Google nâng cấp công nghệ reCaptcha V3: bảo mật và thuận tiện hơn hay là công cụ lấy dữ liệu?
bk9sw
1 nămBình luận: 81
Google nâng cấp công nghệ reCaptcha V3: bảo mật và thuận tiện hơn hay là công cụ lấy dữ liệu?
Trong thời gian tới những hộp xác thực reCaptcha với câu "I'm not a robot" hay bắt bạn tìm ra vạch kẻ đường, cột chữa cháy, đèn tín hiệu giao thông ... sẽ không còn xuất hiện để quấy rối chúng ta mỗi khi đăng nhập tài khoản hay điền biểu mẫu trên một trang web nữa. Google đã cập nhật hệ thống reCaptcha này lên version 3, chỉ chờ các nhà phát triển web triển khai rộng rãi nhưng từ đây, vấn đề về sự riêng tư của người dùng một lần nữa bị đặt dấu chấm hỏi?

reCaptcha V3 hoạt động dựa trên phân tích hành vi duyệt web, từ đó xác định là người hay máy:


Cy Khormaee - trưởng bộ phận reCaptcha của Google cho hay: "reCaptcha V3 sẽ mang lại trải nghiệm tốt hơn cho người dùng. Ai cũng từng xác thực thất bại với Captcha". Theo đó với phiên bản thứ 3 của công nghệ xác thực reCaptcha thì Google sẽ tiến hành phân tích cách mà người dùng chuyển hướng trên các trang web, từ đó thiết lập một thang điểm gọi là điểm rủi ro (risk score) dựa vào hành vi. Khormaee không tiết lộ về loại thông tin hay tín hiệu nào được Google sử dụng để chấm điểm hành vi vì cho rằng những kẻ tấn công sẽ có thể dễ dàng bắt chước hành vi của người dùng bình thường. Tuy nhiên anh tỏ ra tự tin về hệ thống reCaptcha mới khi nó sẽ khiến những ai đang dùng bot để đánh lừa Google vượt hệ thống Captcha phải nản lòng.

reCaptchaV3.jpg
Anh nói: "Những kẻ nuôi bot net cần phải hiểu được hành vi của một con người thật trên một trang web từ đó phải bắt chước sao cho thật giống mới có thể đánh lừa chúng tôi. Vấn đề khó nhất ở đây đó là "Giả vờ là một con người" (ý nói bot)". Quản trị viên của một trang web có thể truy xuất thang điểm rủi ro từ đó quyết định hành động tiếp theo. Chẳng hạn như nếu một người dùng có điểm rủi ro cao đang cố gắng đăng nhập thì trang web có thể thiết lập các quy tắc để yêu cầu người dùng nhập thông tin xác thực bổ sung thông qua hình thức xác thực 2 lớp. Khormaee nói sẽ hơi phiền một chút nếu bạn là người dùng bình thường nhưng ngược lại nếu đối mặt với kẻ tấn công, chúng tôi sẽ có thể bảo vệ tài khoản của bạn trước nguy cơ bị đánh cắp.

Theo các thống kê của trang Built With thì hơn 650.000 trang web đang sử dụng reCaptcha V3 trong tổng số 4,5 triệu trang ứng dụng reCaptcha các phiên bản. 25% trong số 10.000 trang web top đầu đang sử dụng công nghệ xác thực này. Google cũng đang thử nghiệm một phiên bản dành cho doanh nghiệp của reCaptcha V3 với các tính năng tùy biến để doanh nghiệp có thể bảo vệ trang web của họ trước mã độc hay bot.

Tuy nhiên, hệ thống xác thực dựa trên điểm rủi ro này lại đi cùng với một nhược điểm lớn đó là: sự riêng tư của người dùng!


