Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 87 reacties
Bron: Chicago Tribune

Wetenschappers stellen net dat de captcha's in hun huidige vorm niet meer voldoende veilig zijn omdat computeralgoritmes steeds beter in staat zijn die te ontcijferen. Captcha's zijn tests waarbij een websitebezoeker moet verifiëren menselijk te zijn door golvende letters die in kleurrijke plaatjes staan weergegeven, in een tekstveldje over te typen voordat bepaalde handelingen kunnen worden verricht zoals het sturen van mail of het reageren op een weblog. Volgens onderzoekers van Carnegie Mellon University tonen recente tests aan dat het vermoedelijk niet lang meer zal duren voordat computerprogramma's de vervormde karakters zo goed kunnen herkennen dat dit type captcha-test niet langer voldoet. Tekenreeksen waar de computer nog moeite mee heeft zijn ook voor mensen lastig te lezen, maar zelfs die zouden binnen afzienbare tijd door de programmatuur 'gekraakt' worden, zo verwacht onderzoeker Luis von Ahn. De huidige captcha's zijn al sinds 1997 in gebruik, toen AltaVista een van de eerste golvende karakterplaatjes gebruikte om het automatisch toevoegen van url's aan zijn zoekmachine een halt toe te roepen. 'Een kind van drie kan een man van een vrouw onderscheiden; computers kunnen dat niet', zo stelde Alta Vista's Anrei Broder destijds, om aan te geven dat goed zijn in patroonherkenning de mens van de computer onderscheidt.

captcha Het gaat de Carnegie Mellon-wetenschappers er bij hun onderzoek uiteraard niet om om websites tot een makkelijke prooi voor bots te laten worden, maar om computers beter (geschreven) tekst te kunnen laten lezen. Ondertussen zijn ze wel zo vriendelijk om voorstellen te doen voor andersoortige captcha's. Zo zijn er captcha's waarbij een plaatje gekozen moet worden waarop iets staat afgebeeld dat geen onderdeel van een verzameling is, bijvoorbeeld een plaatje van een koe tussen een reeks plaatjes van insecten. Andere voorstellen behelzen het tellen van het aantal auto's in een afbeelding, of het kiezen op welke foto's dezelfde persoon voorkomt. In het algemeen borduurt het onderzoek naar bruikbare captcha's voort op het gegeven dat mensen doorgaans computers verslaan op het gebied van patroonherkenning, al wordt het verschil gestaag minder. Een man van een vrouw onderscheiden lukt beeldverwerkingsprogrammatuur bijvoorbeeld al aanzienlijk beter dan negen jaar geleden.

Moderatie-faq Wijzig weergave

Reacties (87)

Waarom maakt er niemand captcha's in de vorm van een animatie of filmpje. Daar zal een bot zeer zeker moeite mee hebben, zeker als men de animatie automatiseerd waardoor deze zichzelf uniek maakt bij ieder gebruik...
Bandbreedte? Compatibiliteit? Met plaatjes werken lijkt me altijd de voorkeur hebben. Bovendien: een filmpje blijft een reeks plaatjes.

Hetzelfde principe, maar dan simpeler: meerdere captcha's tegelijk te gebruiken, van verschillende algoritmes. Met 4 identieke captcha's en een oplossingsvermogen van 80% kom je al op 41% succes; dat wordt al veel beter als je vier verschillende algoritmes gebruikt. Kans op goede oplossing is dan iets van (80%x25%)^4 ~ 0.2% of zo (correct me if I'm wrong).
ik kan je zeggen dat mensen die kleurenblind zijn verrekte last hebben van die stomme plaatjes. Soms moet ik wel 2-3 keer proberen voordat ik hem goed heb.
Dus je bent een bot! :+
Nee, hij vangt eerst een paar keer bot voor hij beet heeft.
Door mijn hobby in Artificial Intelligence heb ik voor een text based online mmporpg ook een captcha's decoder gemaakt die random 3D captcha's ontcijfert. Een database aanmaken van mogelijke combinaties was niet te doen aangezien ik na 20000 hits geen een keer een zelfde soort plaatje kreeg...

voor het aanmaken van een Artificial Neural Network heb ik gebruik gemaakt van FANN (http://leenissen.dk/fann/'

Na m´n ocr genoeg geleerd te hebben kon ik 80% zeker herkennen....

het was een pittige klus, maar ja het blijft hobby :D
Welke on line mmporg ?
Eerst laten registreren en dan een confirmation-mailtje beantwoorden werkt dan beter lijkt me. Captcha zorgt altijd voor toegankelijkheidsproblemen.

aap noot mies kip badwater. Dat hoeft natuurlijk niet in een plaatje te staan om te werken, maar of ik daar nu zo blij mee wordt. Dan lijkt me een betere oplossing een soort van centrale encryptiesysteem voor websites met p2p database netwerk zodat nooit iemand alle data kan hebben. *droomt lekker verder*
Eerst laten registreren en dan een confirmation-mailtje beantwoorden werkt dan beter lijkt me. Captcha zorgt altijd voor toegankelijkheidsproblemen.

