือไม่ โดยที่ผู้ใช้ไม่ต้องมานั่งกดเองเลยแม้แต่น้อย

จากการพิสูจน์ความเป็นมนุษย์ด้วย ‘การกระทำ’ ผ่านระบบ CAPTCHA ที่แม้จะช่วยป้องกันบอตได้ดี แต่ก็มักจะแลกมาด้วยความยุ่งยาก ปัจจุบัน การยืนยันผ่านเทคโนโลยีที่เพิ่มความง่ายให้กับคน ก็เริ่มมีเยอะขึ้นเรื่อย ๆ ซึ่งทั้งหมดนี้เป็นเหมือนความท้าทายใหม่ ในยุคที่ AI ใกล้มนุษย์มากขึ้นเรื่อย ๆ ว่าเราจะมีความแตกต่างจาก AI มากน้อยแค่ไหนกัน

ที่มา : Google, Cloudflare, Blackpointcyber, Wallarm