Theo 2 nhà nghiên cứu bảo mật chuyên nghiên cứu về reCaptcha thì một trong những cách mà Google dùng để xác định người dùng có hành vi đáng ngờ hay không là dựa trên Google cookie được cài trên trình duyệt. Đây cũng là cookie cho phép bạn mở các thẻ mới trên trình duyệt mà không cần phải đăng nhập vào tài khoản Google trở lại (bạn mở Gmail và đăng nhập, mở Google Search hay YouTube vẫn tài khoản đó không cần đăng nhập lại).

Tuy nhiên theo Mohamed Akrout - nghiên cứu sinh tiến sĩ ngành khoa học máy tính tại đại học Toronto thì khả năng Google cũng sử dụng các cookie này để xác định yếu tố con người với reCaptcha V3. Akrout đã viết một báo cáo và công bố hồi tháng 4 về cách reCaptcha V3 mô phỏng những gì chạy trên một trình duyệt với tài khoản Google đã kết nối và kết quả là điểm rủi ro của của tài khoản Google này luôn thấp hơn so với các trình duyệt không đăng nhập. Anh nói: "Nếu bạn có tài khoản Google thì khả năng bạn là con người cao hơn" 😁. Google vẫn không phản hồi trước các câu hỏi về vai trò của Google cookie đối với công nghệ reCaptcha.

Nhà cố vấn bảo mật Marcos Perona cũng xác nhận điều này khi nói điểm rủi ro reCaptcha luôn thấp hơn khi lướt trang web thử nghiệm bằng trình duyệt có đăng nhập tài khoản Google. Ngược lại, nếu mở trang web thử nghiệm trên một trình duyệt bảo mật riêng tư như Tor Browser hay thông qua VPN thì điểm số này luôn cao.

reCaptcha.jpg
Để khiến hệ thống chấm điểm rủi ro hoạt động chính xác thì quản trị viên trang web phải nhúng mã reCaptcha V3 trên tất cả các trang của trang web, không chỉ là trên các biểu mẫu hay trang đăng nhập. Sau đó, reCaptcha qua thời gian sẽ học được hành vi phổ biến của người dùng trên trang web, giúp thuật toán máy học đưa ra thang điểm rủi ro chính xác hơn. Do reCaptcha V3 có khả năng xuất hiện trên mọi trang của trang web thành ra nếu bạn đăng nhập tài khoản Google, Google cũng có thể nhận được dữ liệu về mọi trang web bạn truy cập được nhúng reCaptcha V3. Từ đó, không có bất cứ hộp thông báo hay khung xác thực bằng hình ảnh nào hiện ra ngoại trừ một logo reCaptcha nhỏ ẩn ở góc trang web.

Khormaee không nói về cách Google sử dụng dữ liệu cho reCapcha mà chỉ nhắc đến nội dung điều khoản dịch vụ của Google nhúng trong logo reCaptcha có mặt trên hầu hết các trang web. Dù vậy, không có thông tin tham khảo nào về reCaptcha trong các điều khoản này. Sau khi thông tin trên được công bố thì Google đã tiếp cận với trang Fast Company và cho biết hàm API của reCaptcha sẽ gởi thông tin phần mềm và phần cứng bao gồm dữ liệu thiết bị và ứng dụng về cho Google để phân tích và dịch vụ này chỉ được sử dụng để chống spam cũng như các hình thức lạm dụng khác.

Tăng cường bảo mật và trải nghiệm hay là một công cụ để moi dữ liệu người dùng?


