研究顯示CAPTCHA驗證毫無意義 浪費用戶幾十億小時

加州大學(xué)歐文分校2023年的一項研究《茫然與困惑：關(guān)于reCAPTCHAv2的大規(guī)模真實用戶研究》得出結(jié)論，驗證碼不僅在實際阻止機器人流量方面效果不佳，還通過追蹤cookie引發(fā)隱私問題，浪費了我們大家總計數(shù)十億小時的時間，并且為谷歌生成了價值近萬億美元的數(shù)據(jù)。谷歌早在2009年就收購了廣泛使用的reCAPTCHA工具。

該研究聚焦于通過谷歌reCAPTCHAv2在現(xiàn)實中最常見的兩種驗證碼形式：“隱形”或基于行為的驗證碼，當(dāng)你勾選“我不是機器人”框時，甚至在你瀏覽網(wǎng)站時，它會暗中分析你的輸入;還有基于圖像的驗證碼，你需要從谷歌街景獲取的圖片中選擇所有摩托車、交通信號燈之類的內(nèi)容。這兩種驗證碼對谷歌都很有價值，前者生成的追蹤cookie可能有助于廣告定向投放，而后者的數(shù)據(jù)則可用于谷歌內(nèi)部的人工智能模型訓(xùn)練，或者出售給其他公司。

這項實驗并未告知實驗對象，而是將谷歌的reCAPTCHAv2添加到該大學(xué)內(nèi)部學(xué)生賬戶系統(tǒng)的賬戶創(chuàng)建和密碼找回功能中，研究人員既測量完成驗證碼所需的時間，又對這項為期13個月的研究中的3600名用戶進行抽樣調(diào)查，了解他們的體驗。不出所料，當(dāng)涉及到更復(fù)雜的圖像識別驗證碼時，用戶花費的時間更多，反饋也多為負(fù)面。該研究還指出，完成時間會因?qū)W科、經(jīng)驗水平以及是創(chuàng)建賬戶還是找回賬戶而有所不同。

研究人員算出圖像和行為驗證碼的平均完成時間為3.53秒，并將其與2010年至2023年間互聯(lián)網(wǎng)上完成的5120億個reCAPTCHAv1和v2驗證碼的低端估計數(shù)相乘，得出了以下關(guān)于驗證碼對我們生活影響的估算結(jié)果：

- 花費8.19億小時來完成驗證碼。

- 按美國聯(lián)邦最低工資標(biāo)準(zhǔn)計算，這些時間價值61億美元。

- 消耗134PB的互聯(lián)網(wǎng)帶寬。

- 耗費750萬千瓦時的能源。

- 產(chǎn)生750萬磅的二氧化碳污染。

這是我補充的：將8.19億小時與人類平均壽命79年相比，相當(dāng)于耗費了1182.7個人的一生來完成驗證碼。

將這項新研究中人類完成驗證碼的時間和準(zhǔn)確率與機器人進行對比，同時參考以往關(guān)于自動化程序破解驗證碼能力不斷提高的研究，研究人員得出結(jié)論，如今機器人完成reCAPTCHAv2復(fù)選框的速度比人類快，而在圖像識別方面，雖然機器人花費的時間更多，但準(zhǔn)確率更高。研究人員還認(rèn)為，追蹤cookie實際上帶來了新的安全和隱私風(fēng)險。研究人員根據(jù)谷歌公布的已標(biāo)注圖像識別數(shù)據(jù)集合的價值，以及單個追蹤cookie的終身價值乘以估算的2010年至2023年間完成的reCAPTCHAv2總量，得出了以下對谷歌來說的價值估算：

- 其完整的reCAPTCHAv2數(shù)據(jù)集價值87.5億 - 323億美元，理論上該數(shù)據(jù)集可多次出售給不同的供應(yīng)商。

- 2010年至2023年間reCAPTCHAv2產(chǎn)生的所有追蹤cookie的終身價值為8880億美元。

研究人員在研究的最后部分指出：“可以得出結(jié)論，reCAPTCHAv2的真正目的是作為一個偽裝成安全服務(wù)的追蹤cookie生成場來盈利。”他們認(rèn)為，由于reCAPTCHA對互聯(lián)網(wǎng)安全或功能并無實際貢獻，應(yīng)該逐步淘汰。然而，這項研究過去兩年了，短期內(nèi)仍沒有淘汰的跡象。