Onderzoekers kraken captcha's van grote sites

Drie onderzoekers van de Stanford Universiteit hebben manieren gevonden om captcha's, die onder meer spambots moeten tegengaan, te kraken. De beveiliging van grote sites als eBay en Wikipedia blijkt er makkelijk mee te passeren.

Een captcha toont een aantal letters en cijfers die dusdanig zijn verhaspeld dat ze wel door mensen, maar niet door computers kunnen worden gelezen. Dat zou het voor spambots onmogelijk maken om geautomatiseerd accounts te registreren; registratieformuleren op veel websites maken gebruik van captcha's.

Met het Decaptcha-project zijn onderzoekers van de Stanford Universiteit erin geslaagd manieren te ontwikkelen om de automatische websitebeveiliging te kraken. Het programma verwijdert de zichtbare 'ruis' in de afbeeldingen, zet de letters om in platte tekst en maakt de captcha's voor computers leesbaar. Dit gebeurt in een fractie van een seconde, staat in het onderzoek.

De onderzoekers probeerden hun software uit op verschillende grote sites, met diverse soorten captcha's. Grote sites als eBay, Wikipedia, CNN, Baidu, Digg en Visa's Authorize.net bleken te omzeilen. Van de vijftien geteste captcha's bleven alleen die van Google en Recaptcha redelijk buiten de gevarenzone. Hun captcha's konden onder andere minder vaak gekraakt worden omdat de gebruikte methodes het moeilijker maakten het aantal en de gemiddelde grootte van de tekens te bepalen.

Eerder toonden de Stanford-informatici al kwetsbaarheden in audio-captcha's aan. Die lagen aan de manier waarop de software werkt; de cijfers en letters uit de captcha's die in de audiofragmenten hoorbaar zijn, vormen pieken in een spectrumanalyse. Die pieken worden van ruis gescheiden, maar bij spraak als storende component werkt dat niet. Audio-captcha's worden gebruikt om slechtzienden te helpen bij het oplossen van een captcha.

IT-banen

Reacties (89)

oohh 4 november 2011 10:14

Van de vijftien geteste captcha's bleven alleen die van Google en Recaptcha redelijk buiten de gevarenzone.

reCAPTCHA is trouwens van Google. Google heeft nog een andere, simpelere vorm van captcha's, waarbij ze gebruik maken van een ander soort afbeeldingen. Voorbeeld hier

Bij reCAPTCHA worden boeken gedigitaliseerd met behulp van captcha's. Aangezien mensen er dan voor zorgen dat de herkenning van de letters verbeterd wordt. Eigenlijk wel ironisch, aangezien datzelfde gebruikt wordt door hackers om de beveiliging te kraken.
Wat ik mij alleen afvraag: hoe weet de computer dan of het antwoord goed is, als het gebruikt wordt om de 'letterherkenning' te verbeteren?

[Reactie gewijzigd door oohh op 24 juli 2024 10:13]

Nauraph @oohh • 4 november 2011 10:27

Bij reCAPTCHA moet je twee woorden overtypen. Van één van de woorden weet 'het systeem' (OCR) al wat er staat, bij de ander nog niet.
Nadat het onbekende woord bij genoeg mensen is verschenen met meerdere malen hetzelfde antwoord, gaan ze er van uit dat het gegeven antwoord juist moet zijn.

Maar in principe kan je dus vaak door de reCAPTCHA heen door alleen het duidelijkste woord correct over te typen.

dwilmer @Nauraph • 4 november 2011 13:24

Juist het onduidelijkste woord. Het duidelijkste is het woord dat Google wil leren (en dus niet vervormt), het andere is het woord dat google kent en dus lekker kan gaan vervormen.

Zidane007nl @oohh • 4 november 2011 10:39

reCAPTCHA is ook niet meer betrouwbaar. Ik gebruikte het vroeger op een aantal Drupal websites, maar op een gegeven moment kwamen de spamberichten erdoor. Overgestapt om mollom en er weinig last meer van.