Google vẫn đang khuyến khích các trang web sử dụng reCaptcha trên toàn trang từ đó Google sẽ có thể chia sẻ thông tin về điểm rủi ro cho các quản trị viên nhằm mục đích bảo mật. Theo Perona thì đây là mục đích tốt bởi nó sẽ mang lại cho người sở hữu trang web quyền điều khiển và nhận thức rõ ràng hơn về những gì đang xảy ra trước nguy cơ bị tấn công bởi scammer hay bot. Quản trị viên trang web cũng có được hệ thống điểm rủi ro chính xác hơn thay vì chỉ dựa vào dữ liệu reCaptcha ở một trang duy nhất chẳng hạn như trang đăng nhập. Và dù mang lại cho người dùng sự tiện lợi nhưng đổi lại Google sẽ thu thập nhiều dữ liệu hơn. Google không nói rõ họ sẽ làm gì với dữ liệu lấy được về hành vi của người dùng thông qua reCaptcha, liệu chăng chỉ sử dụng để cải tiến reCaptcha và các mục đích bảo mật nói chung?

reCaptchaV2.jpg
Cookie là một thứ không thể thiếu trên Internet và cũng đang được xem là vấn nạn bởi các công ty lớn sử dụng cookie để biết được hành vi lướt web của người dùng nhằm phục vụ cho loại hình quảng cáo định hướng đối tượng. Một ví dụ, Google cookie dùng cho reCaptcha sẽ hoạt động tương tự như nút Like của Facebook được nhúng trên rất nhiều trang web. Nhấn vào nút Like, Facebook sẽ biết bạn đang xem trang nào và một lát sau khi bạn lướt Facebook, quảng cáo liên quan về thứ bạn đã xem trên trang web đó sẽ hiện ra. Trước đây Google từng khẳng định dữ liệu thu thập từ reCaptcha không được sử dụng để quảng cáo định hướng hay phân tích sở thích của người dùng và lần này Google lặp lại khẳng định này trước những nghi vấn được giới bảo mật nêu ra.

Perona cho rằng reCaptcha V3 là một công cụ giúp Google củng cố sự thống trị của mình trên Internet. reCaptcha cũng giống như nhiều sản phẩm khác của Google như Accelerated Mobile Pages (AMP) - một chương trình giúp các trang web mới tải nhanh hơn trên thiết bị di động nhưng cũng là thứ giúp Google lấy lưu lượng truy cập từ các trang này. Tương tự với trình duyệt Chrome - trang Washington Post đã gọi trình duyệt này là một công cụ giám sát và khuyên người dùng nên từ bỏ.

Perona nói: "Nó luôn là một con dao hai lưỡi. Bạn có được thứ gì đó và bạn phải cho Google quyền kiểm soát mọi thứ trên Internet." Nó có thể tăng độ bảo mật và trải nghiệm người dùng nhưng ảnh hưởng đến sự riêng tư.

Google vẫn không nói đến các vấn đề vi phạm quyền riêng tư và một mực cho rằng reCaptcha V3 là một vấn đề thuộc trách nhiệm của công ty. Google nhìn nhận công nghệ này là một cách để đảm bảo trải nghiệm trực tuyến an toàn, không gây trở ngại cho người dùng. Khormaee còn nói: "Google đã được tích hợp rất sâu vào Internet và chúng tôi muốn làm mọi thứ có thể để bảo vệ nó."

