Captcha Cracking / Decoding und OCR Sicherheit

#0
21.01.2006, 18:52
Member
Avatar Laserpointa

Beiträge: 2160
#1 Hi,

kurz zur Einleitung:

Zitat

ein Captcha ist ein Akronym für Completely Automated Public Turing-Test to Tell Computers and Humans Apart - wörtlich 'Vollautomatischer öffentlicher Turing-Test, um Computer und Menschen zu unterscheiden'. Captchas werden verwendet, um zu entscheiden, ob das Gegenüber ein Mensch oder eine Maschine ist.
viele Websites binden heute in Zusammenhang mit Formularen Captchas ein um eben zu verhindern das automatische Scripte diese ausfüllen und absenden.



Nun zu dem Problem, ich stosse immer mehr auf ausgeklügelte OCR (Texterkennungs)-Tools (sogar die Webssprache PHP hat eine solche OCR Funktion), die die Grafik lesen können.

Beispiel: ihr kennt alle den Download Service Rapidshare? - unter http://www.dimonius.ru gibt es ein Tool mit welchem man dort herunterladen kann und wo der Captcha automatisch eingegeben wird.

ihr kennt die Captchas bei eBay / beim registrieren?
http://www.puremango.co.uk/cm_breaking_captcha_115.php
eBay vergisst immer fleissig die Sessions nach der Eingabe zu löschen ;)

(...mehr Links siehe weiter unten!)

und zu guter letzt die Eingabe ist für Leute mit Sehbehinderung einfach nur daneben!

also schöne neue Captcha Welt, ich freue mich wenn ihr Ideen für "sichere bedienungsfreundliche Captchas" habt! - leider sind die meisten in aktuellen Webanwendungen sehr unsicher.

Greetz Lp

.. ein interessantes Thema dazu: http://board.protecus.de/t20874.htm (Alternativer Bild Captcha)
.. eine interessante Site dazu: http://www.captcha.net/ sowie http://www.w3.org/TR/turingtest/
.. Captcha Breaking/Hacking http://www.cs.sfu.ca/~mori/research/gimpy/ <- Yahoo Beispiel!
.. und natürlich AICaptcha Comment Spam: http://www.mperfect.net/aiCaptcha/
.. ASCII Art als Captcha http://lemming.name/000425.html
.. Captcha Sicherheit testen h**p://www.pwntcha.net/test.html (leider down)
.. Übersicht über mit pwntcha bereits decodierte Captcha Systeme - http://sam.zoy.org/pwntcha/
.. beim PHPBB ist der Captcha besonders schlecht gesichert: PHPBB Captcha Bug ;)
.. ebenfalls Captcha Cracking: http://www.brains-n-brawn.com/default.aspx?vDir=aicaptcha

Anhang: captcha.gif
Dieser Beitrag wurde am 23.01.2006 um 13:02 Uhr von Laserpointa editiert.
Seitenanfang Seitenende
23.01.2006, 09:03
Member

Beiträge: 3306
#2 Wie diese Dinger überhaupt irgendeine "Sicherheit" bringen sollen hab ich noch nie verstanden. Unzählige Firmen beschäftigen sich mit nichts anderem als OCR und gerade damit Dinge zu lesen die normal nur von einem Menschen erfasst werden können. Es ist kein Problem herauszufinden welche der 5 Buchstaben in einem Captcha die dickere Strichstärke haben oder in einem Bild die Verzerrungen, Rauschen, etc. herauszufiltern. Deswegen sind viele Bilder inzwischen schon so aufgebaut das ich sie selbst kaum noch lesen kann und Menschen mit Sehschwächen erst recht nicht. Alternativen fallen mir allerdings auch keine großartigen ein, aber man könnte auf optische Täuschungen gehen die nur das menschliche Auge/Gehirn interpretieren kann. Beispiele:
http://muendelein.freepage.de/optik/images/sons2.gif

Wieviel schwarze Punkte sind zu sehen ;)
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Dieser Beitrag wurde am 23.01.2006 um 09:08 Uhr von asdrubael editiert.
Seitenanfang Seitenende
25.01.2006, 00:23
Member