Glodenox

@Zidane007nl • 4 november 2011 10:50

An sich is reCAPTCHA nog altijd veilig. Het is echter zo dat er systemen bestaan waarbij men CAPTCHA's kan laten invullen door andere mensen voor geld, of in ruil voor punten die je zelf verzamelt door CAPTCHA's in te vullen. Op die manier kunnen bots toch nog binnen geraken.

Een voorbeeld van zo'n systeem is captchatrader.com: per correcte reCAPTCHA krijg je 7 punten, om zelf een reCAPTCHA te laten ontcijferen heb je 10 punten nodig. Je kan ook gewoon voor een aantal dollar een hele hoop punten kopen zodat het ook "professioneel" kan gebruikt worden. Persoonlijk gebruik ik het enkel voor het downloaden van (legale) bestanden van bepaalde downloadsites, maar het kan dus even goed door botmakers gebruikt worden.

Dit is jammer genoeg een systeem waartegen je je zeer slecht kan wapenen aangezien het uitgevoerd wordt door echte mensen - en die mensen moeten nog altijd in staat zijn om die CAPTCHA's in normale omstandigheden op te lossen. Daarnaast vinden mensen het niet erg om zulke CAPTCHA's in te vullen als ze op die manier later gratis CAPTCHA's kunnen laten invullen door anderen.

FabianNL @oohh • 4 november 2011 10:28

"But if a computer can't read such a CAPTCHA, how does the system know the correct answer to the puzzle? Here's how: Each new word that cannot be read correctly by OCR is given to a user in conjunction with another word for which the answer is already known. The user is then asked to read both words. If they solve the one for which the answer is known, the system assumes their answer is correct for the new one. The system then gives the new image to a number of other people to determine, with higher confidence, whether the original answer was correct."

Een mooi systeem dus!

Roland684 @FabianNL • 4 november 2011 12:06

Een belachelijk systeem. Je laat elke bezoeker een stukje werk doen dat niets met de verificatie te maken heeft. Bovendien kun je op dezelfde manier je captchas breken.

johnkeates @Roland684 • 4 november 2011 13:01

Wat is er zo belachelijk aan? Als je als OCR software een woord niet kan lezen is dat JUIST een goed woord om aan te bieden. Stel dat 10 mensen hem eerder identiek beantwoord hebben en een bot komt het verkeerd doen (om dat die het ook niet kan lezen), weet je dus dat het een bot is.

Als je tekst gebruikt die met eisen OCR software 'gevonden' is en leesbaar, dan kan een bot het dus ook lezen.

Anoniem: 408389 @Roland684 • 4 november 2011 17:08

Nee op die manier is het niet te breken, daar hebben ze een aantal fail safes voor. 4chan heeft al eens een poging gedaan door voor het tweede woord altijd het "n" woord te gebruiken en een zooi bots op te zetten die constant 2x dat woord ingaven. Het is namelijk wel te zien welk woord het leerwoord is. Het is heel even mogelijk geweest te posten met 2x het "n" woord maar volgens mij halen ze die woorden er gewoon uit, zodat ze altijd als fout worden gezien.

CyBeR @Anoniem: 408389 • 4 november 2011 23:04

nigger werkt nog gewoon hoor.

Ze kunnen 't niet filteren; wat als het niet herkende woord daadwerkelijk 'nigger' is? Wat wel degelijk voor is gekomen.

Gtoniser @oohh • 4 november 2011 10:18

Waarschijnlijk bedoelden ze de capchas die google gebruikt voor zijn services.
Dat is geen reCAPTCH voor zover ik weet.

Jarrean @oohh • 4 november 2011 10:28

In het geval van reCAPTCHA worden twee "woorden" weergeven, van een woord weet het systeem de tekenreeks en voor het andere woord wordt alles goedgekeurd. Het systeem maakt dus de aanname dat wanneer een van de twee woorden klopt de ander ook goed zal zijn.