Laten registreren leidt vermoedelijk nog tot grotere toegankelijkheidsproblemen. Mensen vinden het niet leuk om cryptische karakterreeksen te ontcijferen, maar nog minder leuk om - nadat ze net die ene spitsvondige reactie hebben verzonnen op één of ander weblogbericht - 1: te registreren, 2: te wachten tot hun bevestigingse-mail binnenkomt, 3: hun account te activeren via die e-mail en 4: weer terug te gaan naar de site in kwestie om dan pas die reactie te plaatsen.

Natuurlijk werken registraties beter voor websites waarbij mensen graag en vaak terugkomen, maar Captcha-beveiliging is vooral nuttig op plaatsen waar snelle en eenmalige reacties gewenst zijn, zoals in de reactiepanelen van weblogs. Pas vanaf een bepaalde grootte en eigen community wordt het handiger om met registraties te werken; tot die tijd weerhoudt je met verplichte registraties de spaarzame bezoeker er vooral van om iets van zich te laten horen.

Op mijn eigen weblog (die in de categorie klein/kleiner/kleinst valt wat betreft bezoekersaantallen) had ik ook maandenlang last van tientallen spambots die vrolijk elke dag langskwamen. Ik gebruik nu een captcha-plugin die gebruikers alleen maar verplicht om na reactie gegeven te hebben nogmaals te klikken. Dat is natuurlijk binnen één seconde te kraken, maar omdat het om een relatief kleine cms gaat en omdat het optionele captcha-plugin is, zijn spambots er (nog) niet bekend mee. De last voor bezoekers is minimaal, terwijl het effect tegen spambots maximaal is. Nu maar hopen dat dit cms en deze plugin niet al te populair worden :)
Eerst laten registreren en dan een confirmation-mailtje beantwoorden werkt dan beter lijkt me. Captcha zorgt altijd voor toegankelijkheidsproblemen.

Zoals iemand anders al noemt, is dat voor relatief kleine blogs/sites niet echt een optie. Ik vind het zelf eigenlijk diep triest dat het tegenwoordig al nodig is om iets als captcha (ik gebruik het ook) te installeren om rotzooi op je blogje te voorkomen.
Ik kan je aanraden om Askimet te installeren. Deze stuurt alle comments eerst door een spamfilter. Dat werkt zeer goed. Het is voor Wordpress ontwikkeld maar er zijn intussen voor diverse andere talen en logapplicatese interfaces gemaakt.

Een weblog waar ik dit op heb gezet is van vele tientallen spam berichten per week naar bijna 0 gegaan.
Elke comment spam rapporteren, dan stopt het snel genoeg. Ik heb al diverse sites down laten gaan.

Probleem is dat bakken met mensen comments niet modereren, en bijna het volledige andere deel filtert het er uit zonder het te melden. Gevolg: probleem blijft en groeit.
Emails ontvangen en automatisch de 'bevestig link' laten volgen is vrij eenvoudig te scripten.
Hiermee los je het probleem dat captcha probeert op te lossen dus niet op.
En als de 'bevestig' link nou niet de enige link in het mailtje is, maar bijvoorbeeld bovenaan een verborgen link staat (niet te zien door gebruiker ivm kleur) die als annulering werkt?
Mails zijn platte tekst, daarin kun je geen links verbergen.

Ja, in HTML, maar dat heeft niets te zoeken in een e-mail.
Kleur? Verborgen Link? in e-mail? Nee dat kan niet.
Zover ik weet staat in thunderbird standaard de HTML ondersteuning uit... En kom nu niet aanzetten dat niemand dat gebruikt ;)

