Captcha Cracking / Decoding und OCR Sicherheit

#1 Hi,

kurz zur Einleitung:

Zitat

ein Captcha ist ein Akronym für Completely Automated Public Turing-Test to Tell Computers and Humans Apart - wörtlich 'Vollautomatischer öffentlicher Turing-Test, um Computer und Menschen zu unterscheiden'. Captchas werden verwendet, um zu entscheiden, ob das Gegenüber ein Mensch oder eine Maschine ist.

viele Websites binden heute in Zusammenhang mit Formularen Captchas ein um eben zu verhindern das automatische Scripte diese ausfüllen und absenden.



Nun zu dem Problem, ich stosse immer mehr auf ausgeklügelte OCR (Texterkennungs)-Tools (sogar die Webssprache PHP hat eine solche OCR Funktion), die die Grafik lesen können.

Beispiel: ihr kennt alle den Download Service Rapidshare? - unter http://www.dimonius.ru gibt es ein Tool mit welchem man dort herunterladen kann und wo der Captcha automatisch eingegeben wird.

ihr kennt die Captchas bei eBay / beim registrieren?
http://www.puremango.co.uk/cm_breaking_captcha_115.php
eBay vergisst immer fleissig die Sessions nach der Eingabe zu löschen

(...mehr Links siehe weiter unten!)

und zu guter letzt die Eingabe ist für Leute mit Sehbehinderung einfach nur daneben!

also schöne neue Captcha Welt, ich freue mich wenn ihr Ideen für "sichere bedienungsfreundliche Captchas" habt! - leider sind die meisten in aktuellen Webanwendungen sehr unsicher.

Greetz Lp

.. ein interessantes Thema dazu: http://board.protecus.de/t20874.htm (Alternativer Bild Captcha)
.. eine interessante Site dazu: http://www.captcha.net/ sowie http://www.w3.org/TR/turingtest/
.. Captcha Breaking/Hacking http://www.cs.sfu.ca/~mori/research/gimpy/ <- Yahoo Beispiel!
.. und natürlich AICaptcha Comment Spam: http://www.mperfect.net/aiCaptcha/
.. ASCII Art als Captcha http://lemming.name/000425.html
.. Captcha Sicherheit testen h**p://www.pwntcha.net/test.html (leider down)
.. Übersicht über mit pwntcha bereits decodierte Captcha Systeme - http://sam.zoy.org/pwntcha/
.. beim PHPBB ist der Captcha besonders schlecht gesichert: PHPBB Captcha Bug
.. ebenfalls Captcha Cracking: http://www.brains-n-brawn.com/default.aspx?vDir=aicaptcha

#2 Wie diese Dinger überhaupt irgendeine "Sicherheit" bringen sollen hab ich noch nie verstanden. Unzählige Firmen beschäftigen sich mit nichts anderem als OCR und gerade damit Dinge zu lesen die normal nur von einem Menschen erfasst werden können. Es ist kein Problem herauszufinden welche der 5 Buchstaben in einem Captcha die dickere Strichstärke haben oder in einem Bild die Verzerrungen, Rauschen, etc. herauszufiltern. Deswegen sind viele Bilder inzwischen schon so aufgebaut das ich sie selbst kaum noch lesen kann und Menschen mit Sehschwächen erst recht nicht. Alternativen fallen mir allerdings auch keine großartigen ein, aber man könnte auf optische Täuschungen gehen die nur das menschliche Auge/Gehirn interpretieren kann. Beispiele:
http://muendelein.freepage.de/optik/images/sons2.gif

Wieviel schwarze Punkte sind zu sehen
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 Der Sinn der Captcha wird denke ich falsch verstanden,
es geht darum der Automatisierung durch Bots entgegenzuwirken,
und damit den E-Müll einzudämmen.
Das man die Lesehürde nicht zu hoch stellen sollte is klar,
wenn ich als "alter Hausgeist" das nichmehr peile , verzichte ich lieber auf nen Eintrag.

#4 wo ich gerade mal wieder auf Sitepoint stöber:

hier ein Negativ-Beispiel wie schwierig es ist gute Captchas zu basteln:
http://www.sitepoint.com/article/toughen-forms-security-image
^^ folgendes Beispiel ist ein schlechter unsicherer Captcha!

ich freue mich wenn jemand gute anspruchsvolle Captcha Scripte kennt und postet!
den von Google finde ich z.B. gut, da die Buchstaben lesbar aber gut verzerrt sind und natürlich Schriftarten und Farben gewechselt werden!


Quelle: http://www.google.com/addurl/?continue=/addurl

im Augenblick ist leider der Kampf OCR gegen Mensch entfacht worden
__________
Gruß Lukas

#5 Es gibt inzwischen Unternehmen die anbieten Captchas maschinell zu dekodieren:
http://www.lafdc.com/captcha/

Dort kann man gut nachlesen was ein gutes (im Sinne von schwer knackbar) und ein schlechtes Captcha ist. Die vorbildlichen Google Captchas sind dank ihren ungleichmäßigen Verzerrungen weiterhin nicht geknackt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#6 hi Leute!

Ich hab hier mal ein Captcha was glaube ich net schlecht ist oder? Weiss jeman ein tool womit man die Eingabe eines solchen Captchas automatisieren kann?

#7 Sorry, Tools dafür werden hier für neue Besucher nicht erwähnt.
Tipp ggf. Boardsuche...

allerdings ist der von Dir gezeigte Captcha ziemlich schwer.
Spammer gehen inzwischen soweit das sie unknackbare Captchas über Social Engineering knacken; siehe: http://board.protecus.de/t31552.htm

Greetz Lp

#8 noch ein interessanter Link mit vielen weiteren Verweisen:

http://www.blackhat-seo.com/2008/how-to-break-captchas/
__________
Gruß Lukas

#9 oder die einfache Methode:
http://www.heise.de/newsticker/Porno-gegen-Captchas--/meldung/113239

die menschliche... - womit es vermutlich auch keine Lösung mehr gibt!?

Greetz Lp

#10 kleine News:
der von Google gekaufte Dienst RECaptcha ist in Teilen geknackt (gewesen?)
http://www.heise.de/security/meldung/Googles-reCAPTCHA-angeknackst-888532.html

..

Update und inzwischen geknackt:
http://board.protecus.de/t38597.htm

#11 nett, 4 dimensionale Captchas animiert mit PHP:
http://habrahabr.ru/blogs/crazydev/82771/

#12 Ist in Wartungsarbeiten oder muss das so sein? (Text auf Russisch)

#13

Zitat

SolS postete
Ist in Wartungsarbeiten oder muss das so sein? (Text auf Russisch)

Ja der Blog ist russisch!

#14 kreative Captcha Version mit jQuery: http://www.myjqueryplugins.com/QapTcha/demo