Wurde reCaptcha geknackt / gehackt / OCR / besiegt / gebrochen? [geschlossen]

172

Wurden Programmiermethoden verwendet, um reCAPTCHA zu besiegen?

Ich bin daran interessiert, Beweise und potenzielle Demonstrationen dafür zu sehen, dass insbesondere reCAPTCHA durch vollständig automatisierte, menschenlose Methoden überholt wurde.

Zur Verdeutlichung, nicht nach reCAPTCHA-Betrugslösungen suchen, an denen Menschen in irgendeiner Weise beteiligt sind, unabhängig davon, ob Teams mit dem Ausfüllen von CAPCHAs, Pornosuchenden oder Mechanical Turk beauftragt sind.

Ich suche auch nicht nach Alternativen zu reCAPTCHA, wie der Auswahl des Tiertyps, Hintergrundfeldern oder Javascript-Tricks.

Dave Rutledge
quelle
18
Die Menge an Fehlinformationen in diesen Antworten ist erstaunlich. Wenn ReCaptcha "kaputt" ist, sollte jemand Facebook, Craigslist und TicketMaster sagen, stat! : p
Jeff Atwood
15
Jeff, es wurde ihnen gesagt, und die einzige Fehlinformation bezieht sich auf CAPTCHA als gültigen Sicherheitsmechanismus. Es wurde empirisch gebrochen, sowohl in gängigen Implementierungen als auch in der Theorie (nicht nur reCAPTCHA, sondern das eigentliche Konzept von CAPTCHA). Andererseits ist es nicht VOLLSTÄNDIG wertlos. Ich habe diese Site tatsächlich als gültigen Anwendungsfall für CAPTCHA bezeichnet. Zusätzlich zu den vielen anderen Mechanismen kann sie zusammenarbeiten, um die "Angreifer" nur ein wenig zu kosten Mehr.
AviD
13
Ich bin enttäuscht, dass das Thema nicht pwneddrin ist
Skaffman
2
Weitere Recherchen zum Thema: schneier.com/blog/archives/2010/10/analyzing_captc.html . Eigentlich fand ich die Kommentare interessanter als den Beitrag oder die Recherche selbst ...
AviD
9
Oo! Bestes CAPTCHA aller Zeiten! xkcd.com/810
AviD

Antworten:

92

Ich stelle fest, dass sich fast alle Antworten hier im Prinzip auf die Unwirksamkeit des Konzepts von CAPTCHA beziehen - und obwohl ich ihnen sehr zustimme, habe ich vor einigen Monaten bei OWASP einen Vortrag gehalten , in dem genau das erklärt wurde -, ist die Frage sehr spezifisch , also werde ich für eine Demonstration sorgen.
Aber zuerst werde ich diese Demonstration beiseite wiederholen und die anderen Kommentare noch einmal lesen, da es wahr ist, dass CAPTCHA sinnlos und nicht hilfreich ist, unabhängig von der Implementierung ...

Aber wirklich, schauen Sie sich CAPTCHA Killer an . Sie können ein CAPTCHA-Bild hochladen, das automatisch, wenn nicht sofort, die OCR-Antwort liefert. Es bietet auch eine API (REST, denke ich, aber vielleicht auch SOAP). Ich persönlich habe zahlreiche reCAPTCHA-Bilder ausprobiert, und es waren tatsächlich einige der einfachsten (oder zumindest schnellsten) kaputten.

UPDATE : Die Website von CAPTCHA Killer ist jetzt geschlossen, offenbar unter rechtlichem Druck. Eine vollständige Übersicht über das Thema finden Sie unter http://captcha.org/ .

Und ja, OCR ist nicht der beste Weg, um eine CAPTCHA-geschützte Site zu zerstören - es gibt viele andere bessere Wege.