Virtlink @oohh • 4 november 2011 10:28

Bij reCAPTCHA worden er twee woorden weergegeven. Eén woord kent Google al, dus dat is de feitelijke check. Het andere woord kent Google nog niet, dus dat is het leer-woord. Als genoeg mensen een bepaald antwoord hebben gegeven op het leer-woord, en er weinig antwoorden gegeven zijn die bovengemiddeld afwijken, dan wordt het leer-woord in de database opgenomen en gebruikt als nieuw check-woord voor de volgende tests. Als reCAPTCHA-invuller weet je niet welk van de twee woorden het leer-woord of het check-woord is, dus moet je ze beide invullen.

Probeer maar eens en vul één woord correct in en het andere woord duidelijk incorrect. 50% kans dat het toch geaccepteerd wordt.

[Reactie gewijzigd door Virtlink op 24 juli 2024 10:13]

CyBeR @Virtlink • 4 november 2011 23:00

Probeer maar eens en vul één woord correct in en het andere woord duidelijk incorrect. 50% kans dat het toch geaccepteerd wordt.

Google 'operation renigger' eens.

Als je vaker dan twee keer per week tegen een recaptcha aankijkt kun je zo zien welke het controlewoord is.

NicoJuicy @oohh • 4 november 2011 10:29

Omdat er meer dan 1 correct antwoord nodig zijn.

Bij iedere "vraag" worden er 2 woorden gebruikt, 1 daarvan is 1 woord dat al 1 of meerdere keren werd opgevraagd, hierdoor weten ze welk woord hierachter schuilgaat.
Een ander is 1 die nog onzeker is of een nieuw woord.

Dat is zo ongeveer het algoritme, maar het zal wel een klein beetje verschillen

gassiepaart @oohh • 4 november 2011 10:58

Wat ik mij alleen afvraag: hoe weet de computer dan of het antwoord goed is, als het gebruikt wordt om de 'letterherkenning' te verbeteren?[

Omdat er altijd één controleerbare captcha instaat (deze is al bekend) en 1 nog niet onbekende die door het aan verschillende mensen aan te bieden steeds nauwkeuriger wordt...

Vhough 4 november 2011 10:28

Microsoft heeft een andere manier ontwikkeld van de captcha. In plaats van letter overtypen moet je plaatjes selecteren.
http://research.microsoft.../redmond/projects/asirra/
Deze schijnt volgens Microsoft beter bestand te zijn tegen dit soort tools.
Onderzoek van mensen vs. computers:
http://research.microsoft.com/pubs/74609/CCS2007.pdf

edit: wat informatie toegevoegd.

[Reactie gewijzigd door Vhough op 24 juli 2024 10:13]

Glodenox

@Vhough • 4 november 2011 11:02

Heel mooi initiatief. Ook al omdat er op die manier misschien enkele dieren een tweede thuis kunnen vinden. Jammer genoeg zou volgens mij niet zo goed gaan schalen mocht het wijdverspreid geraken. Dit omdat "meer dan 3 miljoen" afbeeldingen nog niet genoeg zou zijn voor reCAPTCHA (om een vergelijking te maken). Het zou slechts enkele weken duren eer men al die afbeeldingen geklasseerd heeft en de aangroei van nieuwe afbeeldingen lijkt me niet snel genoeg om een blijvende uitdaging te bieden. Bij reCAPTCHA komen er steeds nieuwe woorden aangezien Google constant bezig is met boeken te digitaliseren. Dit kan aan een veel hoger tempo gebeuren dan foto's nemen van dieren.

Maar zolang dit project niet wijdverspreid is of op enkele grote websites verschijnt, denk ik wel dat het voldoende zou kunnen zijn. En het blijft natuurlijk schattig om dieren te klasseren voor een CAPTCHA. Het CAPTCHA-proces wordt zo een stuk mensvriendelijker.

