Wie man einen CAPTCHA-Schutz knackt
14 December 2004
Einen älteren Artikel, wie Spammer den grafischen CAPTCHA-Schutz knacken, gibt es auf post-gazette.com oder boingboing. (via Jon Udell <-- DenkZEIT)
Demnach ist Erkennungssoftware schon soweit, dass jeder Zahlen- und Buchstabencode geknackt werden kann. Probleme hätte diese Software aber bei Bildmotiven, die nur von Menschen erkannt werden können. Zum Beispiel ein verzerrt aufgenommener Tierkopf aus einer ungewöhnlichen Perspektive.
Aber was die Maschinen nicht können, erledigen Menschen. Von Spamern verwendete Skripte übermitteln die Formulareingaben erst, nach dem ein Mensch sie erkannt und eingegeben hat, um damit Zugang zu einer der vielen kostenlosen Prono-Sites zu bekommen ("Geben Sie den Code ein, um das neue Haris Pilton-Video runterzuladen!").
Geniale Idee, zugegeben. Zwar ist die Ausbeute nicht 100% (ein paar werden immer den falschen Code eingeben und das muss die Maschine, mangels eigener Kontrollmöglichkeiten, dann annehmen), aber für Spammer zählt eben die Quantität.
Was uns wieder zum Hauptproblem führt, den auch Jon Udell in seinem Artikel erwähnt: Die Knackmöglichkeiten sind heute schon da und wenn eine kritische Masse überschritten wird, werden sie auch eingesetzt. Je verbreiteter ein Schutz, desto eher wird er geknackt. Ob wir jetzt alle grafische Captchas drauf machen, oder die barrierefreie Variante ... bald können wir uns wieder etwas Neues überlegen.
Demnach ist Erkennungssoftware schon soweit, dass jeder Zahlen- und Buchstabencode geknackt werden kann. Probleme hätte diese Software aber bei Bildmotiven, die nur von Menschen erkannt werden können. Zum Beispiel ein verzerrt aufgenommener Tierkopf aus einer ungewöhnlichen Perspektive.
Aber was die Maschinen nicht können, erledigen Menschen. Von Spamern verwendete Skripte übermitteln die Formulareingaben erst, nach dem ein Mensch sie erkannt und eingegeben hat, um damit Zugang zu einer der vielen kostenlosen Prono-Sites zu bekommen ("Geben Sie den Code ein, um das neue Haris Pilton-Video runterzuladen!").
Geniale Idee, zugegeben. Zwar ist die Ausbeute nicht 100% (ein paar werden immer den falschen Code eingeben und das muss die Maschine, mangels eigener Kontrollmöglichkeiten, dann annehmen), aber für Spammer zählt eben die Quantität.
Was uns wieder zum Hauptproblem führt, den auch Jon Udell in seinem Artikel erwähnt: Die Knackmöglichkeiten sind heute schon da und wenn eine kritische Masse überschritten wird, werden sie auch eingesetzt. Je verbreiteter ein Schutz, desto eher wird er geknackt. Ob wir jetzt alle grafische Captchas drauf machen, oder die barrierefreie Variante ... bald können wir uns wieder etwas Neues überlegen.
frontflash.de: Captchas
Jetzt sind Captchas auch nicht mehr sicher. Captchas m� ihr hier eingeben beim registrieren und beim Kommentieren. Was mu�man noch alles machen? Kommentare ausschalten? Kann doch nicht der Sinn eines Blogs sein. Lest bei Alp Uckan weiter
C-blog - Bock auf Blog » CAPTCHAs nicht mehr sicher: [...] ag, 14. Dezember 2004 CAPTCHAs nicht mehr sicher Bloggen Alp hat im Web einen Artikel darber gefunden, dass Spammer bereits soweit sind [...]
Der Schockwellenreiter: Captcha! 2.0
Alp U �kan: Wie man einen CAPTCHA-Schutz knackt. [PlasticThinking: Moe's Blog.]
Wolfgang Sommergut: Wie man Captchas knackt, darüber zerbrechen sich nicht nur die Spammer den Kopf, sondern auch AI-Forscher:
"Greg Mori and Jitendra Malik of the University of California at Berkeley have written a program that can solve ez-gimpy with accuracy 83% (see Breaking a Visual CAPTCHA for details). Thayananthan, Stenger, Torr, and Cipolla of the Cambridge vision group have written a program that can achieve 93% correct recognition rate against ez-gimpy, and Malik and Mori have matched their accuracy. Their programs represent siginifcant advancements to the field of computer vision.
Gabriel Moy, Nathan Jones, Curt Harkless, and Randy Potter of Areté Associates have written a program that can achieve 78% accuracy against gimpy-r. We therefore consider the gimpy-r challenge to be broken."
Matthias Webblogg: Sicherheit ist nur eine Frage der Zeit
Alp Uckan beschreibt in seinem Blog wie er versucht mit Spam fertig zu werden. Einen guten Monat Später sehen wir es wieder, es ist alles nur eine Frage der Zeit.
Die Spammer fangen an sich wieder einzuschießen, gegen jedes Mittel gibt es eben e...
frontflash.de: Captchas Nachtrag
Die Macher von EE sind schwer am berlegen wie sie das Problem fixen kܶnnen. Die berlegungen gehen in Richung komplettem Satz mit einem fehlenden Wort.
lemming: Naja, lieber nur 40 Kommentare pro Minute und nur zu geregelten Arbeitszeiten des Spammers, als rund um die Uhr 40.000 pro Minute per Script.
Captchas sind bis jetzt die beste Alternative um Mensch von Maschine zu trennen.
Nev: Hi @ll
durch eine Diskussion zum selben Thema, kamm mir folgender Link unter:
http://www.cs.berkeley.edu/~sjb/shape/
Resultate sieht man zb hier:
http://www.cs.berkeley.edu/~mori/gimpy/ez/
wenn man dem ganzen glauben soll, dann werden diese Fake-Seiten bald der Vergangenheit angehören.
mal sehen wie sich das ganze entwickelt
alp: Wow, danke für die Links, Nev.
3D Captchas, und warum sie auch nichts bringen :: DenkZEIT: [...] ssen darauf hin, dass auch solche Captchas geknackt werden k�nen, wie das bei Alp bereits beschrieben wurde: Setze einem Pornoabh�gigen das Captcha, das du automatisier [...]