史丹佛研究者智取 captcha 驗證碼

Stanford researchers outsmart captcha codes
http://www.physorg.com/news/2011-11-stanford-outsmart-captcha-codes.html

By Nancy Owano, November 3, 2011

(PhysOrg.com) -- 史丹佛研究者表示，captcha 安全密碼（那要求網際網路登入使用者重複一段字串以證明使用者是人類）可以被阻撓，而且他們已成功擊敗 Visa、CNN 與 eBay 等知名大站上的 captcha 以資證明。事實上，他們發現 15 個高知名度網站中就有 13 個易受自動化攻擊侵害。

Captcha 是「Completely Automated Public Turing Test to tell Computers and Humans Apart」的縮寫。這是卡內基美隆大學電腦科學畢業生及其指導者在 2000 年所創造出來的一項測試，可保護網站不受自動化機器人攻擊與 spammers 侵擾。

簡單的說，這項測驗設想只有人類才能過關。然而，史丹佛團隊發現，該系統自己的「anti-spam tool-breaker（反 spam 工具破壞器）」能消滅 captcha 的防護罩（protective cover）。

研究者 Elie Bursztein（史丹佛安全實驗室的博士後研究者）、Matthieu Martin 與 John C. Mitchell 能夠破解這些驗證碼。在他們的研究中，他們提到，網站擁有者應該仔細檢視他們的 captchas：

"一如我們在深入研究後證實，許多熱門網站仍依賴易受自動化攻擊而損害的方案（scheme）。例如，我們自動化的 Decaptcha 工具（解 captchas 的工具）約有 25% 的機會能突破 Wikipedia 的方案。 15 種目前最廣泛使用的方案中有 13 種都招架不住我們工具的自動化攻擊。因此，一套完善的設計與測試原則的需求無疑很明顯，那將會導致更強健的 captchas。 "

史丹佛自動化工具，Decaptcha，涉及移除影像背景雜訊並將文字字串拆解成單一字元，使辨識更容易。該工具在選出來的網站上執行過。Visa 的 Authorize.net 付款閘道，有 66% 的時間被擊潰。eBay 的 captcha 則有 43% 的時間遭到規避。Wikipedia、 Digg 與 CNN 所紀錄到的挫敗率較低。

Google 與 reCAPTCHA 是戰勝史丹佛團隊自動化工具的唯二，沒有任何一家被逮到。

有趣的是，reCAPTCHA 也自有其在卡內基美隆的根源，而且它被當成 captcha 的進階版來開發。 reCAPTCHA 計畫透過隨機的撓曲與線條尋求更進一步的防護性變形，那東西可被人類解讀，但更加困難。在 2009 年，Google 買下 reCAPTCHA。

至於其他使用 captcha 的網站，這三位研究者在他們的論文中建議各種方式，使得 captcha 更難以被智取。史丹佛團隊上個月在芝加哥舉行的  CCS 2011（ACM 的電腦與通訊安全研究會）中為他們的研究成果進行簡報。

還有什麼八卦？Visa 的 Authorize.net 與 Digg 在這些測試之後，已經轉換到 reCAPTCHA 了。

※ 相關資訊請參見下列 PDF 檔：
http://cdn.ly.tl/publications/text-based-captcha-strengths-and-weaknesses.pdf

＊ HTML 化的 Captcha 驗證
＊ 貓或狗？ 愚弄 Spammers 的新測試
＊ 學習分享的機器人，驗證漢彌爾頓規則（含影片）
＊ John McCarthy, RIP