-R-
Alle mail clients daar gelaten. Links in mail = html. Een computer kan html code lezen dus hoe wou je daar een link in gaan verstoppen? Als je die link al weet te verstoppen in de html code hoe moet jouw email client dan weten dat jij op een verborgen link klikt aangezien die zo verstopt zit dat een computer hem zelfs niet uit de code kan halen? En meerdere links in het mailtje? Ja die ziet de computer ook maar hoe moet het voor de gebruiker duidelijk worden welke link er geklikt moet worden zonder dat dit voor de computer ook niet meteen duidelijk is?
Al jarenlang ondersteunt iedere serieuze e-mail client HTML. En kom nou niet aan met een of andere linux-client oid die het niet ondersteunt; 99,99% van de e-mail gebruikers kunnen de HTML mailtjes zonder problemen lezen, op enkele eigenwijzen na.
Ik stel voor, maak een rebus ..laat dat een script maar eens oplossen :)
Het idee is leuk, maar rebussen zijn heel erg taalafhankelijk. Het geeft dus een beetje het resultaat waar ook Titusvh op wijst: Niet alleen geen bots meer, maar ook mensen die door anderen wellicht voor dom worden versleten.

Persoonlijk vraag ik me trouwens af wie wij zijn om mensen dom te noemen. Mensen die wij dom noemen hebben vaak andere vaardigheden die wij niet hebben en waar wij net zo goed behoefte aan hebben. (bouwvakkers bijvoorbeeld.)
Zo'n rebus hoeft toch helemaal niet moelijk te zijn? Desnoods zonder afbeeldingen. :D

tweaker; e = i; a = e. :z
Goede reactie tot je onnodige voorbeeld van domme mensen
bouwvakkers bijvoorbeeld
Alsof mensen met dit soort vooroordelen slim zijn...
Werkt die demo eigenlijk wel??
De plaatjes die ik bij 'de laatste 5' zie, komen geen van alle overeen met de voorbeeld rapidshare captcha's. Logisch dat ze dan niet vertaald worden.
Ik heb er een paar gemaakt die er wel mee overeenkomen, maar die werken ook niet.
Met die reeksen zou het een soort IQ test worden.
Da's wel handig. Dan hou je niet alleen bots weg maar ook domme mensen.

403: Access denied: you are too stupid to use this website
Error 42: Darwin failure?
Als ze strak zo goed Captcha's kunnen kraken dan mogen ze ook wel eens ECHT goede OCR software gaan ontwikkelen want dat is tegenwoordig nog steeds vrij bagger...
De CAPTCHA-kraakcodes die ik tot nu toe heb gezien, zijn allemaal gebaseerd op één bepaalde CAPTCHA. OCR is veel lastiger omdat het allerlei soorten teksten met verschillende lettertypes moet kunnen ontcijferen. Dat is dezelfde reden waarom spraakcomputers hier en daar vrij goed werken, terwijl speech2text op een computer nog veel fouten maakt.
Misschien is het een oplossing om de letters die moeten worden overgenomen aan te wijzen met een pijl. Op die manier geef je meer letters weer dan wat het systeem nodig heeft en zal een mogelijke bot zich vergissen.
Stop de uitleg voor het systeem in hetzelfde plaatje en je krijgt nog meer verwarrende tekst.

Zoals in dit voorbeeld.
lol dan maak ik in m'n captcha decoder de intelligentie om die pijl te volgen \o/
Wat dacht je bijvoorbeeld van dit systeem?
Is dat nog steeds eenvoudig te herkennen?
ziet er goed uit, maar misschien voor sommigen iets te hoog gegrepen...?
Als de vragen steeds hetzelfde zijn zoals hier:

"Voer de letters in onder de cijfers"
of
"Voer de cijfers in onder de letters"

dan is de opdracht voor de machine duidelijk en is dit simpel te scripten.

je hoeft hiervoor haast geen eigen OCR te maken :)
Dit kun je natuurlijk afwisselen door de ene keer 3 cijfers en de andere keer 5 cijfers op te geven.

En natuurlijk is het te kraken, maar ik denk dat alle huidige systemen dit niet kunnen breken.
Lijkt me ook niet echt een probleem. De verschillende methodes (pijl/nummers) moeten allemaal met de hand worden bedacht. Als je de text al eenmaal kan herkennen, kan je ook makkelijk een klein scriptje maken dat een van de voorgeprogrammeerde methodes herkend, en je puzzel zo oplost.
Als dat standaard in die vorm gebruikt wordt, ja.
Simpele OCR en je programma de logica geven om het te interpreteren.

Een combinatie van alle gegeven mogelijke opties in deze thread zou nog het beste werken... maar ook dat is uiteindelijk te 'kraken'.

Zolang het door mensen oncijfert moet worden, kan een computer dat ook. Alleen is de ene optie wat moeilijker dan de ander.

