Berta Sándor
Nem biztonságos az audio-CAPTCHA
A Stanford Egyetem, a Tulane Egyetem és a francia Institut national de recherche en informatique et automatique (INRIA) kutatói egy olyan rendszert fejlesztettek ki, amelynek segítségével feltörhetők az úgynevezett audio-CAPTCHA-k.
A CAPTCHA-k (Completely Automated Public Turing Test to Tell Computers and Humans Apart) mára szinte minden regisztrációt igénylő weboldalon megtalálhatók. Feladatuk annak ellenőrzése, hogy a vonal másik végén tényleg egy ember ül-e, vagy egy ügyes program. A megoldásnak nem csak olyan változata létezik, ahol egy képen szereplő betüket kell megerősítésként begépelni, hanem hangos verziója is, amelynél a különböző betűket és számokat egy audioüzenetben rejtik el.
A rendszer kattintásra elindít egy felvételt, amibe a gépi felismerés megnehezítésére zajokat, zörejeket kevernek bele. Mindez egy jó védelmi mechanizmusnak tűnik és éppen ezért számos szolgáltatás (eBay, Yahoo, Digg, Authorize.net, Live,.com) üzemeltetői használják. Ám most kiderült, hogy a megoldás közel sem annyira feltörhetetlen, mint azt korábban gondolták. Az automatikus gépi felismerés megzavarására hivatott zajok és zörejek ugyanis nem jelentenek olyan komoly akadályt.
Az amerikai és francia szakemberek által kifejlesztett Decaptcha nevű program képes volt felismerni és elkülöníteni a többi tartalomtól a betűket és a számokat, így megfejteni a feladványként megadott szót vagy fogalmat. A Decaptcha felismerési hatékonysága már most átlagosan 50 százalékos, de volt olyan honlap, ahol a hatékonysága csak 41, míg volt, ahol 89 százalékos volt.
A kutatók különböző eljárásokat és algoritmusokat használtak. Ezeket részletesen leírták a most megjelentetett The Failure of Noise-Based Non-Continuous Audio Captchas című dokumentumban. Érdekesség, hogy a Decaptcha mindössze egyetlen rendszert nem tudott feltörni, ez pedig a Google által alkalmazott reCAPTCHA volt, ami teljesen összezavarta a szoftvert. A szakemberek azt javasolták az audio-CAPTCHA megoldásokat kínáló cégeknek, hogy haladéktalanul folytassák a kutatásaikat és fejlesszék tovább a rendszereket. Elengedhetetlen ugyanis, hogy az eljárásokat még biztonságosabbá tegyék, különben az egész nem ér semmit, csak a felhasználók regisztrációjának megnehezítésére alkalmas.
A CAPTCHA-k (Completely Automated Public Turing Test to Tell Computers and Humans Apart) mára szinte minden regisztrációt igénylő weboldalon megtalálhatók. Feladatuk annak ellenőrzése, hogy a vonal másik végén tényleg egy ember ül-e, vagy egy ügyes program. A megoldásnak nem csak olyan változata létezik, ahol egy képen szereplő betüket kell megerősítésként begépelni, hanem hangos verziója is, amelynél a különböző betűket és számokat egy audioüzenetben rejtik el.
A rendszer kattintásra elindít egy felvételt, amibe a gépi felismerés megnehezítésére zajokat, zörejeket kevernek bele. Mindez egy jó védelmi mechanizmusnak tűnik és éppen ezért számos szolgáltatás (eBay, Yahoo, Digg, Authorize.net, Live,.com) üzemeltetői használják. Ám most kiderült, hogy a megoldás közel sem annyira feltörhetetlen, mint azt korábban gondolták. Az automatikus gépi felismerés megzavarására hivatott zajok és zörejek ugyanis nem jelentenek olyan komoly akadályt.
Az amerikai és francia szakemberek által kifejlesztett Decaptcha nevű program képes volt felismerni és elkülöníteni a többi tartalomtól a betűket és a számokat, így megfejteni a feladványként megadott szót vagy fogalmat. A Decaptcha felismerési hatékonysága már most átlagosan 50 százalékos, de volt olyan honlap, ahol a hatékonysága csak 41, míg volt, ahol 89 százalékos volt.
A kutatók különböző eljárásokat és algoritmusokat használtak. Ezeket részletesen leírták a most megjelentetett The Failure of Noise-Based Non-Continuous Audio Captchas című dokumentumban. Érdekesség, hogy a Decaptcha mindössze egyetlen rendszert nem tudott feltörni, ez pedig a Google által alkalmazott reCAPTCHA volt, ami teljesen összezavarta a szoftvert. A szakemberek azt javasolták az audio-CAPTCHA megoldásokat kínáló cégeknek, hogy haladéktalanul folytassák a kutatásaikat és fejlesszék tovább a rendszereket. Elengedhetetlen ugyanis, hogy az eljárásokat még biztonságosabbá tegyék, különben az egész nem ér semmit, csak a felhasználók regisztrációjának megnehezítésére alkalmas.