AviD
quelle
3
Ich frage mich, wie Captcha Killer funktioniert. Irgendwie sieht es für mich so aus, als würde man billige Arbeitskräfte einsetzen und mit der Werbung auf der Website Geld verdienen. (Und Merchandising.)
Georg Schölly
3
Nützliche Antwort zu Captchas im Allgemeinen, aber die Frage betraf speziell reCAPTCHA.
Mike
2
Ich habe gerade Captcha Killer mit drei reCAPTCHAs ausprobiert. Alle drei sind abgelaufen, ohne eine Antwort zurückzugeben.
Lfaraone
21
CAPTCHA Killer scheint getötet worden zu sein: Es wurde von multinationalen Konzernen gewaltsam zerstört, um ihre Oberherrschaft zu verbreiten und die Freiheit der kreativen Meinungsäußerung zu beseitigen! So ein schöner Mörder, so ein früher Tod!
Kiril
4
Ich denke, es ist nur ein Domainwechsel und die Version wird jetzt bezahlt. Überprüfen Sie diese bypasscaptcha.com/captchakiller.php
MarmiK
54

Dieser detaillierte Bericht darüber, wie 4chan reCAPTCHA besiegt und damit die jährlichen TIME 100-Umfrageergebnisse von Time.com manipuliert hat, könnte Sie interessieren .

Hacking Recaptcha (auch bekannt als "The Penis Flood")

Die nächste angewandte Taktik bestand darin, festzustellen, ob sie einen Fehler in der reCAPTCHA-Implementierung finden konnten. Eine Sache, die sie bei reCAPTCHA entdeckt haben, war, dass es einem Benutzer immer zwei Wörter zum Decodieren präsentiert - ein Wort ist ein Steuerwort, das dem reCAPTCHA-System bekannt ist, während das andere ein unbekanntes Wort ist (reCAPTCHA verwendet die Menschen, um OCR-Fehler zu korrigieren). Wikipedia beschreibt den Prozess wie folgt: „Gescannter Text wird von zwei verschiedenen optischen Zeichenerkennungsprogrammen analysiert. In Fällen, in denen die Programme nicht übereinstimmen, wird das fragliche Wort in ein CAPTCHA umgewandelt. Das Wort wird zusammen mit einem bereits bekannten Steuerwort angezeigt und vom Menschen beschriftet. Die Wörter, die von menschlichen Richtern durchweg mit einem einzigen Etikett versehen werden, werden als Kontrollwörter recycelt. “ 2iasdo4 Was Anonymous erkannte, war, dass, wenn sie den unbekannten gescannten Text immer mit demselben Wort beschrifteten - und wenn sie dies tausende und tausende Male taten, schließlich ein großer Prozentsatz der unbekannten Wörter mit ihrem Wort falsch beschriftet würde. Alles, was sie tun mussten, war, sich die beiden Wörter im Captcha anzusehen, das richtige Etikett für das "einfache" einzugeben (vermutlich das, auf das sich die beiden optischen Scanner einigen würden) und das Wort "Penis" für das einzugeben schwer. Wenn sie dies oft genug taten, würde bald ein erheblicher Prozentsatz der Bilder als "Penis" bezeichnet und die Fähigkeit zur automatischen Abstimmung wiederhergestellt (ein Nebeneffekt, der bei Anonymous nicht verloren ging, war die Vorstellung, dass dies für die kommenden Jahre der Fall sein würde Es würde eine Reihe digitaler Bücher geben, in denen das Wort "Penis" zufällig im Text eingefügt wird. Update: Ich fragte Ben Maurer:

ReCAPTCHA optimieren

So ansprechend wie der Gedanke, das Wort "Penis" in Texte zu streuen, wusste das anonyme Team, dass die Uhr tickt, und wenn sie die Nachricht wiederherstellen wollten, hatten sie keine Zeit zu warten, bis die Autovooter wieder online waren - Sie mussten viele, viele Male manuell abstimmen. Und so mussten sie in der Lage sein, so schnell wie möglich in Captchas einzutreten. Sie entwickelten eine Reihe von Richtlinien, anhand derer sie schnell entscheiden konnten, welche reCAPTCHA-Wörter sie überspringen konnten. Beispielsweise:

Sie erhalten 2 Wörter: 1 echtes, 1 falsches.

