Seite 2: Verzerrten Text entziffern

Inhaltsverzeichnis

Wer verzerrten Text entziffern kann

Als De-facto-Standard hat es sich durchgesetzt, verzerrte, schlecht zu erkennende Texte anzuzeigen und den Benutzer zu fragen, was er lesen kann. Die Bildchen mit wirren Mustern und schlecht erkennbaren Zahlen- und Buchstabenkombinationen erfüllen aber nur die dritte Bedingung. Denn Computer sind heutzutage in der Lage, mit Optical Character Recognition Texte aus einem Bild zu extrahieren. So arbeiten viele Projekte wie PWNtcha, Anti-Gimpy und aiCaptcha bereits erfolgreich an der Erkennung von Bild-Captchas, die unter anderem Yahoo, Microsoft, Paypal und die weit verbreitete Forensoftware phpBB einsetzen. Dass diese Seiten bisher noch nicht in großem Stil Ziel von Angriffen geworden sind, hängt nur damit zusammen, dass die Projekte ihren Code nicht veröffentlichen. Einzig von Anti-Gimpy gibt es eine öffentlich einsehbare Beschreibung des Algorithmus.

Die Zwickmühle bei der Verbesserung der Bild-Captchas ist schnell erklärt: Je aufwendiger es für den Computer ist, die Informationen zu erkennen, desto größer auch die Schwierigkeiten für Menschen. So sind Wörter im Allgemeinen besser zu erkennen als abstrakte Zeichenfolgen; allerdings basiert der Test dann auf einem begrenzten Wortschatz. Damit verletzt er die dritte Bedingung, da sich keine neuen Frage-Antwort-Kombinationen generieren lassen. Verzerrt man die Zeichen immer stärker und überlagert sie mit Störungen, fällt es sogar sehr gut sehenden Menschen schwer, die richtige Zeichenfolge zu erkennen.

Solche Falscherkennungen steigern vor allem die Frustration beim Anwender. Auf einer bekannten deutschen Studentenseite ist für beinahe jede Aktion ein Captcha zu lösen, was die Zeit zur Erledigung des Gewünschten schnell auf ein Vielfaches ansteigen lässt. Ein entnervter Benutzer besucht unter Umständen die Seite nicht mehr, wenn kein Nutzen den erhöhten Aufwand rechtfertigt.

Zudem diskriminiert das Verfahren Menschen mit Sehschwächen, etwa Farbfehlsichtigkeiten, denen es unter Umständen schwerer fällt, den Test zu bestehen, als einem Spam-Bot. Bild-Captchas sind also von Maschinen zu knacken, von Menschen dagegen immer seltener und lassen sich, wenn sie gut sind, nicht schnell lösen. Es gibt allerdings Alternativen.

Neben verzerrten Bildern findet man hin und wieder auch die einfache Aufforderung "Geben Sie folgenden Sicherheitscode ein" und ein Feld namens "Sicherheitscode". Sogar dieser geringe Schutz reicht oft aus. Obwohl ein wenig semantische Analyse für das Knacken erforderlich ist, kann man für jedes Verfahren einen eigenen, einfachen Angriff entwerfen. Damit besteht der einzige Schutz darin, dass nicht viele Seiten es einsetzen und sich der Aufwand für den Angreifer deshalb nicht lohnt.