研究顯示CAPTCHA驗證毫無意義 浪費使用者幾十億小時

加州大學歐文分校2023年的一項研究《茫然與困惑：關於reCAPTCHAv2的大規模真實使用者研究》得出結論，驗證碼不僅在實際阻止機器人流量方面效果不佳，還透過追蹤cookie引發隱私問題，浪費了我們大家總計數十億小時的時間，並且為谷歌生成了價值近萬億美元的資料。谷歌早在2009年就收購了廣泛使用的reCAPTCHA工具。

該研究聚焦於透過谷歌reCAPTCHAv2在現實中最常見的兩種驗證碼形式：“隱形”或基於行為的驗證碼，當你勾選“我不是機器人”框時，甚至在你瀏覽網站時，它會暗中分析你的輸入;還有基於影像的驗證碼，你需要從谷歌街景獲取的圖片中選擇所有摩托車、交通訊號燈之類的內容。這兩種驗證碼對谷歌都很有價值，前者生成的追蹤cookie可能有助於廣告定向投放，而後者的資料則可用於谷歌內部的人工智慧模型訓練，或者出售給其他公司。

這項實驗並未告知實驗物件，而是將谷歌的reCAPTCHAv2新增到該大學內部學生賬戶系統的賬戶建立和密碼找回功能中，研究人員既測量完成驗證碼所需的時間，又對這項為期13個月的研究中的3600名使用者進行抽樣調查，瞭解他們的體驗。不出所料，當涉及到更復雜的影像識別驗證碼時，使用者花費的時間更多，反饋也多為負面。該研究還指出，完成時間會因學科、經驗水平以及是建立賬戶還是找回賬戶而有所不同。

研究人員算出影像和行為驗證碼的平均完成時間為3.53秒，並將其與2010年至2023年間網際網路上完成的5120億個reCAPTCHAv1和v2驗證碼的低端估計數相乘，得出了以下關於驗證碼對我們生活影響的估算結果：

- 花費8.19億小時來完成驗證碼。

- 按美國聯邦最低工資標準計算，這些時間價值61億美元。

- 消耗134PB的網際網路頻寬。

- 耗費750萬千瓦時的能源。

- 產生750萬磅的二氧化碳汙染。

這是我補充的：將8.19億小時與人類平均壽命79年相比，相當於耗費了1182.7個人的一生來完成驗證碼。

將這項新研究中人類完成驗證碼的時間和準確率與機器人進行對比，同時參考以往關於自動化程式破解驗證碼能力不斷提高的研究，研究人員得出結論，如今機器人完成reCAPTCHAv2核取方塊的速度比人類快，而在影像識別方面，雖然機器人花費的時間更多，但準確率更高。研究人員還認為，追蹤cookie實際上帶來了新的安全和隱私風險。研究人員根據谷歌公佈的已標註影像識別資料集合的價值，以及單個追蹤cookie的終身價值乘以估算的2010年至2023年間完成的reCAPTCHAv2總量，得出了以下對谷歌來說的價值估算：

- 其完整的reCAPTCHAv2資料集價值87.5億 - 323億美元，理論上該資料集可多次出售給不同的供應商。

- 2010年至2023年間reCAPTCHAv2產生的所有追蹤cookie的終身價值為8880億美元。

研究人員在研究的最後部分指出：“可以得出結論，reCAPTCHAv2的真正目的是作為一個偽裝成安全服務的追蹤cookie生成場來盈利。”他們認為，由於reCAPTCHA對網際網路安全或功能並無實際貢獻，應該逐步淘汰。然而，這項研究過去兩年了，短期內仍沒有淘汰的跡象。