Für [REAL FAKE]oder [FAKE REAL]können Sie einfach eingeben REALund es sollte akzeptiert werden.

Wenn es [LOOKSREAL LOOKSREAL]oder ist [LOOKSFAKE LOOKSFAKE], ist es normalerweise nur schneller, beide Wörter einzugeben. Verschwenden Sie keine kostbare Zeit damit, zu entscheiden, welcher von ihnen echt ist.

Verwenden Sie sowohl das Aussehen als auch die Art des Wortes, um ein falsches Wort zu identifizieren. Verlassen Sie sich nicht nur auf einen von ihnen.

Der ganze Regelsatz ist hier: Fake Captcha .

Mathias Bynens
quelle
4
Aber ist es nicht der Sinn dieser Geschichte, dass sie reCAPTCHA nicht gebrochen haben? Stattdessen gelang es ihnen, den manuellen Abstimmungsprozess zu rationalisieren, damit entschlossene Freiwillige jeweils tausende Male abstimmen können.
pdc
4
@pdc, nur weil sie die Bilder nicht OCR-fähig gemacht haben (obwohl dies auch möglich gewesen wäre), heißt das nicht, dass sie reCAPTCHA nicht gebrochen haben. Stellen Sie sich das so vor: Ist der Zweck von reCAPTCHA, nicht entzifferbare Bilder zu präsentieren? Oder soll es automatisierte Überschwemmungen verhindern? Wenn es das erste ist, können Sie vielleicht argumentieren, dass es nicht kaputt war (fraglich, aber ich würde Ihnen nicht zustimmen), aber wenn es das zweite ist - dann haben Sie empirische Beweise dafür, dass reCAPTCHA nicht funktioniert. Ich denke auch, dass es ziemlich klar sein sollte, dass neben dem Unterhaltungswert der ZWEITE Zweck der wahre ist und nur einer zählt.
AviD
@AviD Huh? Eine automatisierte Überflutung sei laut Artikel nicht mehr möglich. Vielmehr konnten engagierte Menschen mehrmals schneller abstimmen als sonst (und verschiedene nicht mit Captcha zusammenhängende Techniken wurden eingesetzt, um ineffektive Maßnahmen gegen solch heftige Abstimmungen durch Menschen zu vereiteln). Grundsätzlich gleichbedeutend mit dem Einsatz billiger menschlicher Arbeitskräfte - was reCAPTCHA natürlich nicht behauptet aufzuhören.
ToolmakerSteve
@ToolmakerSteve das ist genau das Problem, reCAPTCHA versucht nicht, das eigentliche Problem zu stoppen. CAPTCHA versucht das falsche Problem schlecht zu lösen.
AviD
32

Die Schwäche von CAPTCHA-Systemen besteht darin, dass Menschen in China Räume voller Menschen einrichten, deren einzige Aufgabe es ist, ein CAPTCHA-Bild zu betrachten und das Ergebnis einzugeben, das in das automatisierte System eingesteckt wird, das tatsächlich das Spam-Verfahren ausführt.

Daran kann man eigentlich nicht viel ändern.

Es ist auch weitaus billiger als der Versuch, Bilderkennung, OCR usw. für das tatsächliche Bild durchzuführen (andernfalls erhalten Sie möglicherweise eine Antwort für unter 0,01 USD).

