Stanford researchers outsmart captcha codes
http://www.physorg.com/news/2011-11-stanford-outsmart-captcha-codes.html
By Nancy Owano, November 3, 2011
(PhysOrg.com) -- 史丹佛研究者表示,captcha 安全密碼(那要求網際網路登入使用者重複一段字串以證明使用者是人類)可以被阻撓,而且他們已成功擊敗 Visa、CNN 與 eBay 等知名大站上的 captcha 以資證明。事實上,他們發現 15 個高知名度網站中就有 13 個易受自動化攻擊侵害。
Captcha 是「Completely Automated Public Turing Test to tell Computers and Humans Apart」的縮寫。這是卡內基美隆大學電腦科學畢業生及其指導者在 2000 年所創造出來的一項測試,可保護網站不受自動化機器人攻擊與 spammers 侵擾。
簡單的說,這項測驗設想只有人類才能過關。然而,史丹佛團隊發現,該系統自己的「anti-spam tool-breaker(反 spam 工具破壞器)」能消滅 captcha 的防護罩(protective cover)。
研究者 Elie Bursztein(史丹佛安全實驗室的博士後研究者)、Matthieu Martin 與 John C. Mitchell 能夠破解這些驗證碼。在他們的研究中,他們提到,網站擁有者應該仔細檢視他們的 captchas:
"一如我們在深入研究後證實,許多熱門網站仍依賴易受自動化攻擊而損害的方案(scheme)。例如,我們自動化的 Decaptcha 工具(解 captchas 的工具)約有 25% 的機會能突破 Wikipedia 的方案。 15 種目前最廣泛使用的方案中有 13 種都招架不住我們工具的自動化攻擊。因此,一套完善的設計與測試原則的需求無疑很明顯,那將會導致更強健的 captchas。 "
史丹佛自動化工具,Decaptcha,涉及移除影像背景雜訊並將文字字串拆解成單一字元,使辨識更容易。該工具在選出來的網站上執行過。Visa 的 Authorize.net 付款閘道,有 66% 的時間被擊潰。eBay 的 captcha 則有 43% 的時間遭到規避。Wikipedia、 Digg 與 CNN 所紀錄到的挫敗率較低。
Google 與 reCAPTCHA 是戰勝史丹佛團隊自動化工具的唯二,沒有任何一家被逮到。
有趣的是,reCAPTCHA 也自有其在卡內基美隆的根源,而且它被當成 captcha 的進階版來開發。 reCAPTCHA 計畫透過隨機的撓曲與線條尋求更進一步的防護性變形,那東西可被人類解讀,但更加困難。在 2009 年,Google 買下 reCAPTCHA。
至於其他使用 captcha 的網站,這三位研究者在他們的論文中建議各種方式,使得 captcha 更難以被智取。史丹佛團隊上個月在芝加哥舉行的 CCS 2011(ACM 的電腦與通訊安全研究會)中為他們的研究成果進行簡報。
還有什麼八卦?Visa 的 Authorize.net 與 Digg 在這些測試之後,已經轉換到 reCAPTCHA 了。
※ 相關資訊請參見下列 PDF 檔:
http://cdn.ly.tl/publications/text-based-captcha-strengths-and-weaknesses.pdf
* HTML 化的 Captcha 驗證
* 貓或狗? 愚弄 Spammers 的新測試
* 學習分享的機器人,驗證漢彌爾頓規則(含影片)
* John McCarthy, RIP
2 則留言:
其實根本沒有完全安全的方法,這裡 就有透過人海戰術破 captcha 的方法了。
研究人員破解動態影像CAPTCHA機制
http://www.ithome.com.tw/itadm/article.php?c=72285
文/沈經 2012-02-22 iThome online
NuCaptcha是影片式CAPTCHA的技術中,第一個被廣泛部署的解決方案。NuCaptcha宣稱,這種驗證碼系統破解難度高於其他競爭廠商,不過美國史丹佛大學博士已找到了破解的方法。
美國史丹佛大學博士Elie Bursztein帶領的團隊開發出一套方法,可以破解NuCaptcha的動態影像CAPTCHA機制,而且成功率高於9成。
CAPTCHA為Completely Automated Public Turing test to tell Computers and Humans Apart的縮寫,這是一套以自動產生的圖文測驗機制來分辨使用者是人類還是機器的安全系統,目前廣泛使用於全球的網站上,用以過濾機器人登錄或留言,主要功用在於防止大量的垃圾訊息或機器人帳號。
NuCaptcha則是以影片式CAPTCHA的技術中,第一個被廣泛部署的解決方案。NuCaptcha宣稱,這種驗證碼系統破解難度高於其他競爭廠商,而且平均98%的使用者第一次就可以輸入正確,但競爭廠商的比率只有在75%。
Elie Bursztein與同事先前已經使用特殊的演算法開發一套破一般解圖像驗證碼的工具Decaptcha。他認為破解動態影像驗證碼因為必須追蹤動態影像中驗證碼部分圖框而增高難度,但也因為動態影像可以取得多張圖框,因此可增加辨識的正確度。
該研究團隊首先將動態影像擷取成數張靜態圖片,然後消除背景並轉為單色圖片,再開始辨識文字的框架並找出驗證碼的框架範圍,最後利用能自我學習的演算法算出驗證碼。
研究團隊在去年11月就通知NuCaptcha該研究計畫,NuCaptcha在取得研究報告後也調整動態影像驗證碼系統,提供一個字母更扭曲、間隔更壅塞的版本。Elie Bursztein尚未針對新版本進行測試,他認為這兩項調整會增加破解的難度,但仍可能被攻破。
根據NuCaptcha解釋,NuCaptcha系統不僅只有靠輸入驗證碼判斷是否為機器人,仍會參考行為分析,而且該破解方法只能鎖定單一型態的驗證碼系統。(編譯/沈經)
張貼留言