Über den Tellerrand hinaus denken ...

In den meisten Fällen gilt dies: Der Geschäftszweck von CAPTCHAs besteht darin, zu identifizieren, dass die Person, die auf eine Seite zugreift, ein Mensch ist. Der Grund dafür, dass man wissen muss, dass es sich um einen Menschen handelt, besteht darin, die automatische Übermittlung von Formularen zu verhindern, und der Hauptgrund dafür ist, Brute-Force-Angriffe zu verhindern.

Der ultimative Zweck eines CAPTCHA in den meisten Fällen besteht darin, Brute-Force-Angriffe zu verhindern.

Wenn dies der Grund für die Verwendung eines Captcha ist, lesen Sie weiter. Beachten Sie, dass es andere Gründe für die Verwendung von CAPTCHAs gibt und diese Vorschläge möglicherweise anwendbar sind oder nicht.

Es gibt jedoch Alternativen zu CAPTCHA, um Brute-Force-Angriffe zu verhindern. Auf der OWASP-Website sind einige mit Vor- und Nachteilen für jeden Ansatz aufgeführt:

1. Sperren von Konten

Der naheliegendste Weg, Brute-Force-Angriffe zu blockieren, besteht darin, Konten nach einer definierten Anzahl falscher Kennwortversuche einfach zu sperren. Kontosperrungen können eine bestimmte Dauer dauern, z. B. eine Stunde, oder die Konten können gesperrt bleiben, bis sie von einem Administrator manuell entsperrt werden. Die Kontosperrung ist jedoch nicht immer die beste Lösung, da jemand die Sicherheitsmaßnahme leicht missbrauchen und Hunderte von Benutzerkonten sperren kann. Tatsächlich treten auf einigen Websites so viele Angriffe auf, dass sie eine Sperrrichtlinie nicht durchsetzen können, da sie ständig Kundenkonten entsperren würden.

Die Probleme bei der Kontosperrung sind:

• Ein Angreifer kann einen Denial-of-Service (DoS) verursachen, indem er eine große Anzahl von Konten sperrt.
• Da Sie ein nicht vorhandenes Konto nicht sperren können, werden nur gültige Kontonamen gesperrt. Ein Angreifer kann diese Tatsache nutzen, um abhängig von den Fehlerantworten Benutzernamen von der Site zu sammeln.
• Ein Angreifer kann eine Umleitung verursachen, indem er viele Konten sperrt und den Helpdesk mit Supportanrufen überflutet.
• Ein Angreifer kann dasselbe Konto kontinuierlich sperren, auch Sekunden nachdem ein Administrator es entsperrt hat, wodurch das Konto effektiv deaktiviert wird.
• Die Kontosperrung ist bei langsamen Angriffen, bei denen nur wenige Kennwörter pro Stunde versucht werden, unwirksam.
• Die Kontosperrung ist unwirksam gegen Angriffe, bei denen ein Kennwort für eine große Liste von Benutzernamen verwendet wird.
• Die Kontosperrung ist unwirksam, wenn der Angreifer eine Kombinationsliste aus Benutzername und Kennwort verwendet und die Daten richtig errät Erste Versuche.
• Leistungsstarke Konten wie Administratorkonten umgehen häufig die Sperrrichtlinie, aber dies sind die wünschenswertesten Konten für Angriffe. Einige Systeme sperren Administratorkonten nur bei netzwerkbasierten Anmeldungen.
• Selbst wenn Sie ein Konto sperren, kann der Angriff fortgesetzt werden und wertvolle Personal- und Computerressourcen verbrauchen.

2. Fügen Sie beim Überprüfen eines Kennworts zufällige Pausen ein.

Das Hinzufügen einer Pause von nur wenigen Sekunden kann einen Brute-Force-Angriff erheblich verlangsamen, stört jedoch die meisten legitimen Benutzer nicht, wenn sie sich bei ihren Konten anmelden.

3. Sperren Sie eine IP-Adresse mit mehreren fehlgeschlagenen Anmeldungen.

4. Gestalten Sie Ihre Website so, dass bei fehlgeschlagenen Kennwörtern kein vorhersehbares Verhalten verwendet wird.

Dazu:

Ich muss ein Registrierungsformular ausfüllen. Ich möchte jedoch nicht, dass meine Benutzertabelle mit Papierkorb gefüllt wird.