Cletus
quelle
62
Oder noch besser, sie nehmen das Captcha von Ihrer Website und zeigen es einem Wichser (im wahrsten Sinne des Wortes) als Voraussetzung, um ihnen Pornos zu zeigen.
Paul Tomblin
2
Mann ... das ist klug (Kredit, wo Kredit fällig ist).
Cletus
7
Beachten Sie, dass dies kein ineffektives Tool ist. Dies bedeutet lediglich, dass dies passieren kann, wenn Ihre Website populär genug ist. Für die anderen 99,99% der Websites weltweit reicht ein einfaches Captcha aus.
Robert P
1
Verdammt, CodingHorrors Captcha ändert sich nicht einmal und ist auch nicht verschleiert, und es schafft es, die Arbeit in Ordnung zu machen!
Robert P
5
Eigentlich stimmt das nicht ganz. Zwar gibt es Beispiele dafür, ist es FAR billiger ein CAPTCHA OCR-knacken. Die Verwendung von Schweißgeschäften ist für Spammer normalerweise NICHT wirtschaftlich machbar.
Jens Roland
21

Bevor Sie dem Druck der Verwendung von Captcha nachgeben, sollten Sie kreative Problemumgehungen in Betracht ziehen, z. B. ein Feld mit der Bezeichnung "Ihre Kommentare", das von CSS ausgeblendet wird. Wenn das Feld eingegeben wird, wird die Anforderung vom Server gelöscht. Die meisten Bots werden darauf hereinfallen, auch wenn es immer noch keinen guten Weg gibt, den Raum voller unterbezahlter Arbeiter zu besiegen, was Captcha sowieso nicht hilft.

UPDATE : Lesen Sie einfach eine Fallstudie, in der das Entfernen von CAPTCHA die Conversion-Raten um fast 10% erhöhte. Das würde mir anzeigen, dass es ziemlich kaputt ist, wenn Sie 10% Ihrer Leads verlieren, nur um Bots herauszufiltern. Stellen Sie sich vor, was 10% für die meisten Unternehmen bedeuten.

DavGarcia
quelle
2
Dies ist sehr klug, funktioniert aber nicht, wenn Sie ausreichend beliebt sind. Yahoo oder Google könnten dies beispielsweise niemals nutzen.
Dreeves
2
Hier stellt sich die Frage, ob Ihre Website wertvoll genug ist, um gezielt anzugreifen. Die meisten sind es nicht, und kleine Eigenheiten werden etwas Gutes tun.
David Thornley
3
Ich würde +1 für das Update bezüglich 10% Verlust - SEHR wichtiger Punkt. (aber ich kann nicht +1 Cuz des versteckten Feldvorschlags - das ist weniger als nutzlos.)
AviD
2
Es gibt 2 Probleme: "gezielter Angriff" und "zufälliger Spam". Ihre Lösung könnte Ihren Arsch für zufälligen Spam retten, ein gezielter Angriff wird Ihr System jedoch innerhalb eines Tages überfluten.
dr. böse
1
@dreeves: Hat Google nicht gerade reCAPTCHA erworben?
Prabu
18

Mein Lieblings-Captcha stammt von Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Tierarten-Bilderkennung zur Einschränkung des Zugriffs) ist ein HIP, bei dem Benutzer aufgefordert werden, Fotos von Katzen und Hunden zu identifizieren. Diese Aufgabe ist für Computer schwierig, aber unsere Benutzerstudien haben gezeigt, dass Menschen sie schnell und genau ausführen können. Viele denken sogar, dass es Spaß macht!

Es ist ein kostenloser Dienst und sie haben Beispielcode, um Ihnen den Einstieg zu erleichtern.

Ich frage mich, wie lange es dauern wird, bis es geknackt wird.

BoltBait
quelle
1
Leider zeigt die obige Antwort von cletus, wie unwirksam ein solcher Dienst im Kampf gegen Spam sein wird.
Erik Forbes
1
Ich habe es nicht geschafft, dass ein 2 von 4 Mal ein schlecht beleuchtetes Bild eines Pommerschen wie eine Katze aussehen kann :(
Tom Anderson
3
Ich habe den Test gemacht und es fühlt sich gut an zu wissen, dass ich ein Mensch bin. :)
BoltBait
5
Eigentlich war das beste Captcha HotCaptcha - aber es war das letzte Mal offline, als ich es überprüft habe. Basierend auf HotOrNot.com war es nicht besonders effektiv, aber sehr beliebt bei den Benutzern :-)
AviD
2
Das Problem hierbei ist, dass es aufgrund eines kleinen Schlüsselraums sehr einfach wäre, Gewalt anzuwenden. Wenn Sie anfangen, dem Namen weitere Objekte hinzuzufügen, geraten Sie bei der Benennung in Unklarheiten (z. B. ein Känguru, ein Joey oder ein Babykänguru?). Sie müssten sicherstellen, dass Sie eine Eins-zu-Viele-Beziehung zwischen den zu benennenden Objekten und ihren möglichen Namen haben.
Oorang
11