Theo: Fast Company
Cover_reCaptchaV3.jpg
Vưỡn trung thành vs Edge Microsoft . Trời sậ cũng kệ . Và trước h ko dám xài đồ của GG .
nta139
CAO CẤP
1 năm
@minhthuvc cái reCaptcha này người ta chèn trong web, liên quan gì đến trình duyệt;
không dùng chrome thì sẽ phải click thủ công để xác định không phải robot;
còn nếu dùng browser khác mà vẫn vượt ngon lành ==> thì chúc mừng, vẫn bị theo dõi.
@nta139 cái recaptcha này hài lắm nha, mình xài IE là mặc định được 6 điểm, xài chrome thì được 8 điểm =)), đủ thấy phân biệt đối xử của anh gồ rồi :v
pvmhien
TÍCH CỰC
1 năm
@lethanh231 Cũng tùy, muốn tránh thì những thứ tự sau đây không quá tệ, vấn đề là không thích GSearch Duck.com; Ecosia.org, Cowswiss...
Trừ G-mail thì tôi đang chịu, dù có Hotmail Proton mail. 😁
lethanh231
ĐẠI BÀNG
1 năm
@pvmhien Bạn chưa thử tìm kiếm những cái khó , thấy google cho kết quả nhiều hơn mấy thằng kia
các ver cũ hoạt động cũng không hiệu quả trong việc ngăn chặn robot, thuật toán mới hứa hẹn mang hiều chặn gửi thông tin rác, đến phía người dùng. mong tương lai mọi thứ ổn, chứ tình hình hiện tại các website đều gặp tình trạng dos kinh gửi dữ liệu lên toàn rác.
Nhiều cái yêu cầu nó nhảm bỏ moẹ.
@#JK đó là bản cũ á, bản mới nó có tùy chọn captcha ẩn, là cái mà bài đang nói là phân tích hành vi sử dụng ảnh hưởng riêng tư người dùng á.
@#JK Không ưa nổi cái reCaptcha
Eazy
TÍCH CỰC
1 năm
hehe, mấy cái này đâu phải để chặn robot, hàng triệu người đang làm công free nhận diện hình ảnh mỗi ngày, nó đang dạy cho AI nhận diện cột điện, vạch qua đường, xe cộ, vv những thông tin này để bán cho các cty làm xe tự hành.
lee jin ki
TÍCH CỰC
1 năm
@leemanhj916 Google để biết thêm chi tiết bạn nhé. Thấy hài quá nên phải nhảy vô comment.
@lee jin ki Mình không hiểu bạn thấy hài hước ở điểm gì.
Nếu như bạn biết thì nói luôn đi...
Theo logic: Để cho Google biết bạn click đúng hay sai thì nó phải biết trước kết quả rồi.
bean2604
ĐẠI BÀNG
1 năm
@leemanhj916 Google nó k biết trước kết quả đâu, khả năng cao là nó sử dụng cùng 1 bức ảnh cho nhiều người trên trái đất ngẫu nhiên cùng giải, và nó dựa vào số đông để phát xét thiểu số, thiểu số sai thì loại thôi. Mình nghĩ thế vì đôi khi mình bấm biết là sai mà nó vẫn chấp nhận.
@bean2604 Mình cũng nghĩ rằng Google sẽ dựa vào số đông. Nhưng như vậy thì nguy cơ 1 con BOT được tạo ra và auto chọn, khi đó, có thể con BOT đó mới là số đông thì sai hết kết quả rồi.
Mấy cái thằng suốt ngày thu thập dữ liệu cá nhân
@anhtuanbmt95 Nó sống nhờ mớ dữ liệu đó mà bác
kusanghi
ĐẠI BÀNG
1 năm
Ai gặp ko
image.jpg
mình thấy cách làm recaptcha 3 rất hay, thay vì bắt người dùng gõ lại mấy cái mã ngoằn ngoèo thành chữ hay bắt tìm con mèo nằm trong chữ nào, hay ảnh nào có ô tô rối rắm, đơn giản là phân tích hành vi của người sử dụng trình duyệt lại thiết thực hơn rất nhiều. Một người thật luôn có những hành vi sử dụng của người thật, còn bot thì nó khác hẳn rồi... bớt hành hạ người thật như vậy là rất hay.
xversion1
TÍCH CỰC
1 năm
Cái này chủ yếu để anh gồ dậy AI xem ảnh, nhận viện đồ vật và số hoá sách giấy thành sách điện tử để tiện lục lọi chứ bảo mật tránh robot mẹ gì. Nhờ có cái này mà sắp dậy AI của nó thành Skynet đến nơi rồi.
Để cookie thì nó biết từng đường tơ kẽ tóc của mình, ko để cookie thì nó bắt chọn captch mất nửa ngày. Thằng Gồ này là nguy hiểm nhất vì nó nắm gần như mọi thứ trên internet rồi, thằng FB bựa nhưng chỉ là cái mạng xã hội vớ vẩn có thì có ko có thì thôi chứ nó ko có mức độ toàn diện và ko thể bỏ như anh gồ, sắp thống trị rồi.

