Frage:
Welchen Nutzen bieten Captchas?
Alex
2018-09-30 15:33:20 UTC
view on stackexchange narkive permalink

Ich habe die folgenden Websites recherchiert und gefunden, die Captchas beschädigen:

  • Anticaptcha
  • 2captcha

(Links nicht enthalten um zu verhindern, dass die Websites beworben werden)

Welchen Nutzen hat die Verwendung von Captchas, da diese Dienste zum Brechen von Captchas verwendet werden können, insbesondere da sie sich auf menschliche Benutzer auswirken können?

Worauf stützen Sie sich, wenn Captchas nutzlos sind?
* "... recaptcha ist gegen automatisierte Formularübermittlung nutzlos ..." * - oder?Bitte legen Sie einen Nachweis oder eine Referenz für Ihren Anspruch vor - stellen Sie jedoch sicher, dass dieser tatsächlich für die aktuelle Version von reCaptcha und nicht für eine ältere Version gilt.
Haben Sie noch nichts von Captcha-Lösungsdiensten, 2captcha, Anticaptcha gehört?Jeder, der Formulare einreichen möchte, verwendet sie automatisch, sodass Recaptcha jetzt unbrauchbar ist
Drei antworten:
dandavis
2018-10-02 21:03:29 UTC
view on stackexchange narkive permalink

"Wenn es Schlosser gibt, wozu soll man dann die Tür abschließen?"

Nur weil etwas Einschränkungen hat, heißt das nicht, dass es nutzlos ist. Diese Dienste kosten Geld, vielleicht mehr Geld, als ein automatisch registriertes Konto wert ist. Es gibt auch Klassen von Angreifern, die keinen Zugriff auf diese Art von Diensten haben. InfoSec ist oft ein Zahlenspiel, und Capthas sind eine billige (nicht perfekte) Möglichkeit, den Guten größere Zahlen zu geben.

Monica Apologists Get Out
2018-10-03 01:30:17 UTC
view on stackexchange narkive permalink

Ihre verknüpften Quellen scheinen kostenpflichtige Captcha-Dienste zu sein. Diese machen Captchas sicherlich weniger effektiv, aber sie machen sie sicherlich nicht nutzlos.

Schauen wir uns die Zahlen an, da dies ein Zahlenspiel ist.

Vor kurzem hatte mein Unternehmen ein Brute-Force-Problem, bei dem eines unserer mit dem Internet verbundenen Portale brutal erzwungen wurde. Sie versuchten jeden Benutzer, den sie kannten, nacheinander, versuchten 3 Passwörter und gingen dann zum nächsten Benutzer. Sie machten durchschnittlich etwa 2000 Versuche pro Sekunde. Wir haben dieses Problem gelöst, indem wir ein Captcha-Portal vor die Anmeldeseite gestellt haben.

Ihre verknüpften Quellen geben jeweils eine Lösungszeit von ~ 7 Sekunden für jedes Captcha an und geben 0,50 USD pro 1000 Bild an.

Um denselben Angriff gegen meinen Server auszuführen, würden sie zwei signifikante Effektivitätstreffer erzielen -

Erstens würden sie 2000 Versuche in 7 Sekunden und nicht in 1 Sekunde lösen. Dies ist offensichtlich nur 1/7 so schnell. Sie brauchen 7x länger, um ein funktionierendes Passwort zu finden. Dies ist nicht astronomisch hoch, und wenn es kostenlos wäre, könnte es sich trotzdem lohnen.

Zweitens würden sie 1 Dollar pro sieben Sekunden Angriffszeit zahlen (0,5 pro 1000 Captchas, 2000 pro sieben Sekunden gelöst - 1 US-Dollar pro sieben Sekunden). Wenn sie diesen Angriff für einen Tag ausführen, haben sie ~ 12000 Dollar verloren. (60 * 60 * 24/7)

Das Hauptziel bei Brute-Force-Konten wie diesen besteht darin, Informationen zu stehlen, die verkauft oder für spätere Angriffe verwendet werden sollen. Die Rendite auf den Konten, die sie an einem Tag erhalten, wird fast nie 12000 US-Dollar betragen. Der Angriff wird unwirtschaftlich, es sei denn, Sie greifen etwas sehr sehr Wichtiges an.

Sie zahlen nur für gelöste Captchas ... Ihre Captchas sind also so gut wie nutzlos
Das ergibt für mich keinen Sinn. Könnten Sie bitte klarstellen, was Sie meinen?Entweder sind die Captchas gelöst und diese Zahlen sind korrekt oder sie sind ungelöst und es kann kein Brute-Force-Versuch stattfinden.
jrtapsell
2018-09-30 16:04:12 UTC
view on stackexchange narkive permalink

Funktionsweise von Captchas

Die Idee eines Captchas besteht darin, eine Aufgabe zu finden, die für eine Maschine schwierig, für einen Menschen jedoch einfach ist. Dies ist gemeint, um eine Aktion zu verteidigen, die nur ein Mensch ausführen sollte.

Die Idee ist nicht unbedingt, alle Bots zu stoppen, sondern die Bots zu verlangsamen, indem der Angriff auf die Site in mindestens einer teurer wird der folgenden Möglichkeiten:

  • Rechenleistung
  • Preis
  • Preis
  • Zeit

Wenn die Bots eine höhere haben Dies kann verwendet werden, um sie zu erkennen, und an diesem Punkt können weitere Abwehrmechanismen eingesetzt werden.

Captcha-Typen

  • 1 eines Fragenpools stellen
    • Dies ist für einen Menschen einfach, kann aber auch für ein System mit natürlicher Sprachverarbeitung einfach sein.
  • Lesen von Basistext
    • Dies ist Die Erkennung optischer Charater ist im Vergleich zu anderen Herausforderungen relativ einfach.
  • Lesen von modifiziertem Text
    • Dies erschwert das Lesen für Maschinen, aber auch für Menschen und Einige Untersuchungen haben ergeben, dass Maschinen eine höhere Lösungsrate als Menschen haben.
  • Lesen von Fotos
    • Dies kann schwierig sein, gibt es aber Algorithmen, die dies können
  • Objekte in Fotos identifizieren
  • Menschliche Handlungen
    • Durch "Beobachten", wie der Benutzer seine Maus bewegt , Typen auf ihrer Tastatur oder verschiedene andere Faktoren können sie bewerten, wie wahrscheinlich es ist, dass sie ein Bot sind.
  • Captcha-Breaking-Services

    Captcha-Breaking-Services funktionieren nach einer der folgenden Methoden:

    • Es wird versucht, einen Algorithmus zu schreiben, um die Herausforderungen zu meistern.

      Bei einigen älteren Captchas ist dies der Fall Möglicherweise ist dies möglich, aber für viele neuere Unternehmen wären Durchbrüche in Forschungsbereichen erforderlich, um dies mit angemessener Genauigkeit zu erreichen.

    • Der Versuch, die Verteidigung des Captcha zu durchbrechen

      Dies funktioniert gegen einige schlecht implementierte Captchas, ist jedoch im Vergleich zu anderen Angriffen relativ selten.

    • Verwenden von Menschen zum Brechen des Captchas

      Dies fügt a hinzu Kosten, was bedeutet, dass die Kosten pro Aktion, obwohl sie immer noch gebrochen werden können, um Größenordnungen höher sind als ohne ein vorhandenes Captcha.



    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
    Loading...