«جوتشا».. اختبار لمقاومة هجمات تخمين كلمات المرور
غالباً ما نضطر بين حين وآخر لاستكمال أحد اختبارات «كابتشا» لإنشاء حساب جديد في أحد مواقع الإنترنت أو إرسال تعليق. وتُشير كلمة «كابتشا» إلى مجموعة الحروف والأرقام التي تُعرض بطريقة غير واضحة بعض الشيء أو مشوهة، يستطيع البشر وحدهم التعرف إليها دون أجهزة الكمبيوتر، التي يمكنها فقط فحص الإجابة للتأكد من صحتها، وتستخدم لمنع البرامج الآلية من الدخول غير المصرح به إلى المواقع، وإرسال التعليقات المزعجة أو «سبام».
ونالت تقنية «كابتشا» نجاحاً وانتشاراً كبيرين في عالم الإنترنت، منذ أن قدمها «لويس فون آهن» وآخرون من جامعة «كارنيجي ميلون» الأميركية في عام 2000، وتُشير تقديرات إلى أن مستخدمي الإنترنت يجيبون يومياً على نحو 300 مليون اختبار «كابتشا».
ومع هذا النجاح، وكما المعتاد في مجال أمن المعلومات والحاسب، لم تسلم «كابتشا» من أشكال مختلفة من الهجمات، منها توظيف عاملين بأجور زهيدة في محاولة حلها، لاختراق مواقع أو خدمات معينة، كما يعتمد أسلوب آخر على استغلال قيام مستخدمين عاديين بتسجيل الدخول إلى أحد المواقع، ويستعين بإجاباتهم في الوقت الحقيقي للدخول غير المصرح به إلى مواقع أخرى.
ولذلك، يحاول علماء الكمبيوتر البحث عن سبل تُحسن من جودة اختبار «كابتشا»، وتزيد من مقاومته لمحاولات الاختراق، كما يسعى بعضٌ منهم إلى التوصل إلى بدائل مناسبة، إذ قدم باحثون في علوم الكمبيوتر من جامعة «كارنيجي ميلون» فكرة بديلة تقوم على طلب تعرف المستخدمين على صور تتضمن أنماطاً مؤلفة عشوائياً لبقع حبر ملونة.
وأطلق فريق البحث على فكرة الاختبار الجديد اسم «جوتشا»، وبدلاً من النصوص المختلفة في كل مرة، يعتمد «جوتشا» على أوصاف المستخدم لمجموعة من الصور تُعرض عليه عند إنشاء حسابه للمرة الأولى، وحين يحاول الولوج إلى حسابه في المرات التالية، تُعرض عليه الصور ذاتها إضافة إلى الإجابات التي قدمها؛ ليكون عليه الربط بين الصورة والوصف الملائم.
وعند إنشاء المستخدم لحساب جديد في أحد مواقع الإنترنت، ومع تعيينه لكلمة المرور الخاصة به، تُعرض عليه مجموعة من الصور الصغيرة، تتضمن كلٌ منها أنماطاً مولدة عشوائياً لبقع أو «لطخات حبر» بألوان مختلفة، وهي عبارة عن دوائر وأشكال بيضاوية متداخلة، ويُطلب من المستخدم كتابة عبارة قصيرة تصف كل صورة.
وتأتي الخطوة التالية عند محاولة المستخدم الدخول إلى حسابه في المرات التالية، فتُعرض عليه مجموعة الصور ذاتها، إضافة إلى الجمل التي كتبها لوصفها، ويتطلب اختبار «جوتشا» ربط المستخدم كل صورة بالعبارة التي كتبها في المرة الأولى.
ويستهدف الباحثون بشكل أساسي استخدام «جوتشا» لمقاومة الهجمات التي تحاول تخمين كلمات المرور الخاصة بحسابات الأفراد، أو ما يُعرف باسم «هجمات القواميس»، وهي هجمات آلية تحاول كسر الحماية التي تضعها كلمات المرور على الحسابات من خلال تخمينها بتجربة مئات وملايين الاحتمالات الممكنة.
وتعتمد فكرة اختبار «جوتشا» على وجود التفاعل بين المستخدم والكمبيوتر، إضافة إلى افتراض استطاعة المستخدمين تمييز العبارات التي قدموها في المرة الأولى لوصف الصور، ويسعى الباحثون ليُحقق الاختبار هدفين؛ الأول أن يسهل على المستخدمين الإجابة عليه، وثانيهما أن يصعب على أجهزة الكمبيوتر والبرامج الآلية حله.
وتُشير أدلة إلى أن البشر يمكنهم التعرف إلى الأنماط والصور بدرجة تفوق بكثير ما يمكن لأجهزة الكمبيوتر أن تقوم به.
لكن اعتماد اختبار «جوتشا» على قدرة المستخدمين على تذكر العبارات التي كتبوها في المرة الأولى يُثير تساؤلات حول جدوى استخدامه، ولذلك اختبر الباحثون فكرة «جوتشا» بالاستعانة بـ70 عاملاً من موقع «أمازون ميكانيكال ترك»، وطُلب من كلٍ منهم استعراض 10 صور لأنماط عشوائية من بقع الحبر، وكتابة وصف لكلٍ منها مقابل الحصول على دولار. وبعد مُضي 10أيام، طُلب من العاملين أنفسهم إعادة ربط العبارات التي كتبوها بالصور الـ10 لبقع الحبر، لقاء الحصول على دولار آخر. وأظهرت نتائج الاختبار استطاعة 17 عاملاً ربط الصور الـ10 بالعبارات التي تصفها بشكل صحيح، في حين تمكنت نسبة 69% من المشاركين من الربط الصحيح بين ما لا يقل عن خمس صور وأوصافها. وبناءً على النتائج، يُحبذ فريق البحث جعل استخدام «كابتشا» اختيارياً؛ حتى لا يُعيق المستخدمين الذين يواجهون صعوبة في الإجابة من الدخول إلى حساباتهم. ولاتزال فكرة «جوتشا» تحتاج إلى مزيد من التحسينات قبل أن تُعتمد على نطاقٍ واسع في مواقع الإنترنت.
