Forscher besiegen CAPTCHA auf beliebten websites

2013-12-28  |  Comebuy News

Forscher an der Stanford University haben ein automatisiertes Tool entwickelt, das dechiffrierende Text-basierte Anti-Spam Tests verwendet durch viele beliebte Websites mit ein hohes Maß an Genauigkeit kann.

Comebuy Verwandte Artikel: Forscher knacken Microsoft, eBay, Yahoo, Digg audio CaptchasYahoo Mail gehackt von russischen ResearcherGoogle Gmail aussichtsloser Kampf gegen die SpamNuCaptcha verbessert die Integration des CAPTCHA SystemSpam Bots Ziel Googles Blogger Dienstes

Forscher Elie Bursztein, Matthieu Martin und John C. Mitchel stellte die Ergebnisse ihrer Jahres-und-einhälfte lange CAPTCHA-Studie an der jüngsten ACM Conference On Computer und Kommunikationssicherheit in Chicago.

CAPTCHA steht für "Completely Automated Public Turing-Test zu sagen, Computers and Humans Apart" und besteht aus Herausforderungen, die nur Menschen lösen sein sollen. Websites verwendet solche Tests, um Spam-Bots zu blockieren, die Automatisierung von Aufgaben wie Kontoregistrierung und Kommentar posten.

Es gibt verschiedene Arten von CAPTCHAs, einige mit Audio, Laptop-, mathematische Probleme, aber die häufigsten Implementierungen basieren auf Benutzer Text verzerrt wieder eingeben. Das Stanford-Team entwickelt verschiedene Methoden der absichtlich eingeführte Bildrauschen Hintergrund bereinigen und Textzeichenfolgen in einzelne Zeichen leichter Anerkennung, eine Technik namens Segmentierung einbrechen.

Einige ihre CAPTCHA-Breaking-Algorithmen sind inspiriert durch die von Robotern verwendet werden, um sich in verschiedenen Umgebungen zu orientieren und ein automatisiertes Tool, genannt Decaptcha eingebaut wurden. Dieses Tool wurde dann gegen CAPTCHAs verwendet von 15 hochkarätige Websites ausführen.

Die Ergebnisse zeigten, dass Tests, die von Visa Authorize.net Zahlungs-Gateway verwendet geschlagenen 66 Prozent sein könnte der Zeit, während der Angriffe auf Blizzard World of Warcraft-Portal hat eine Erfolgsquote von 70 Prozent.

Andere interessante Ergebnisse wurden registriert, bei eBay, deren CAPTCHA Implementierung 43 Prozent der Zeit fehlgeschlagen ist, und auf Wikipedia, wo einer von vier Versuche erfolgreich war. Niedriger, aber immer noch signifikant, Erfolg, die Preise auf Digg, CNN und Baidu--20, 16 und 5 Prozent bzw. gefunden wurden.

Die einzigen getesteten Seiten, wo CAPTCHAs gebrochen sein könnte, waren Google und ReCAPTCHA. Letzteres ist eine Implementierung der Carnegie Mellon University entwickelt und von der Internet-Suche Riese im September 2009 gekauft.

Authorize.net und Digg haben, ReCAPTCHA umgestellt, da diese Tests wurden durchgeführt, aber es nicht klar ist, ob die anderen Websites sowie Änderungen vorgenommen. Dennoch kamen die Forscher der Stanford mit mehrere Empfehlungen CAPTCHA Sicherheit zu verbessern.

Dazu gehören randomizing die Länge der Zeichenfolge, die Zeichengröße randomizing, eine wellenförmige Effekts auf die Ausgabe und Verwendung reduzieren oder Linien im Hintergrund. Eine andere bemerkenswerte Schlussfolgerung war, dass komplexe Zeichensätze keine Sicherheitsvorteile hat und schlecht für die Benutzerfreundlichkeit ist.

Bursztein und sein Team haben auch andere Durchbrüche auf diesem Gebiet in der Vergangenheit hatte. Im Mai entwickelten sie Techniken, um audio-CAPTCHAs erfolgreich auf Websites zu brechen, wie Microsoft, eBay, Yahoo und Digg und sie ihre Decaptcha-Tool in der Zukunft zu verbessern möchten.

« Back