reCAPTACHA ist nicht kaputt und es wird nicht lange dauern. Die Sache ist, wenn Sie Ihr eigenes Captcha implementieren, wenn es kaputt ist, dauert es wahrscheinlich lange, bis es behoben ist.

Dies ist der Seite über die Sicherheit von reCAPTCHA entnommen :

reCAPTCHA ist ein Webdienst. Das bedeutet, dass alle Bilder von unseren Servern generiert und bewertet werden. (…) Dies bietet auch ein zusätzliches Schutzniveau: Unsere CAPTCHAs können automatisch aktualisiert werden, wenn eine Sicherheitslücke gefunden wird.

Wenn beispielsweise jemand ein Programm schreibt, das unsere verzerrten Bilder lesen kann, können wir in kürzester Zeit weitere Verzerrungen hinzufügen, ohne dass Webmaster irgendetwas an ihrer Seite ändern müssen.

Ich glaube, da sie auf Captchas spezialisiert sind, haben sie verbesserte Versionen gespeichert, die bei Bedarf in kurzer Zeit bereitgestellt werden können. (Warum sollten sie eine stärkere Sicherheit schaffen, wenn die schwächere noch nicht kaputt ist?)

Georg Schölly
quelle
9

Es wurde nicht nur besiegt, sondern es wurde auch eine nützliche Anwendung erfolgreich darauf aufgebaut, um das erstaunlichste Tool zu werden, mit dem alle Arten von kostenlosen Kontoschutzfunktionen einer großen Liste von Direkt-Download-Sites (nicht nur Megaupload und Rapidshare) besiegt werden können ).

Jdownloader ist Open Source und in Java geschrieben, sodass ein Blick auf den Quellcode nicht nur antworten kann, wenn er kaputt ist, sondern auch wie .

Bearbeiten : Die meisten direkten Download-Sites verwenden nicht reCaptcha, sondern eine einfachere Captcha-Methode (3 Großbuchstaben in verschiedenen Farben). Trotzdem sind Jdownloader und Cryptload (ein Programm ähnlich wie Jdownloader) die einzigen funktionierenden Implementierungen, von denen ich weiß, dass sie eine Captcha-Methode effektiv beschädigt haben. Ich habe noch keine Implementierung zum Knacken von reCaptcha gehört.

Update : Es scheint, dass mindestens eine Implementierung von reCaptcha (nicht das gesamte reCaptcha selbst) ebenfalls geknackt wurde .

Update Dezember 2010 : Jdownloader scheint endlich reCaptcha zu besiegen . Das Plugin ist noch experimentell und funktioniert nur unter Windows-Versionen von Jdownloader, aber wie mir von einem Kollegen gesagt wurde, der es ausprobiert hat, funktioniert es.

Fernando Miguélez
quelle
2
Wissen Sie, welcher dieser Dateihoster RE-Captcha verwendet, weil Rapidshare und Megaupload dies nicht tun?
dr. böse
@ dr das gleiche, ist es nicht nützlich. Ich habe das in der Vergangenheit persönlich benutzt. Es war einer der besten Downloader in einigen Fällen besser als IDM. Bitte beachten Sie: Ich bin kein Promoter von jDownloader. Vielen Dank
MarmiK
8

Letztes Jahr gab es bei Defcon eine Rede , die sich mit den Problemen mit CAPTCHAs im Allgemeinen befasste. Eines der Dinge, die sie getan haben, ist die Verwendung mehrerer kostenloser OCR-Engines und die Abstimmung über die besten Wörter. Auf diese Weise konnten sie eine recht gute Erfolgschance erzielen. Zum einen waren es ungefähr 40%, aber ich glaube nicht, dass es reCaptcha war.

