Статті ККІТтаР УДХТУ (раніше ККІТтаА УДХТУ)

Permanent URI for this collectionhttps://crust.ust.edu.ua/handle/123456789/21119

ENG: Articles

Browse

Filter results by typing the first few letters
Now showing 1 - 1 of 1
  • Thumbnail Image
    Item type:Item,
    Методи обходу captcha та контрзаходи в умовах розвитку мультимодальних моделей
    (Наука і техніка сьогодні, 2025) Рутц, Станіслав Вікторович; Чернецький, Євгеній Вячеславович
    UKR: У статті систематизовано сучасні підходи до обходу CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) для текстових, графічних, аудіо та інтерактивних схем і проведено комплексний огляд контрзаходів з урахуванням еволюції глибинного навчання, мульти-модальних мовно-зорових моделей (VLM/LLM) і ринку «людина в циклі» (solver-сервіси). На основі аналізу наукових публікацій і промислових практик запропоновано таксономію атак: від класичних сегментаційно-OCR ланцюгів і end-to-end розв’язувачів для grid-завдань до емуляції поведінки (RL), ретрансляційних атак і соціальної інженерії. Для порівняльноїоцінки загроз введено триєдину метрику SR-C-T (success rate -cost -time-to-solve) з додатковими ознаками detectability та scalability, що дозволяє узгоджувати політики захисту з економікою нападника та обмеженнями інфраструктури. Розглянуто адаптивні «невидимі» механізми на базі ризик-скорингу (reCAPTCHA v3, hCaptcha, Turnstile), докази виконаної роботи (PoW) і архітектурні прийоми-ескалація викликів, honeypot/канарки, короткий TTL і token binding для зниження ефективності relay-схем. Окремо проаналізовано альтернативи класичним пазлам -Privacy Pass / Private Access Tokens (IETF RFC 9576/9577/9578), що дають змогу підтверджувати «якість клієнта» без надмірного збору поведінкових/пристроєвих сигналів і з меншим тертям для доброчесних користувачів.Показано, що підвищення складності викликів без супровідних архітектурних змін має обмежений ефект через доступність solver-ринку та зростання можливостей VLM/LLM; натомість шарована стратегія (пасивний скоринг → керована ескалація → PoW/MFA → token-level контрзаходи) забезпечує кращий баланс «безпека -зручність -приватність». Узгоджено вимоги доступності за WCAG 2.2 та позицію W3C щодо недоступності окремих типів CAPTCHA, сформульовано рекомендації з надання еквівалентних альтернатив для користувачів з порушеннями зору/слуху. Практичний внесок роботи дорожня карта впровадження з контрольними метриками SR-C-T, принципами A/B-налаштування порогів, anti-relay гігієною й періодичною ротацією моделей/викликів, а також матриця відповідності «тип атаки → контрзахист» для типових сценаріїв зловживань.