In Ihrem speziellen Fall würde ich einen zweistufigen Ansatz wählen:

Erstens würde ich die Option "Zufällige Pause einfügen" verwenden, um zu begrenzen, wie viele falsche Einreichungen überhaupt eingegeben werden könnten.

Verwenden Sie einen Überprüfungsmechanismus, um potenziell gefälschte Registrierungsversuche zu verarbeiten. Registrieren Sie sie, aber nicht als aktiv, senden Sie ihnen eine E-Mail mit dem Link "Aktivierung". Für diejenigen, die aktivieren - zumindest wissen Sie, dass Sie eine gültige E-Mail-Adresse von jemandem haben, der sich tatsächlich registrieren möchte. Implementieren Sie dann eine geplante Aufgabe, bei der nicht aktivierte Konten nach X Stunden oder X Tagen automatisch gelöscht werden.

Google hat eine neue Technik namens reCaptcha entwickelt, die einfacher und angeblich zuverlässiger ist als bestehende Lösungen.

Es besteht aus einem einzelnen Kontrollkästchen, das beim Klicken Metadaten an die Server von Google sendet, die wiederum mithilfe einer proprietären KI bestimmen, ob der Klick aus einem Skript oder einem Menschen stammt.

Weitere Informationen finden Sie in diesem Venture Beat-Artikel.

Eine Alternative zu einem klassischen Captcha ist Microsoft Asirra (was ich sehr interessant finde). Anstatt verschlüsselten Text zu lesen, müssen Sie die Katzen aus Bildern auswählen, die entweder Katzen oder Hunde enthalten. Sie haben über 3 Millionen Fotos, sodass Sie vor den entschlosseneren Angreifern sicher sein sollten. Es ist nicht sehr wahrscheinlich, dass jemand all diese Bilder indiziert, um Ihre Datenbank mit Müll zu füllen. Außerdem ist die Wahrscheinlichkeit gering, dass die Katzen beim ersten Versuch nicht ausgewählt werden können.

UPDATE: Google kann Cat Captchas lösen.

Captcha ist überhaupt keine Lösung!

Es gibt einen Gesamt-Captcha-Killer , der alle Captchas bestehen könnte vorhanden und sogar noch nicht erfunden!

Es basiert auf Social Engineering :

Einfach und leicht, ein 15-jähriger Spammer-Student könnte dies erstellen:

1. Erstelle eine triviale kostenlose Puzzle-Captcha-Spiel-Site , die harmlos aussieht:
   1. Kleines lustiges Spiel, das mit vielen Captcha spielt, um auf weitere Spielebenen
   2. ... lassen Benutzer mit Captchas spielen ...
   ol>
2. Durch ein einfaches Serverskript, wenn Wenn ein Captcha angefordert wird, wechselt der Server zur Zielsite , um das Captcha des Ziels abzurufen, und leitet es dann an die Spieler des Captcha-Spiels weiter Site.
   1. Die Spieler werden versuchen, Captchas so schnell wie möglich zu beantworten, um die zweite Spielstufe zu erreichen.
   2. Der Server muss lediglich die Captcha-Prüfung und die Antworten zwischen der Ziel-Site (dem tatsächlichen Opfer) und weiterleiten das gamme rs (unerwünschte Komplizenschaft: Opfer von Sicherheiten)
   ol>
3. Mit jedem erfolgreich übergebenen Captcha konnte der Server ein Spammer-Konto für das Ziel erstellen ...
/ ol>

Eine menschliche Netzwerkhilfe ... für Bots.

Wo Roboter die Hilfe von Menschen für seine (schlechte) Arbeit verwenden könnten.

Danksagung:

Ein großes Dankeschön an @ GennadyVanin - ГеннадийВанин für die Idee eines attraktiven kostenlosen Puzzlespiels captcha ! Die erste Idee war, eine kaum legale Porno oder Monney Maker-Site zu erstellen und Captchas zur Validierung neuer Konten zu verwenden.

Diese Idee des Captcha-Spiel-Puzzles hinzufügen

• triviale Site (nicht legal)
• mehr als eine Captha wird von einem Benutzer aufgelöst.