-R-
als je de decoder schrijft kan je daar weer rekening mee houden.... je moet er specifieke decoder software voor maken dat kost wel een weekje om te maken, het is net hoe graag iemand zoiets wil uitlezen. maar deze methode is simpeler te kraken dan schuine letters ;)


als de methode van captcha vast staat, dan is altijd te maken! dan maak je eerst een herkenning van de methode als de methode herkend is laat je je NN los op deze methodiek
Dan gebruik je iets anders dan pijlen. Het idee is dat er een menselijk herkenning bij komt kijken om de bovenstaande boodschap te begrijpen zodat de onderste boodschap kan worden uitgelezen.
Desnoods zet je er cijfers boven die vervolgens ook weer in de juiste volgorde gezet moeten worden. Ik denk dat je decoder dan stevig moet gaan nadenken.
Het blijft een kat en muis spel tussen de captcha ontwerper en degene die er iets voor schrijft...

als de captcha ontwerper geen nieuwe dingen meer inbrengt zal er zeker een mogelijkheid zijn om het weer te kraken...

maar diverse achtergronden, kleuren, skews (De LASTIGSTE) om een paar letters 2d of 3d te "verbergen" is niet de oplossing om scripting tegen te gaan.
Als je met kunstmatige intelligentie om kan gaan is dit allemaal op te lossen en te herkennen op den duur.
Mocht de methode aangepast worden valt dit altijd weer aan te leren aan het neurale netwerk.
computers bestaan nog geen 100 jaar mensen daarintegen al stuk langer. AI zal steeds meer doorontwikkeld worden, we zijn nog maar bij het begin....
Het blijft een kat en muis spel tussen de captcha ontwerper en degene die er iets voor schrijft...
Precies! Laat die valsspelers maar allerlei nuttige intelligente patroonherkennings-algoritmes ontwikkelen, dan leveren wij de captcha's wel. Hmmm, maar dan nog een methode bedenken om die algoritmes openbaar te krijgen.

Het heeft trouwens wel veel weg van een Turing-test.
Geslaagde Turing-test: computerprogramma slaagt er geheel in om zich als een mens voor te doen, bij een menselijke tester.

Geslaagde Captcha-test: computerprogramma slaagt er geheel in om zich als een mens voor te doen, bij een een ander computerprogramma.
@allarddijk

Das niet eens zo heel moeilijk om te doen..
Gewoon een functie maken die die pijl tekend in de img, die functie aanroepen als het caracter voorbij komt dat overgenomen moet worden. Het enigste wat je de functie mee hoeft te geven bij het aanroepen is de x pos waar de pijl moet komen te staan. Paar extra lijntjes code en je hebt je pijltjes.
bij het klikken op de back toest krijg je wel weer hetzelfde. Na enkele keren proberen zou de pc het dus kunnen kraken :-)
Als een computer vervormde letters kan herkennen, lijkt het me ook niet zo moeilijk om de plaats van zo'n pijl te herkennen, en de letter er onder te achterhalen...
Zo zijn er captcha's waarbij een plaatje gekozen moet worden waarop iets staat afgebeeld dat geen onderdeel van een verzameling is, bijvoorbeeld een plaatje van een koe tussen een reeks plaatjes van insecten. Andere voorstellen behelzen het tellen van het aantal auto's in een afbeelding, of het kiezen op welke foto's dezelfde persoon voorkomt.
Dat lijkt me gedoemd te mislukken. De kracht van de huidige captcha's is juist dat ze random gegenereerd kunnen worden. Bij dit soort nieuwe voorstellen is het niet zo moeilijk voor kwaadwillenden om een database met bekende plaatjes & antwoorden aan te leggen.
Confirmmailtjes zijn ook allang gekraakt.. 9 van de 10 keer kan je dat ook simpel door een programma doen..
Kortom, we gaan terug naar de tijd dat je een mailtje moest sturen naar de administrator van een website, voordat je een account ergens aan kan maken.

Alles is te kraken, maar er zijn natuurlijk wel mogelijkheden te bedenken.
Het aanleggen van een database kan trouwens nog knap lastig worden als je willekeurig plaatjes van het net gaat gebruiken. De plaatjes geef je natuurlijk random namen mee en wellicht dat je iets van distortion wilt toepassen, zodat het plaatje minder makkelijk te interpreteren is voor een bot.
Even een snel ideetje:
Zoek een lijst op met tegengestelde woorden.
Google images zoek je dan (geautomatiseerd) drie plaatjes van eerste woord, en eentje van tegengestelde woord.
Ik denk dat je in dat geval toch al snel een grote database aan kan leggen :)
Natuurlijk zullen er af en toe twijfelgevallen in kunnen zitten, maar je kan mensen natuurlijk ook een knop aanbieden met "Andere opgave" (wel met AJAX refreshen he :P)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True