Текстовые CAPTCHA требуют доработки

Александр Панасенко 09 Ноября 2011 - 10:31

...

Исследователи из Стэнфордского университета продемонстрировали уязвимость текстовых CAPTCHA к автоматизированным атакам, взломав 13 из 15 защитных решений, используемых на популярных веб-сайтах.

Полтора года американцы изучали современные средства противодействия алгоритмам сегментации и распознавания символов на живых примерах, взятых из Сети. По результатам исследования была создана полностью автоматизированная система для расшифровки тестов CAPTCHA, способная производить очистку от «шума», разбивать строки символов на отдельные фрагменты, нормализовать их размеры, опознавать знаки и осуществлять проверку правописания, если контрольное изображение представлено словом или фразой. Экспериментальный инструмент получил наименование Decaptcha и был применен для получения несанкционированного доступа к 15 разным по тематике сайтам, включая специализированные сервисы Captcha.net и Recaptcha.net.

В итоге на Baidu и Skyrock коэффициент результативности составил 1-10%, на CNN и Digg ― 10-24%; на eBay, Reddit, Slashdot и Wikipedia 25-49%; на Authorize.net, Blizzard, Captcha.net, Megaupload и NIH.gov 50% и выше. Бастионы Google и Recaptcha остались непокоренными. Следует отметить, что после проведения испытаний платежный сервис Visa Authorize и Digg поменяли свою защиту от ботов на reCAPTCHA, сообщает securelist.

Исходя из результатов исследования, академики составили список рекомендаций по усилению текстовых CAPTCHA. По их мнению, рандомизация длины цепочки символов и размера каждого знака не приведет в замешательство человека, но значительно усложнит работу автомата. Эффективными признаны также такие трюки, как волнообразная форма строки, слитное написание знаков и наложение шумовых штрихов произвольной длины. Использование большого набора контрольных тестов, верхнего регистра и похожих символов, против ожидания, оказалось малоэффективным и лишь увеличивает процент ошибок при авторизации легальных пользователей.

Работа университетских исследователей из Стэнфорда была представлена на чикагской конференции ACM по компьютерной и сетевой безопасности (CCS 2011). Ее авторы планируют продолжать совершенствование Decaptcha и техник противодействия автоматизированному взлому контрольных тестов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 07 Мая 2025 - 16:00

Домашние пользователи Государство

В китайском Шэньчжэне вышел на патрулирование робот-полицейский

Роботы-гуманоиды в Шэньчжэне задействованы для обеспечения порядка в общественных местах, помощи туристам, а также в поиске потерявшихся детей и пожилых людей. В полиции города используется робот модели PM01, разработанный местной компанией Engine AI.

Ранее эти роботы демонстрировали приёмы кунг-фу и даже принимали участие в полумарафоне. Теперь же они стали частью крупного проекта по внедрению робототехники в систему общественной безопасности.

Робот имеет рост чуть менее 140 см и вес около 40 кг. Он не является полностью автономным устройством, выполняя роль ассистента. Устройство оснащено камерами с функцией распознавания лиц, а также системами синтеза и распознавания речи на кантонском и мандаринском диалектах.

Благодаря приводам промышленного класса, робот может оглядываться, не используя ноги. Его поле зрения составляет 320°. Стоимость относительно невелика — около 14 тысяч долларов.

Однако реакция пользователей соцсетей оказалась неоднозначной. Одни находят робота пугающим, сравнивая его с персонажем из антиутопии, другие ссылаются на франшизу «Терминатор». Пользователей тревожат этические аспекты использования таких систем и отсутствие у машин эмпатии.

Текстовые CAPTCHA требуют доработки

Читайте также