HMS @Glodenox • 4 november 2011 12:47

Onder het kopje "Attacks on the image database: manual database reconstruction" word je aanname ontkracht:

http://research.microsoft...ects/asirra/security.aspx

Glodenox

@HMS • 4 november 2011 13:02

Ah inderdaad. Je hebt volledig gelijk

[...] the image database continues to grow at the rate of approximately 10,000 images per day, meaning the entire database is expected to turn over approximately every 6 months. The effort expended reconstructing the database would likely be more efficiently spent solving HIPs directly.

Een ratio van ongeveer 10,000 afbeeldingen per dag lijkt me op het eerste zicht inderdaad voldoende om zulke aanvallen een pak minder rendabel te maken. Zeker als er geen enkele afbeelding langer dan 6 maanden in zit, lijkt het mij moeilijk om een goede databank aan te leggen van deze afbeeldingen.

Jammer dat ik die pagina niet eerder had opgemerkt.

Bauknecht @Vhough • 4 november 2011 10:33

Een lolcat-captcha of wat? Way beyond cool

Wody 4 november 2011 13:12

Zoals ik al eerder heb geschreven, alle vormen van captcha en andere systemen die gebruikt worden, of zelfs nog niet uitgevonden zijn, zijn al gekraakt.

Als de spammers of andere criminelen daar omheen moeten, huren ze gewoon een bedrijf uit om ze in te typen in een of ander land met lage loonkosten, en als dat niet kan, via een botnet, door emails te versturen met 'type de code in voor leuke plaatjes en filmpjes', waar de captcha dan de code is. Gegarandeerd succes, dus dit is helemaal geen nieuws.

S0epkip 4 november 2011 11:04

Stel dan gewoon een (random) logische vraag "hoeveel is vijf maal vijf?" dan heb je dit probleem niet.

Overigens lekker slim van de uni om dit systeem te ""kraken"" het effect voor de gebruikers is dat dit soort beveiligingen alleen maar lastiger gaan worden en dus meer tijd kosten.

blitzkrieg @S0epkip • 4 november 2011 11:27

Volgens mij is het helemaal niet zo moeilijk om aan de hand van de steekwoorden:

hoeveel
is
maal

En 2 uitgeschreven cijfers een programma te maken dat dat ook kraakt.

BloodSeaker @blitzkrieg • 4 november 2011 11:47

Ja, want iedereen gebruikt dezelfde benamingen.

Wat is 5 x 5?
Hoeveel is 5x5?
Wat is een kat? (dier dan bvb

)
Geef de uitkomst van 5 x 5
Geef de uitkomst van 5 maal 5
Wat is het resultaat als je 5 bij 5 optelt

Veel succes met je programma om dit te verwerken en dan ook in verschillende talen

gassiepaart @BloodSeaker • 4 november 2011 12:00

Misschien niet makkelijk te kraken, maar ook niet echt een oplossing tegen spambots...

Feit is dat dit soort vragen ook bedacht (gegeneerd) moeten worden, samen met het verwachte antwoord. Voor kleine fora en communities geen probleem maar voor bijvoorbeeld een grote site is dit een beheerhel.

gassiepaart @S0epkip • 4 november 2011 11:40

Overigens lekker slim van de uni om dit systeem te ""kraken"" het effect voor de gebruikers is dat dit soort beveiligingen alleen maar lastiger gaan worden en dus meer tijd kosten.

Beter een universiteit die dit kraakt en tegelijkertijd ook documenteert dan één of andere schimmige hackerscollectief...

Fealine @Darkfreak • 4 november 2011 11:31

captcha is ook helemaal niet nodig naar mijn idee. Bots zijn erop gemaakt om alle form velden in te vullen en dan een submit te doen.

Gewoon een extra dummy veld toevoegen met wel een logische naam voor je form. Dit veld verberg je dan via je CSS style zodat een gebruiker deze niet ziet. Op het moment dat er een form post binnenkomt waar dit hidden field is ingevuld dan is het hoogst waarschijnlijk een bot.

