zurück zum Artikel

Captcha-Abfragen noch immer leicht zu umgehen

Damon Tajeddini

Forscher haben die Sicherheitsabfragen von bekannten Webseiten wie eBay, Wikipedia und Google getestet. Die meisten Captchas konnten sie austricksen, nur zwei von 15 konnten den Angriffen standhalten.

Die ĂŒberwiegende Mehrheit der textbasierten Anti-Spam-Tests sind leicht zu umgehen, fanden Sicherheits-Forscher der Stanford University heraus. Sie knackten die so genannten Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart) von bekannten Webseiten.

Solche Sicherheitsabfragen werden seit einigen Jahren verwendet, um zwischen Mensch und Bot zu unterscheiden. Neben Textbasierten Techniken gibt es noch einige andere AnsĂ€tze wie Katzenbilder, Audio-Clips oder Rechenpuzzles, die von Spam-Bots automatisierte Anmeldungen auf Webseiten verhindern und so vor Missbrauch schĂŒtzen sollen.

Googles CAPTCHA-Sicherheitsabfrage konnten die Forscher nicht knacken

Das Stanford-Team untersuchte in seiner Forschungsarbeit "Text-based CAPTCHA Strengths and Weaknesses [1]", ob das Knacken der Captcha-Abfragen vollstÀndig automatisierbar ist. Mit dem selbstentwickelten Tool "Decaptcha" tricksten sie 13 von 15 bekannten Captcha-Webseiten aus. Getestet haben sie unter anderem die Abfragen von Google, eBay und Wikipedia. Lediglich Googles Captcha und Recaptcha konnten den Angriffsversuchen standhalten.

Eine höhere Erkennungsrate erzielten die Forscher, indem sie gezielt eingebrachte Bild-Hintergrundstörungen entfernten und Zeichenfolgen in einzelne Zeichen trennten. So erreichten sie eine Erkennungsrate von 66 Prozent bei Visas Authorize.net. eBays Captcha konnte in 43 Prozent der FÀlle umgangen werden. Weniger erfolgreiche, aber noch brauchbare Ergebnisse erzielten sie bei Wikipedia, Digg und CNN.

Die Forscher machen auch VorschlĂ€ge zur besseren Erzeugung von Captchas. Demnach sollte die LĂ€nge der Texte variabel sein und die Schriftart und GrĂ¶ĂŸe zufĂ€llig. ZusĂ€tzlich erwĂ€hnen die Forscher die Verfahren, welche nur dem Nutzer das Erkennen der Zeichen erschweren, aber keine HĂŒrde fĂŒr automatisierte Attacken darstellen. GegenĂŒber heise Security verglichen die Forscher die Captchas mit Kryptographie: Seien sie einmal gebrochen, mĂŒssen sie durch ein neues ersetzt werden. (dta [2])

URL dieses Artikels:
https://www.heise.de/-1371074

Links in diesem Artikel:
[1] http://cdn.ly.tl/publications/text-based-captcha-strengths-and-weaknesses.pdf
[2] mailto:dta@heise.de

Copyright © 2011 Heise Medien