FryGuy
quelle
3
Das ist ein wichtiger Punkt, ein Spam-Bot muss nicht alle Capthas brechen - 1% würde es tun, wenn er es weiter versuchen kann.
Martin Beckett
8
  • "Tatsächlich wurde es [reCAPTCHA] am 4. Januar [2011] ziemlich nutzlos, als Spammer offenbar gemeinsam eine Software in die Hände bekamen, die reCAPTCHA umgeht und einen vollautomatischen Registrierungsprozess ermöglicht. Die Bots waren beschäftigt, sehr beschäftigt , seitdem " [1]

Vor zwei bis drei Jahren hat der auf Texttypen basierende Captchas-Ansatz die Grenze überschritten, als sie ihren Kampf verloren haben, dh weitere Komplikationen machen sie für Maschinen relativ (da die Computerleistung zunimmt, während der Mensch nicht) einfacher und abstoßender und abstoßender, wenn nicht für Menschen völlig unmöglich. Dies steht im Widerspruch zum ursprünglichen Paradigma von CAPTCHA als Test, um sicherzustellen, dass die Antwort nicht von einem Computer generiert wird

Update:
Beachten Sie, dass reCAPTCHA Eigentum von Google Inc. ist , Google Inc. es jedoch nicht von seinen eigenen Diensten verwendet.
Hier ist ein Link mit einer Webseite mit Captcha, die von Google selbst / intern zum Beispiel für die Google Mail-Registrierung verwendet wird:

Alt-Text



Beachten Sie, dass Googles reCAPTCHA immer zwei Wörter enthält.
Hier ist der Link für das Bild mit Googles reCAPTCHA, der zur Verwendung durch andere angeboten wird .

Und der Screenshot von reCAPTCHA:

Alt-Text

Ich überlasse es einem Leser, die offensichtlichen Schlussfolgerungen zu ziehen.

Zitiert: [1]
vBulletin-Foren, die von reCAPTCHA-Cracking-Spam-Bot | getroffen wurden PC Pro Blog
Gepostet am 12. Januar 2011 von Davey Winder

Gennady Vanin Геннадий Ванин
quelle
5

Ich sehe Blog-Kommentare zu einem durch reCAPTCHA geschützten System, auf dem die Seite geladen wird, und 1 Sekunde später wurde der Beitrag erfolgreich erstellt. Der User-Agent war Unsinn (in diesem speziellen Fall behauptete er, Ubuntu 9.25 / Firefox 3.8 auszuführen), der Referrer stammte von einer völlig unabhängigen Site ohne Link zu uns.

Dies ist eindeutig automatisiert.

Benjamin Franz
quelle
3

reCAPTCHA wurde nicht besiegt. Wenn ja, warum hat Google es dann einfach gekauft und angekündigt, die Technologie in Google anzuwenden, um den Schutz vor Betrug und Spam für Google-Produkte zu verbessern?

von Google erwirbt reCAPTCHA , das am 16.9.09 im Google Blog veröffentlicht wurde:

Auf diese Weise verbessert die einzigartige Technologie von reCAPTCHA den Prozess, der gescannte Bilder in einfachen Text konvertiert, der als optische Zeichenerkennung (OCR) bezeichnet wird. Diese Technologie unterstützt auch umfangreiche Text-Scan-Projekte wie Google Books und Google News Archive Search. Die Textversion von Dokumenten ist wichtig, da einfacher Text durchsucht, auf Mobilgeräten einfach gerendert und sehbehinderten Benutzern angezeigt werden kann. Daher werden wir die Technologie in Google nicht nur einsetzen, um den Schutz vor Betrug und Spam für Google-Produkte zu verbessern, sondern auch, um unseren Prozess zum Scannen von Büchern und Zeitungen zu verbessern.