Met deze techniek val je de gebruiker niet lastig maar ben je wel beschermd tegen spam.

Update:
Bedankt voor de interessante reacties. Ik ben het inderdaad eens dat een gerichte aanval hiermee niet verholpen gaat worden; maar dat het voornamelijk gericht is op kleinere websites die last hebben van geautomatiseerde bots. Dit zijn ook de bots die geen tijd / moeite nemen om javascript en css uit te lezen en te analyseren.

[Reactie gewijzigd door Fealine op 24 juli 2024 10:13]

BloodSeaker @Fealine • 4 november 2011 11:41

Top idee, maar zouden bots die complexe afbeeldingen interpreteren, ook niet zo slim zijn om vormen van onzichtbaarheid te detecteren zoals
- Hidden fields (input type hidden)
- onzichtbare fields (css property, inline styling, ...)

ari @BloodSeaker • 4 november 2011 12:24

Voor kleinere websites werkt dit, omdat de spambots die zulke sites aanvallen gewoon alle velden invullen en submitten. Die speuren het web af zonder gedoe als javascript en css, want dat kost alleen maar (relatief veel) geheugen. Als je dus een veldje "email" noemt waar je niks moet invullen (de 'honeypot'), dan weiger (en blacklist) je iedereen die het veld wel heeft ingevuld. Daarnaast geef ik het formulier een timestamp mee zodat oude formulieren geweigerd worden. Vooralsnog heeft deze methode bij mij 100% nauwkeurigheid en val ik niemand lastig met irritante captcha's.

Een gerichte aanval is niet te voorkomen. Wellicht door de namen van de velden te hashen, maar iemand die gericht aanvalt zal een kleine succes rate ook nog wel aanvaardbaar vinden. Op zo'n moment kun je weinig meer doen dan het formulier uitschakelen of een (goede) captcha aanzetten.

Anoniem: 175233 @BloodSeaker • 4 november 2011 14:05

Precies!

Dit zou gewoon een evolutie zijn in de wapenwetloop van de captcha, maar absoluut geen afdoende middel. Controleren op onzichtbare velden is té simpel, en bovenal, té generiek.

Wat je moet hebben, is een controle die uniek is voor iedere website. Zo gauw de controle algemeen wordt, kun je bots er op trainen. Als iedereen een onzichtbaar veld genereert, dan zullen de bots héél snel getraind worden in het herkennen er van.

Iets wat véél lastiger is, is om de gebruiker een vraag te stellen, die ze moeten beantwoorden. Bijvoorbeeld om een missend woord in een bekend spreekwoord in te vullen. Of bijvoorbeeld een wiskundige vraag, maar dan wel in woorden opgesteld. Zo iets van " Bob heeft negen euro, en geeft twee euro aan zijn broer, en ieder drie euro aan zijn beiden zusjes. Hoeveel euro heeft hij hierna nog over?" Dat is al véél lastiger om een bot voor te trainen.

Alex3 @Anoniem: 175233 • 4 november 2011 19:01

Als je honderduizenden van dat soort vragen moet bedenken lijken ze onvermijdelijk veel op elkaar. Dan ontdek je al gauw een patroon erin, dat simpeler op te lossen is dan een plaatje of geluid te herkennen.

CptMeatball @Fealine • 4 november 2011 11:37

Als dit ook daadwerkelijk werkt, vind ik het eigenlijk een heel erg slimme methode om bots tegen te gaan!

Niemand_Anders

Beveiliging

@CptMeatball • 4 november 2011 12:37

Dat werkt eigenlijk totaal niet. Als je een bot maakt welke dan is het achterhalen van een dynamisch input veld niet zo lastig via de DOM. Ik ben in het verleden ook wel forms tegen gekomen welke juist een veld uit het form verwijderen.

Maar beide methodes zijn erg gemakkelijk te omzeilen en kun je alleen gebruiken om sessie hijacking te voorkomen. Echter als iemand een bot maakt om automatisch form posts te sturen naar jouw website, kan wordt daar tijd in gestoken.