Alternativen

Es gibt verschiedene Möglichkeiten, um Spam zu verhindern, von Bayes-Tools bis hin zur E-Mail-Bestätigung basierend auf PGP.

Nur ein Beispiel: Sie können Bogofilter mit progressiven Richtlinien verwenden:

1. Zu Beginn wird jeder Beitrag in Ihrem Blog an Ihre Bogofilter-Umgebung ...

2. Beim ersten Mal müssen alle Beiträge manuell validiert werden ( graue Liste ), während bogofilter unterrichtet wird.

3. Sobald genug Spam und Ham überprüft wurden, kann Ihr Bogofilter

   1. automatisch viele Posts
   2. viele Beiträge automatisch und effizient ablehnen
   3. dann graue Liste einige neue Beiträge, die nicht gut klassifiziert sind ... Die manuell validiert werden, lehren Bogofilter wieder ... und wieder ... (siehe meinen Kommentar;)
   ol> ol>

   Natürlich erfordert dies eine aktive Überwachung, nicht perfekt Überhaupt kann es manchmal nützlich sein, einige Optimierungsvorgänge und das Abrufen nach dem Abrufen durchzuführen ,

4. wird immer hackable,
5. kann verwirrend sein und
6. trägt nicht zur Schönheit einer Willkommensseite bei!

eine Alternative zu Bildern sind vom Menschen interpretierbare Fragen; Dies kann jedoch zu Entwicklungskosten führen. Strategien, die ich gesehen habe:

1. Benutzeridentifizierbare Bilder: von einer britischen Bank getestet; Sie baten die Benutzer, Fotos von Personen hochzuladen, die sie kannten, und führten eine Auswahl mit anderen zufälligen Fotos durch: "Wer ist deine Tante?". Hat gut funktioniert, bis es total missbraucht wurde. :-) Bitte beachten Sie, dass dies wirklich nur eine "alternative Passwort" -Strategie ist und daher die gleichen Probleme hat.
2. arithmetische Fragen: "Was ist 10 geteilt durch 2?" mit einer gewissen Entropie hinsichtlich des Formats und der Mechanismen, die zur Formulierung des Satzes verwendet werden, z. "Was ist zehn geteilt durch zwei?"
3. Puzzle. Multiple-Choice-Fragen, die ein Foto beschreiben. z.B. ein blaues Haus auf einer grünen Wiese.
ol>

Bitte beachten Sie, dass KEINES davon das Behindertengesetz verabschiedet. Wo ich wohne (UK), werden die RNIB und ihre Beratungsabteilung Foviance großen Unternehmen drohen, nicht DDA-konforme Mechanismen einzusetzen. Das große Problem, mit dem ich immer konfrontiert war, ist, dass die Sicherheit nur so stark ist wie die schwächere der beiden Strategien (wenn Sie auch einen DDA-kompatiblen Mechanismus bereitstellen).

Spam-Bots sind bereits intelligent genug, um Google-Suchen durchzuführen. Daher ist es ziemlich ineffektiv, nach der Farbe des Himmels zu fragen. Im Allgemeinen können Dinge wie einfache mathematische Wortprobleme oder Bilder mit mathematischen Problemen einigermaßen effektiv sein. nuCaptcha ist ein animiertes Captcha, das viel einfacher zu lesen ist, obwohl ich nicht sicher bin, ob es noch kaputt ist oder nicht. IP-Blacklists sind sehr effektiv, um häufige Spammer zu erkennen und zu blockieren. Es gibt auch Domain-Blacklists, die nach Links zu bekannten Spam-Sites von Benutzern sowie nach bekannten Spam-E-Mail-Konten suchen. Das Auffordern eines Benutzers, auf einen Link zu klicken, der per E-Mail an ihn gesendet wurde, ist ebenfalls hilfreich, da dadurch die E-Mail-Adresse als legitim erzwungen wird.

Ich bin mir ziemlich sicher, dass das Assira-Projekt von Microsoft tot ist oder zumindest nicht mehr aktiv unterstützt wird. Es gibt einen anderen, ähnlichen Ansatz namens Confident CAPTCHA, der ziemlich dasselbe ist: Benutzer werden gebeten, auf ein paar Bilder zu klicken, um zu beweisen, dass sie Menschen sind. Es gibt auch eine Audiooption für Sehbehinderte, die Assira nicht bietet.