Mike
quelle
3

Der einfachste Weg, Captchas zu besiegen, ist Amazon Mechanical Turk. Es gibt einen Typen namens Kermit Welda, der den Leuten jeweils einen Nickel zahlt, um Hotmail-, AOL- und Gmail-Konten zu registrieren. Das sind 6.000 gefälschte E-Mail-Konten zu 5 Cent = 300 US-Dollar pro Tag. Die Kosten für das Geschäft sind ziemlich günstig, wenn andere Leute die Drecksarbeit für Sie erledigen. Kein Wunder, dass die Spam-Filter unseres Servers alles von Hotmail ablehnen möchten.

Dr. Klahn
quelle
Ist das wirklich eine Antwort ...?
Austin Henley
Sinnvoll, ein ähnliches Konzept wie Death By Captcha .
Kenorb
OP ha hat klar gesagt, dass dies nicht das ist, wonach er sucht.
Scott Solmer
2

AFAIK In der Praxis gibt es kein Tool, um die RE-Captcha-Implementierung zu knacken. Ich gehe jedoch davon aus, dass es irgendwann jemand bekommen wird.

Komisch genug, wenn jemand es schafft, es zu bekommen, dann ist das gesamte RE-Captcha-Projekt sinnlos, weil Re-Captcha entworfene Digitalisierungsbücher entworfen hat, die nicht automatisiert durchgeführt werden können.

Übrigens:

Die Schwäche von CAPTCHA-Systemen besteht darin, dass Menschen in China Räume voller Menschen einrichten, deren einzige Aufgabe es ist, ein CAPTCHA-Bild zu betrachten und das Ergebnis einzugeben, das in das automatisierte System eingesteckt wird, das tatsächlich das Spam-Verfahren ausführt.

Sie können ein solches System nicht sichern. Dies bedeutet, dass Sie sagen: "Ihre Webanwendung ist nicht sicher genug, wenn sich Ihr Host nicht in einem alten Militärbunker befindet, weil jetzt Leute Ihre Maschine stehlen können."

DR. böse
quelle
3
Ihr Gefühl ist genau richtig, aber die Anwendung ist falsch: Der Gedanke (des von Ihnen zitierten Kommentars) ist, dass CAPTCHA das beabsichtigte Problem nicht löst . Oder wie ich oft sage "CAPTCHA ist (im Allgemeinen) eine schlechte Lösung für das falsche Problem." Das Problem, das CAPTCHA (per Definition) zu lösen versucht, ist: Woher weiß ich, dass der Benutzer eine Person ist, kein Computer? Unabhängig davon, ob CAPTCHA dies löst oder nicht (nicht), ist das WIRKLICHE Problem: Wie kann ich eine Massenüberschwemmung meines Dienstes verhindern? CAPTCHA-Farmen und Proxys zeigen den genauen Unterschied. Deshalb sollte jede Sicherheitslösung mit den Bedrohungen beginnen.
AviD
1
Sie haben Recht, es kommt alles auf "Warum verwenden Sie CAPTCHA?". Für einige Systeme ist es gerade genug Sicherheit für einige Systeme, es ist nicht einmal in der Nähe. Aber genau wie Keysize in Crypto Ihnen hilft, etwas zu schützen, indem Brute Forcing Jahre dauert (obwohl sie es irgendwann knacken werden! Aber nicht in dieser Lebenszeit oder nicht in den nächsten 10 Jahren), kann CAPTCHA in einigen Systemen genug Sicherheit in der genau so. Wie Sie sagten, ist alles darauf zurückzuführen, wofür verwenden Sie CAPTCHA?
dr. böse
2

Es gibt viele Methoden, die verwendet werden, um Recaptcha zu bescheißen. Während es schwierig ist, neuronale Netwpork-fähige Programme zu verwenden, um sie automatisch zu lösen, ist es möglich, das Bild zu erfassen und Amazon's Mechanical Turk oder ein gleichwertiges Programm zu haben, um sie zu lösen.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/

Redstick
quelle