Voor spammers is het bijvoorbeeld handig als jij een groot aantal hotmail accounts kunnen aanmaken om spam te versturen. Denk je nauw serieus als dat soort spammers de tijd nemen om de captcha van Hotmail te kraken, dat ze dan niet de tijd nemen om de website te bestuderen?

dwilmer @Niemand_Anders • 4 november 2011 13:21

Dit werkt inderdaad niet tegen bots die specifieke websites targeten, daar zul je toch iets anders voor moeten verzinnen. Een captcha is een van de mogelijkheden (al blijkt het nu dus goed mogelijk om ook die te kraken), maar die is niet heel gebruiksvriendelijk. Echt goede alternatieven zijn er niet.

Zo'n honeypot werkt echter prima tegen bots die het web crawlen op zoek naar formuliertjes om spam te posten. Op die manier heb ik al meer dan 100 emailtjes gestopt in minder dan een maand. Het grote verhaal: http://daanwilmer.nl/blog/12/spam-protection

Roland684 @Fealine • 4 november 2011 12:03

Ik zie toch ook andere typen bots, waarschijnlijk bots die je handmatig eenmalig een post voordoet waarna ze het http-post requets herhalen met nieuwe data.

Die zijn vaak te herkennen aan dat ze een submit doen, zonder de pagina met het formulier bezocht te hebben. (een snelle oplossing is een volgnummer in het form en een maximum aan het aantal keer dat dat nummer gesubmit mag worden, maar dat breekt ook de back-knop echte mensen.)

Ik had bedacht een sommetje mee te leveren en de oplossing te vragen aan de gebruiker (eventueel hidden als de browser javascript kan uitvoeren). Door ook de som in het form te zetten behoud je het stateless gedrag.
Dat bleek prima te werken, totdat er ook bots langs kwamen die steeds dezelfde som (+oplossing) submitten. Ik heb toen maar een timestamp toegevoegd en accepteer geen submits meer die na 24 uur binnenkomen. Dat werkt voorlopig weer perfect.

Het houdt de automatisch bots tegen, maar als je even de moeite neemt, heb je dat ook zo omzeilt, dus een gerichte aanval houd het niet tegen.

Overigens is dat hele captcha gebeuren zo lek als een mandje. Op wikipedia staat zelfs al hoe je ze kunt omzeilen.

Je kunt eenvoudig een pagina maken waar de bezoeker een captcha moet oplossen en daarvoor gebruik je gewoon de captcha die google jouw bot voorschotelt. Voor elke gebruiker die op je site de captcha's invult, kan je bot dan bij google inloggen.

Broken by design.

hackerhater @Roland684 • 4 november 2011 13:22

Dat laatste is makkelijk te voorkomen door te zorgen dat je plaatjes niet gehotlinked kunnen worden.

joepurlings @hackerhater • 4 november 2011 14:11

Ohja? Maak je er toch een nieuw plaatje van?

Anoniem: 161878 @Fealine • 4 november 2011 12:40

Dit veld verberg je dan via je CSS style zodat een gebruiker deze niet ziet.

Bots kunnen ook kijken of dat een input veld zichtbaar is of niet. Dan is het beter om deze wel zichtbaar te maken maar bijvoorbeeld een plaatje ervoor te zetten. Dat is weer moeilijker.
Maar met al dit soort technieken is het zo dat zo gauw men af weet welke techniek er gebruikt wordt, een tegen techniek gemaakt kan worden.

Verder moet je rekening houden met de intelligentie van een bot-bouwer. Zo'n bot-bouwer had misschien nooit op het idee gekomen om de captcha's op deze manier te omzeilen. Maar een stel knappe koppen van een universiteit wel en reiken vervolgens bot-bouwers de oplossing aan die nu in hun handen wrijven. Misschien dat je nu kan afvragen wie de intelligentste is

TheNephilim

@Fealine • 4 november 2011 11:44

Daar heb je een goede te pakken! Hier had ik zelf niet aan gedacht, maar ook nooit over gelezen.