Tôi chỉ thấy những captcha này là còn có giá trị:
@xversion1 Thằng Gồ nó ăn len lỏi vào mọi thứ, cái mảng nào cũng dính tới nó. Anh Mark thì chỉ loanh quanh thôi.
Sơn Kao
ĐẠI BÀNG
1 năm
Xưa. Xem captcha của vn đây. Các chú tuổi gì.
0sagd30jnon01.jpg
@Sơn Kao vãi ;)
amdnhatlinh
ĐẠI BÀNG
1 năm
@Sơn Kao Đọc bài nghĩ ngay tới hình này
@Sơn Kao đố tìm được luôn 😁
@Sơn Kao Cái này Bot chỉ có khóc thét, đoán sao nổi!
Đi đôi với sự tiện lợi và an toàn là sự đánh đổi quyền riêng tư ;)
Mr.Fap
ĐẠI BÀNG
1 năm
Thứ ngu ngốc bỏ là đáng .nhưng nhỡ bị ăn cắp quyền riêng tư thì sao
Vẫn là thứ thập thôi. Chứ thời đại này ko thu thập dữ liệu sao sống.
Mình ghét cái capcha. Nhiều cái mình chọn đúng mà ko đc
Captcha
AmbitiousGay
ĐẠI BÀNG
1 năm
@Dx.DarkKnight haha
haya
TÍCH CỰC
1 năm
Bọn GG điếm lắm chẳng đùa, kiểu Capcha chọn hình là cách nó biến người dùng thành nhân viên dán tag để dạy cho con AI của nó. Sau này e rằng nó phát triển thêm để bắt mình phải nghe âm thanh, bắt mình nói, bắt phải thể hiện cảm xúc thế nào cho đúng với ngữ cảnh của Capcha... thu thập hết kiến thức, hành vi, suy nghĩ của loài người.
@haya Nói vậy cũng nói được, ko có nó chống auto là các web tràn ngập rác bởi đống bot chứ ở đó
nghe nói cái capcha này là để lọc ai thì phải
Làm sao để pass qua mấy cái này
Ngọc NC
TÍCH CỰC
1 năm
Mình còn chưa hiểu recapcha là cái gì mà mấy bác lm em sáng tỏ cái. Sao chỉ tl mấy câu hỏi đâu là cột nước chữa cháy, đâu là ô tô đâu là xe vạc kẻ đường mà nó lại đang giúp google việc này việc kia ???
@Ngọc NC Là huấn luyện không công AI của nó đấy bác
Ngọc NC
TÍCH CỰC
1 năm
@NguyenTuanKiet.ntk Chưa hiểu mô tê gì bác ah
KO2
TÍCH CỰC
1 năm
@Ngọc NC Bạn chỉ cho trí tuệ nhân tạo của Google đâu là cột nước, đâu là biển báo.
Như việc bạn chỉ cho 1 đứa trẻ đây là quả gì, con gì.. Vậy.
Dần dần nó sẽ biết và ngày càng biết nhiều hơn
@NguyenTuanKiet.ntk Nói như bạn thì bạn bấm kiểu gì nó cũng trúng rồi.
vnv88
TÍCH CỰC
1 năm
Này thì Don't be evil. 😃
Cá nhân
Bạn
Hi bạn!
Điểm Reward Store: 
Tuổi Tinh tế: 
Cấp độ thành viên Tinh Tế


Tải app Tinh tế

Tải app Tinhte - Theo dõi thông tin mà bạn yêu thích

Tải app TinhteTải app Tinhte
Tải app Tinh tế cho Android trên Google PlayTải app Tinh tế cho iPhone, iPad trên App Store



Cộng đồng nổi bật




  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2020 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019