Huh, ich habe nicht einmal eine Frage gefunden.

Das CAPTCHA ist kein Synonym für Antispam-Schutz und es gibt KEINE Spam-Bots ohne menschliche Spammer hinten. Spam wird von Menschen erstellt, manchmal von Bot unterstützt und von Menschen bezahlt bezahlt.
Es gibt keinen Spam stark> von Bots selbst erstellt und von Maschinen bestellt und bezahlt. Diese werden als Viren bezeichnet.

In der Wurzel ist Spam-Schutz der Schutz gegen Spammer , d. h. Menschen. Und CAPTCHA ist per Definition weder Schutz noch vor Menschen , sondern ein vollständig automatisierter öffentlicher Turing-Test, um Computer und Menschen voneinander zu unterscheiden . Es kann als Vorbeugung gegen botgestütztes Posten eingesetzt werden.

Auch Bot-unterstütztes Posten ist kein Synonym für Spam. Die meisten sozialen Netzwerke basieren auf dem botgestützten Teilen von Artikeln, Nachrichten, erneuten Veröffentlichungen und Retweeten nach Zeitplan .

Es gibt keine Lösung für niemals formulierte, sondern nur angedeutete Fragen mit nie formulierten Begriffen (was ist Spam, Spammer usw.).

Und es ist ziemlich naiv, einmal, für alles und für immer gegen kreative menschliche Spammer nach einer universellen Silberkugel zu suchen.

Vielleicht sind Kundenrätsel eine Lösung. Die Idee ist, den Client einen rechenintensiven Vorgang ausführen zu lassen, der vom Server leicht überprüft werden kann. Die Idee ist, die Komplexität der Operation schrittweise zu erhöhen.

Ein Einweg-Hash ist eine solche Operation, die verwendet werden kann. Bei der ersten Übermittlung eines Formulars kann der Client ein Wort finden, bei dem die md5-Prüfsumme mit einem bestimmten Zeichen endet. Dies kann relativ schnell festgestellt werden und ist für den Server noch schneller zu überprüfen. Wenn jemand versucht, Ihren Dienst brutal zu erzwingen, benötigen Sie mehr übereinstimmende Zeichen der Prüfsumme, was das Rätsel für den Kunden schwieriger macht.

check http://en.wikipedia.org/wiki/Client_Puzzle_Protocol und http://www.isoc.org/isoc/conferences/ndss/99/ Proceedings / Papers / Juels.pdf

Ich denke, der CAPTCHAs-Tag ist vorbei. Es kann nicht sicher sein, wenn es Websites gibt, die anbieten, 1000 für 3 Dollar in ganz Google zu lösen, wenn Sie eine Suche durchführen. Es ist allgemein bekannt, dass heutzutage in Ländern mit aufstrebenden Volkswirtschaften im Gegensatz zu Maschinen viel Spam von Menschen ausgeht. Ich persönlich hasse CAPTCHA und ich benutze die Software RUMOLA, um sie zu lesen und für mich auszufüllen. Obwohl ich diese Software nur verwende, um das Bloggen weniger frustrierend zu machen, beweist sie nur, dass man für ein wenig Geld alle CAPTCHAs überwinden kann ... Ps . Wenn Sie CAPTCHA genauso sehen wie ich, können Sie RUMOLA unter skipinput.com

Ich habe den Vorschlag, dem Benutzer ein Bild zu geben, das dem Captcha-Bild ähnelt. Dieses Bild enthält jedoch einen einfachen mathematischen Ausdruck wie 55 + 12. Der Benutzer möchte die Antwort dieses Ausdrucks eingeben, der in diesem Fall 67 ist.

Um die Sicherheit zu verbessern, können Sie ein Bild dynamisch erstellen oder einen Satz vordefinierter Bildsätze verwenden.

Vielleicht möchten Sie überprüfen, ob Sie ein Mensch sind. Es erinnert mich daran, was Asirra versucht zu tun.

http://areyouahuman.com/