Ik ga eens onderzoeken of dat leuk werkt! Handig voor klanten, waarvoor we websites met Wordpress maken. Ze zijn nooit blij met rekensommetjes of verificatie plaatjes in hun contact form.

SuperDre

Hackers

@Fealine • 4 november 2011 13:33

En de bots zouden dit na 1 a 2 keer niet zelf kunnen detecteren? Als de browser weet datie het moet verbergen, dan kan een bot het ook weten..

kvdveer @Darkfreak • 4 november 2011 11:12

Zelf bij het maximale trainingsnet haalt deze methode bij blizzard minder dan 5% succes. Blizzard zit juist goed.

Anoniem: 387594 @kvdveer • 4 november 2011 11:17

Als je goed naar de grafiek kijkt, zie je dat Blizzard bij de maximale trainings-set grootte op 70% success uitkomt. Je hebt waarschijnlijk naar Baidu gekeken; die hebben driehoekjes gekregen, waar Blizzard omgekeerde driehoekjes heeft.

Verder is Darkfreak's post lekker ordinair fipo gedrag.

mstam 4 november 2011 11:03

Captcha's zijn ondingen. Ik gebruik een timer in mijn sites: Het invullen en versturen van een formulier kost tijd. Als bijv. het versturen van een registratieformulier minimaal 15 seconden kost dan zet ik de timer op 14 seconden. Wordt het formulier dus binnen 15 seconden verstuurd dan krijgt de gebruiker of bot een bericht dat het mislukt is (Are you a bot?), ontvang ik een email en wordt het IP subnet /24 toegevoegd aan de deny lijst van de .htaccess in de root directory.

Werkt zeer effectief en is niet hinderlijk voor de gebruiker. Het zijn vrijwel altijd IP's uit China.

lazyduck @mstam • 4 november 2011 11:18

Creatieve, maar tijdelijke oplossing. Als iedereen dat gaat doen, zullen spambots aangepast worden en zelf ook met een timertje gaan werken.

mstam @lazyduck • 4 november 2011 11:28

Maar dan wordt het nut van de bot ongedaan gemaakt omdat een bot het liefst zo snel mogelijk informatie verstuurt en de bot weet niet op hoeveel seconden de timer staat en gaat het 1x fout is de IP-range gelijk al geblokkeerd.

Naast de timer gebruik ik ook een hidden field die pas een waarde d.m.v. een Javascriptje krijgt zodra het formulier verstuurd wordt en deze waarde wordt aan de kant van de server geverifieerd. Dit kun je zo ingewikkeld maken als je wilt. En voor een formulier om in te loggen wordt naast de timer (die maar op een paar seconden ingesteld kan worden) ook een counter gebruikt om het aantal pogingen bij te houden. Bijv. 3x een foute login en de gebruiker wordt voor 5 minuten geblokkeerd en doorverwezen naar een forrmulier om het wachtwoord op te vragen.

Alternatieven te over dus.

Patrick! @mstam • 4 november 2011 12:48

Een beetje grof geschut om de hele /24 te blokkeren, je kan het ook wat nauwkeruiger doen of zelfs de host. Spambots zijn erg naar maar dit is ook niet echt een oplossing. En die vervelende captha's van nu helemaal niet, soms niet eens leesbaar meer

mphilipp 4 november 2011 10:17

Een captcha toont een aantal letters en cijfers die dusdanig zijn verhaspeld dat ze wel door mensen, maar niet door computers kunnen worden gelezen

Nou, ik kan in veel gevallen die Captcha's niet (goed) lezen. Ik vind het maar onmogelijke rotdingen. Ik staar me soms rot om te ontcijferen wat er nou staat. Als je ze nou eens op elkaar lijkende letters/cijfers zouden elimineren, was het iets makkelijker om te lezen. Sommige zijn zó slecht leesbaar dat ik een stuk of 3x een nieuwe moet vragen voor er 1 komt die ik kan ontcijferen.

