Berta Sándor

Nem biztonságos az audio-CAPTCHA

A Stanford Egyetem, a Tulane Egyetem és a francia Institut national de recherche en informatique et automatique (INRIA) kutatói egy olyan rendszert fejlesztettek ki, amelynek segítségével feltörhetők az úgynevezett audio-CAPTCHA-k.

A CAPTCHA-k (Completely Automated Public Turing Test to Tell Computers and Humans Apart) mára szinte minden regisztrációt igénylő weboldalon megtalálhatók. Feladatuk annak ellenőrzése, hogy a vonal másik végén tényleg egy ember ül-e, vagy egy ügyes program. A megoldásnak nem csak olyan változata létezik, ahol egy képen szereplő betüket kell megerősítésként begépelni, hanem hangos verziója is, amelynél a különböző betűket és számokat egy audioüzenetben rejtik el.

A rendszer kattintásra elindít egy felvételt, amibe a gépi felismerés megnehezítésére zajokat, zörejeket kevernek bele. Mindez egy jó védelmi mechanizmusnak tűnik és éppen ezért számos szolgáltatás (eBay, Yahoo, Digg, Authorize.net, Live,.com) üzemeltetői használják. Ám most kiderült, hogy a megoldás közel sem annyira feltörhetetlen, mint azt korábban gondolták. Az automatikus gépi felismerés megzavarására hivatott zajok és zörejek ugyanis nem jelentenek olyan komoly akadályt.


Az amerikai és francia szakemberek által kifejlesztett Decaptcha nevű program képes volt felismerni és elkülöníteni a többi tartalomtól a betűket és a számokat, így megfejteni a feladványként megadott szót vagy fogalmat. A Decaptcha felismerési hatékonysága már most átlagosan 50 százalékos, de volt olyan honlap, ahol a hatékonysága csak 41, míg volt, ahol 89 százalékos volt.

A kutatók különböző eljárásokat és algoritmusokat használtak. Ezeket részletesen leírták a most megjelentetett The Failure of Noise-Based Non-Continuous Audio Captchas című dokumentumban. Érdekesség, hogy a Decaptcha mindössze egyetlen rendszert nem tudott feltörni, ez pedig a Google által alkalmazott reCAPTCHA volt, ami teljesen összezavarta a szoftvert. A szakemberek azt javasolták az audio-CAPTCHA megoldásokat kínáló cégeknek, hogy haladéktalanul folytassák a kutatásaikat és fejlesszék tovább a rendszereket. Elengedhetetlen ugyanis, hogy az eljárásokat még biztonságosabbá tegyék, különben az egész nem ér semmit, csak a felhasználók regisztrációjának megnehezítésére alkalmas.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • hdo #4
    Ez mindig is így volt. Nem azért kell jobb szebb okosabb biztonságosabb mert alapból igény van rá, hanem mert megteremtik rá az ilyen balfaszok az igényt.
  • netperformer #3
    Te jó ég... a kígyó nyeli a saját farkát. Ezt a szerencsétlenkedést... Ezt annó azért találták ki, mert egyesek tele spamelték a rendszert. A jelenlegi CAPTCHA eljárások teljesen biztonságosak lennének, ha egyetemek nem fecsérelnék arra az idejüket, hogy azok feltörésével foglalkozzanak. Ugyanis fontos helyeken regisztráció sincs, nem hogy CAPTCHA vacakolás. Ahol meg van CAPTCHA, ott nem éri meg feltörő eljárásokat fejleszteni, tehát a megoldás az lenne, hogy hagyjanak fel a további vizsgálatokkal. Mert ugye ha elkészítik kutatás gyanánt a feltörő algoritmusokat, azt a készítők szépen haza viszik és addig játszadoznak vele, ameddig nem lesz szükség egy újabbra, és akkor megint van mit kutatniuk. Pont mint amikor a vírusírtó fejlesztők kezdenek el vírust fejleszteni. Fail.
  • pasi29uk #2
    Már rég a gépektől kell megvédenünk magunkat...
  • sanyicks #1
    Hát emberek ellen bizony biztonságos, mert amit én hallottam az mind érthetetlen volt :DD