Beiträge: 11
#3 Der Sinn der Captcha wird denke ich falsch verstanden,
es geht darum der Automatisierung durch Bots entgegenzuwirken,
und damit den E-Müll einzudämmen.
Das man die Lesehürde nicht zu hoch stellen sollte is klar,
wenn ich als "alter Hausgeist" das nichmehr peile , verzichte ich lieber auf nen Eintrag.
Seitenanfang Seitenende
25.01.2006, 13:47
Administrator
Avatar Lukas

Beiträge: 1734
#4 wo ich gerade mal wieder auf Sitepoint stöber:

hier ein Negativ-Beispiel wie schwierig es ist gute Captchas zu basteln:
http://www.sitepoint.com/article/toughen-forms-security-image
^^ folgendes Beispiel ist ein schlechter unsicherer Captcha!

ich freue mich wenn jemand gute anspruchsvolle Captcha Scripte kennt und postet!
den von Google finde ich z.B. gut, da die Buchstaben lesbar aber gut verzerrt sind und natürlich Schriftarten und Farben gewechselt werden!


Quelle: http://www.google.com/addurl/?continue=/addurl

im Augenblick ist leider der Kampf OCR gegen Mensch entfacht worden ;)
__________
Gruß Lukas :yo
Seitenanfang Seitenende
26.11.2007, 12:02
Member

Beiträge: 3306
#5 Es gibt inzwischen Unternehmen die anbieten Captchas maschinell zu dekodieren:
http://www.lafdc.com/captcha/

Dort kann man gut nachlesen was ein gutes (im Sinne von schwer knackbar) und ein schlechtes Captcha ist. Die vorbildlichen Google Captchas sind dank ihren ungleichmäßigen Verzerrungen weiterhin nicht geknackt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
28.12.2007, 12:06
...neu hier

Beiträge: 1
#6 hi Leute!

Ich hab hier mal ein Captcha was glaube ich net schlecht ist oder? Weiss jeman ein tool womit man die Eingabe eines solchen Captchas automatisieren kann?

Anhang: 00.JPG
Seitenanfang Seitenende
28.12.2007, 13:05
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2160
#7 Sorry, Tools dafür werden hier für neue Besucher nicht erwähnt.
Tipp ggf. Boardsuche...

allerdings ist der von Dir gezeigte Captcha ziemlich schwer.
Spammer gehen inzwischen soweit das sie unknackbare Captchas über Social Engineering knacken; siehe: http://board.protecus.de/t31552.htm

Greetz Lp
Seitenanfang Seitenende
02.06.2008, 20:08
Administrator
Avatar Lukas

Beiträge: 1734
#8 noch ein interessanter Link mit vielen weiteren Verweisen:

http://www.blackhat-seo.com/2008/how-to-break-captchas/
__________
Gruß Lukas :yo
Seitenanfang Seitenende
23.07.2008, 18:54
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2160
#9 oder die einfache Methode:
http://www.heise.de/newsticker/Porno-gegen-Captchas--/meldung/113239

die menschliche... - womit es vermutlich auch keine Lösung mehr gibt!?

Greetz Lp
Seitenanfang Seitenende
18.12.2009, 13:48
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2160
#10 kleine News:
der von Google gekaufte Dienst RECaptcha ist in Teilen geknackt (gewesen?)
http://www.heise.de/security/meldung/Googles-reCAPTCHA-angeknackst-888532.html

..

Update und inzwischen geknackt:
http://board.protecus.de/t38597.htm
Dieser Beitrag wurde am 13.01.2010 um 11:40 Uhr von Laserpointa editiert.
Seitenanfang Seitenende
02.02.2010, 11:42
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2160
#11 nett, 4 dimensionale Captchas animiert mit PHP:
http://habrahabr.ru/blogs/crazydev/82771/
Seitenanfang Seitenende
02.02.2010, 12:12
Member

Beiträge: 110
#12 Ist in Wartungsarbeiten oder muss das so sein? (Text auf Russisch)
Seitenanfang Seitenende
02.02.2010, 14:01
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2160
#13

Zitat

SolS postete
Ist in Wartungsarbeiten oder muss das so sein? (Text auf Russisch)
Ja der Blog ist russisch! ;)
Seitenanfang Seitenende
04.03.2011, 15:19
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2160
#14 kreative Captcha Version mit jQuery: http://www.myjqueryplugins.com/QapTcha/demo
Seitenanfang Seitenende