Ryan_ @mphilipp • 4 november 2011 10:31

9 van de 10 keer kan je ook een audio bestand van de captcha laten afspelen. (klikken op het geluids icoontje naast de captcha)

[Reactie gewijzigd door Ryan_ op 24 juli 2024 10:13]

Proxy @Ryan_ • 5 november 2011 04:59

En dan hoor je zoiets als: ñ o é bjuu kjee, dus dan typ je: n o e b k, maar dan had het n o e q j moeten zijn, nee hoor, ik hoor dat niet goed.

Anoniem: 340068 @Proxy • 5 november 2011 16:31

En dan hoor je zoiets als: ñ o é bjuu kjee, dus dan typ je: n o e b k, maar dan had het n o e q j moeten zijn, nee hoor, ik hoor dat niet goed.

Met de snelheid van 5x

M_V 4 november 2011 10:18

En dat terwijl de gemiddelde captcha voor een mens vaak al lastig te ontcijferen is. Ik ben soms wel 3-4x bezig om hem goed te hebben...

watercoolertje

Software development

@M_V • 4 november 2011 10:37

Inderdaad en meestal is dat bij het aanmaken van een account waar je wachtwoord dan ook opnieuw ingevoerd moet worden en het vinkje bij het akkoord gaan moet je meestal ook opnieuw aanvinken...

Ik heb daar al lang een breed een regel voor: 2x mij er niet in laten, wordt ik maar geen lid

Anoniem: 111246 4 november 2011 10:21

waarom zo'n onderzoek? De methodes zullen vast wel weer uitlekken en beschikbaar worden op internet.

Gevolg: Krijgt de halve wereld weer allerlei spam via contact formulieren die zijn 'afgeschermd' met een captcha...

Zou mooi zijn als ze ook gelijk met een oplossing komen.

Azaruc @Anoniem: 111246 • 4 november 2011 10:50

Mijns inziens zijn dit soort onderzoeken juist enorm gewenst. Vroeg of laat zullen de spammers ook een methode ontwikkelen om zulke beveiligingen te omzeilen. Je hebt dus een voordeel als je dit al te weten komt voordat de spammers het ontwikkeld hebben, zodat je je beveiligingsmethodes kunt aanscherpen en de spammers weer een stap voor kunt blijven.

koter84 @Azaruc • 4 november 2011 14:48

zodat je je beveiligingsmethodes kunt aanscherpen en de spammers weer een stap voor kunt blijven

hoe ga je die beveiliging aanscherpen dan? want daar hebben ze nog niets op bedacht... dus ik pleit ook tegen dit soort onderzoeken, en voor het onderzoeken voor betere manieren van "levende-gebruiker-herkeninng" of "bot-herkenning" hoe je het noemen wil

Anoniem: 34095 4 november 2011 10:52

De jquery oplossingen zijn meer botproof

ATS @Anoniem: 34095 • 4 november 2011 11:06

Voor nu. Zodra ze populairder worden, is dat ook afgelopen. Ze zien er in elk geval niet moeilijk uit om geautomatiseerd op te lossen...

Gtoniser @ATS • 4 november 2011 12:28

Alle populaire oplossingen worden gekraakt.
Het is vaak veel effectiever gewoon een custom iets te maken wat kan bestaan uit een simpele vraag als: wat is het adres van deze site?
Zolang je iets gebruikt wat weinig anderen hebben ben je veilig omdat het voor botmakers niet interessant is om specifiek voor jouw site het script aan te passen.

Proxy @Anoniem: 34095 • 5 november 2011 05:07

Daar kun je een soort ocr voor gebruiken om ze op te lossen

Op dit item kan niet meer gereageerd worden.

Onderzoekers kraken captcha's van grote sites

Lees meer

IT-banen

Reacties (89)

Sorteer op:

Weergave: