Googles reCAPTCHA lässt sich mit Googles eigenen Diensten knacken

Der Suchmaschinenkonzern Google stellt selbst Services bereit, mit denen es möglich ist, eines seiner am weitesten verbreiteten CAPTCHA-Systeme auszuhebeln. Einem Sicherheitsforscher ist es so gelungen, das Verfahren mit einem relativ trivialen ... mehr... Logo, Captcha, Recaptcha, Captchas, Wörtererkennung Bildquelle: Recaptcha Logo, Captcha, Recaptcha, Captchas, Wörtererkennung Logo, Captcha, Recaptcha, Captchas, Wörtererkennung Recaptcha

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich würde das Skript gerne haben, ich hasse diese Captchas..
 
@Schneegestöber: also in den meisten fällen komme ich durch ansonsten ist es meist relativ einfach.

is mir lieber als die alten textcaptchas die keiner lesen konnte.
 
@Schneegestöber: Captchas sind inzwischen ein völlig untauglicher Weg. Ironisch wird daher oft gesagt: "Wer ein Captcha lösen kann, muss ein Bot sein." Rechner sind inzwischen so gut, dass sie Captchas besser lösen können als Menschen. Ein schon recht alter Artikel dazu: http://www.spiegel.de/netzwelt/web/google-knackt-den-captcha-code-a-964955.html Heutzutage wird leider versucht Captchas immer weiter zu verbessern, damit Computer scheitern - und leider scheitern zunehmend die Menschen daran. Rechenaufgaben lösen schafft der Computer besser als Menschen, Störungen in Mustern kann er inzwischen besser rausfiltern, Bilder erkennen (Was zeigt das Bild?) schaffen Menschen immer weniger, Computer dagegen immer besser. Das Problem ist einfach, dass manche Menschen ziemlich doof sind (Fragt mal wer das große Einmaleins im Kopf kann) und noch viel mehr Menschen gar nicht doof sind, aber unterschiedlich denken (ist das ein Köder oder ein Wurm oder eine Schlange oder ein Seil). Computer können durch Rechenleistung einfach besser Wahrscheinlichkeiten errechnen als Menschen durch Verstand. Man darf nicht vergessen, dass es auch nicht darum geht ein spezielles Captcha zu knacken, sondern von ganz ganz vielen einen möglichst großen Anteil. Ein Bot soll nicht 1 Account knacken, sondern lieber von 1 Millionen Accounts 80 %. Niemand sollte mehr Captchas einsetzen!!!
 
@Nunk-Junge: Per Definition sind Captchas der absolut taugliche Weg.
Nur die Aufgaben die derzeit als solche verbreitet werden sind völlig untaugliche Captchas und verdienen den Namen nicht.
Aktuell kann ich einen Menschen der vor mir steht noch sehr gut von einer Maschine unterscheiden, der Teil "(t)cha" ((Turing) Test to tell computers and humans apart) von Captcha ist also noch locker, allerdings hast du möglicherweise recht, dass der "Ca(p)"-Teil (Completely automated (public) bis hin zur digitalen Singularität nie wieder adäquat gelöst werden wird.
 
@andy01q: Captcha ist eigentlich der falsche Weg, weil er aus Sicherheitsaspekten am falschen Ende ansetzt. Sinnvoller als zu versuchen das Ziel zu sichern, wäre es die Quelle zu sichern. Ich versuche nicht an Server klüger zu sein als der Angreifer, sondern ich versuche die Quelle sicher zu identifizieren, so dass ich weiß, dass es gar kein Angreifer ist. (Das ist vielleicht nicht die beste Erklärung.) Das ist aber der Weg, den Sicherheitsexperten als einziges zukunftsweisenden Weg sehen.
 
@Nunk-Junge: Ich bin mir nicht sicher ob ich das richtig verstehe.
Soll ich dann vor jeder Interaktion die ein Captcha benötigt mit meinem Personalausweis und ordentlich Verschlüsselung bestätigen, dass ein Public key, welcher an zentraler Stelle hinterlegt und bestätigt wurde zu mir gehört?
 
@andy01q: Vergiss das Captcha. Der Rest aber ist halbwegs das was empfohlen wird. Du hast einen vertrauenswürdigen Anbieter, sagen wir Deine Firma. Diese hat sich als vertrauenswürdig zertifiziert und stellt Dir wiederum ein Zertifikat aus, dass Du kein Bot bist. Mit diesem Zertifikat gehst Du dann zum Webserver und er lässt Dich rein. Ist deutlich vereinfacht dargestellt, aber verdeutlicht hoffentlich was gemeint ist. Als User bedeutet das für Dich einmal Aufwand am Anfang, aber dann nicht mehr so einen Kram wie Captchas. - In Zeiten wo der Turing-Test wackelt, Computer selber Musik komponieren, eigene Sprachen erfinden, selber Bilder entsprechend ihrer Stimmung malen, da ist die Entscheidung am Zielrechner was da zugreift (Mensch oder Maschine) einfach nicht mehr sinnvoll.
 
@Nunk-Junge: Klingt danach als würde das die Anonymität zerstören.
Oder kann ich dann auch Zertifikate für anonyme Fantasieidentitäten zertifizieren lassen? Eher nicht, sonst wäre ja der Botschutz weg...
Was passiert wenn einer der "vertrauenswürdigen Anbieter" gehackt wird und nun falsche Zertifikate für Botidentitäten erstellt? Werden dann alle Nutzer die ihr Zertifikat dort haben zertifizieren lassen von weiten Teilen des Internets ausgesperrt? (Der Hacker würde schlauerweise zuerst 10^x (mit großem x) falsche Zertifikaten zertifizieren lassen, dann ein paar Monate warten und dann loslegen.)
PS: Ohne das da jemand gehackt wird gab es bei CAs schon Fälle wo jemand verbotenerweise sehr viele Zertifikate ohne Prüfung erstellt hat die dann mehrfach verwarnt wurden bevor sie bei dem ein oder anderem Browser dann als nicht vertrauenswürdig eingestuft wurden.
 
@Nunk-Junge: Mit Captchas will man aber auch vermeiden, dass Webseiten-Daten in Massen automatisiert abgefischt werden. Selbst Googles pure Suchfunktion haut bei einigen schnellen Versuchen hintereinander ein Captcha raus.

Würde sich eine Firma nur einmalig authentifizieren müssen, könnte sie ja danach wieder willkürlich einen Bot zum Abfischen von Daten nutzen. Gerade das will man ja vermeiden, also muss man ab und zu Captchas raushauen. Man will ja nicht den Client als vertrauenswürdig/menschlich identizieren, sondern die Person dahinter, daher sind Zertifikate totaler Unsinn.
 
@Trashy: Nein, Captchas sind dafür auch nicht vernünftig geeignet. Da sind serverseitige Mechanismen besser, wie sie auch zum Erkennen von DDOS-Attacken benutzt werden.
 
@andy01q: Zertifikate können ganz einfach revoked werden. Der Mechanismus wird auch heute schon bei Zertifikaten angewandt und funktioniert einwandfrei. Ein Austausch von Captchas ist dagegen kompliziert.
 
@Nunk-Junge: Du meinst wenn sich die gehackte Stelle vom Hack erholt prüft sie alle Zertifikate und revoked die, die nicht echt sind?
Wenn sie die falschen Zertifikate automatisiert identifizieren können klappt das vermutlich.
Sicherlich können sie nicht 10^10 Zertifikate manuell prüfen, also bliebe im Fall dass die Zertifikate sorgfältig gefälscht wurden und nicht automatisiert erkennbar sind nur die Lösung alle Zertifikate ab einem Zeitpunkt zu revoken und dann bei den gültigen das revoken rückgängig zu machen. Mit Glück haben sie noch Daten die nicht vom Hack betroffen wurden mit denen die echten Zertifikate rekonstruiert wurden, aber selbst dann ist fraglich ob sie sich die Arbeit überhaupt machen würden.
 
@andy01q: Einspruch! Man kann sich eine Horde Inder anheuern, die 10 CAPTCHAs fuer ca. 1 Cent per API loesen. Da gibt's eine ganze Industrie fuer. Lediglich das CAPTCHA wird vom Menschen geloest, aber der Computer erhaelt trotzdem Zugriff auf das System, wo er eigentlich draussen bleiben sollte.
 
@JanKrohn: Etwas teurer sind die schon und dann ist das Ziel auch schon erreicht: DDoS und groß-massenhaftes Datenabgreifen sind zu teuer um effektiv zu sein.
 
@andy01q: Sorry, hab grad bemerkt, dass ich mich um den Faktor 10 verrechnet habe... 1 CAPTCHA kostet 1 Cent...
 
@Nunk-Junge: Genau, niemand sollte mehr Captchas einsetzen! Am besten gleich alles Unverschlüsselt übergeben Sha-1 wurde ja auch geknackt und auch auf Passwörter verzichten die können Computer mittlerweile auch knacken selbst wenn sie gehashed sind. Warum sich dann noch die Mühe machen es den Black Hats zu erschweren Systeme auszunutzen? Was ist das für ein Fazit, bitte?
 
@-=FFKangoroo=-: Quatsch! Zum Einen schmeißt Du völlig unterschiedliche Technologien zusammen und zum Anderen beutet ein schlechter Schutz nicht, dass man besser gar keinen Schutz einsetzen soll. Das ist so wie die alten Schlüssel mit Bart (Buntbartschloss). Ein Einbrecher braucht nur wenige Sekunden so ein Schloss zu Öffnen, trotzdem ist es natürlich besser als eine unverschlossene Tür. Aber es gibt bessere Schutzmöglichkeiten.
 
@Nunk-Junge: Lesen kannst du aber schon, oder? Alternativ ist Sarkasmus nicht deine stärke. Was denkst du was der letzte Satz bedeutet?
 
aber dürfte die schwere der audiochallenge nicht iirc von googles risikoanalyse betroffen sein?

ansonsten, gibts ne bessere Idee für blinde?
 
"Von Seiten Googles ist bis jetzt noch nichts passiert, um die Lücke zu schließen."

Welche Lücke? Eine Kombination von 2 Diensten hat nichts mit einer Lücke zu tun. Es ist hier auch vollkommen egal ob die Speech Recognition API die gesprochenen Worte übersetzt, denn es könnte auch jeder andere mögliche Dienst machen. Diese erdachte Lücke könnte man nur sicher schließen in dem man reCAPTCHA abschaltet, denn das vorlesen kann man nicht blocken. Irgendwie kann man es nämlich immer aufnehmen.
 
@Gispelmob: Dann sollte denen jetzt jemand (vielleicht ein Mitbewerber) 90 Tage Zeit geben, das abzuschalten, oder eine frei verfügbare Software für jedermann rausbringen, die die Dinger automatisiert löst und damit obsolet macht. ^^
 
@DON666: Lads dir einfach runter ;) https://github.com/eastee/rebreakcaptcha
 
Ach nur der Audio-Test?
Schade, in allen Fällen die mir einfallen minus den Fällen mit denen ich höchstens anderen Personen Schaden zufügen könnte, aber keinen eigenen Nutzen bekäme haben den Audio-Test deaktiviert.
 
@andy01q: Nö die normalen Bild-Captchas sind auch schon seit einem halben Jahr kaputt: https://www.youtube.com/watch?v=8iMU9HbJ7Wo
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.