Captcha-Abfragen noch immer leicht zu umgehen

Die überwiegende Mehrheit der textbasierten Anti-Spam-Tests sind leicht zu umgehen, fanden Sicherheits-Forscher der Stanford University heraus. Sie knackten die so genannten Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart) von bekannten Webseiten.

Solche Sicherheitsabfragen werden seit einigen Jahren verwendet, um zwischen Mensch und Bot zu unterscheiden. Neben Textbasierten Techniken gibt es noch einige andere Ansätze wie Katzenbilder, Audio-Clips oder Rechenpuzzles, die von Spam-Bots automatisierte Anmeldungen auf Webseiten verhindern und so vor Missbrauch schützen sollen.

Das Stanford-Team untersuchte in seiner Forschungsarbeit "Text-based CAPTCHA Strengths and Weaknesses", ob das Knacken der Captcha-Abfragen vollständig automatisierbar ist. Mit dem selbstentwickelten Tool "Decaptcha" tricksten sie 13 von 15 bekannten Captcha-Webseiten aus. Getestet haben sie unter anderem die Abfragen von Google, eBay und Wikipedia. Lediglich Googles Captcha und Recaptcha konnten den Angriffsversuchen standhalten.

Eine höhere Erkennungsrate erzielten die Forscher, indem sie gezielt eingebrachte Bild-Hintergrundstörungen entfernten und Zeichenfolgen in einzelne Zeichen trennten. So erreichten sie eine Erkennungsrate von 66 Prozent bei Visas Authorize.net. eBays Captcha konnte in 43 Prozent der Fälle umgangen werden. Weniger erfolgreiche, aber noch brauchbare Ergebnisse erzielten sie bei Wikipedia, Digg und CNN.

Die Forscher machen auch Vorschläge zur besseren Erzeugung von Captchas. Demnach sollte die Länge der Texte variabel sein und die Schriftart und Größe zufällig. Zusätzlich erwähnen die Forscher die Verfahren, welche nur dem Nutzer das Erkennen der Zeichen erschweren, aber keine Hürde für automatisierte Attacken darstellen. Gegenüber heise Security verglichen die Forscher die Captchas mit Kryptographie: Seien sie einmal gebrochen, müssen sie durch ein neues ersetzt werden. (dta)