Simulierter CAPTCHA-Löser beweist, dass diese Web-Sicherheitsfunktion bald unzuverlässig sein wird.

Ein automatisierter CAPTCHA-Löser, der von einem Team britischer und chinesischer Computeringenieure entwickelt wurde, beweist, dass dieses weit verbreitete Sicherheitsmerkmal beim Schutz von Websites möglicherweise nicht mehr effizient wird.

Der neue Algorithmus basiert auf maschinellen Lern- und Tiefenlernmethoden, die anspruchsvolle CAPTCHA-Codes knacken können.

Informatiker der Lancaster University in Großbritannien sowie der Northwest University und der Peking University in China arbeiteten an der Entwicklung des Solvers. Während des simulierten Angriffs decodierten sie erfolgreich CAPTCHAs, die andere Löser in der Vergangenheit nicht dekodiert hatten.

Near-Human-Fähigkeiten
Textbasierte CAPTCHAs erfordern von Menschen, dass sie eine Kombination aus durcheinander gewürfelten Buchstaben und Zahlen entschlüsseln und präzise eingeben. Eine Technik namens Generative Adversarial Network (GAN) kann diese Anforderung umgehen und das CAPTCHA-Problem innerhalb von 0,05 Sekunden mit einem Desktop-Computer lösen.

„Dies ist das erste Mal, dass ein GAN-basierter Ansatz zur Konstruktion von Solvern verwendet wird. Unsere Arbeit zeigt, dass die Sicherheitsmerkmale, die von den aktuellen textbasierten CAPTCHA-Schemata verwendet werden, besonders anfällig für Deep-Learning-Methoden sind“, sagt Zheng Wang, Co-Autor der Forschung und Senior-Dozent an der School of Computing and Communications der Lancaster University.

Die Fähigkeit von GAN, CAPTCHA-Schemata schnell zu lösen, würde bedeuten, dass sich viele Websites nicht auf dieses Sicherheitsmerkmal zum Schutz vor zukünftigen Malware- und Phishing-Angriffen verlassen können. Hauptautor Guixin Ye sagte, dass Cyberkriminelle einen Denial-of-Service-Angriff durchführen oder Spam-Nachrichten senden können, um persönliche Daten zu stehlen oder Benutzeridentitäten anzunehmen.

Forscher empfehlen Website-Besitzern, alternative mehrschichtige Sicherheitslösungen wie Gerätepositionierung, Biometrie und Analyse von Benutzer-Webaktivitäten einzusetzen. Ye fügte hinzu, dass mit dem Erfolg ihres simulierten Angriffs, Websites sollten erwägen, die Verwendung von CAPTCHAs aufzugeben.

Google reCAPTCHA Version 3
Google hat einen Weg gefunden, um Bots davon abzuhalten, CAPTCHAs zu dekodieren und den Webverkehr zu missbrauchen. Anstelle von textbasierten CAPTCHAs können Benutzer durch einfaches Anklicken eines Kontrollkästchens automatisch nachweisen, dass sie kein Bot sind. Die Analyse erfolgt im Hintergrund, indem das Online-Verhalten des Besuchers überprüft wird, bevor der Besuch als betrügerisch oder nicht betrügerisch markiert wird.

„Jetzt mit reCAPTCHA v3 ändern wir grundlegend, wie Websites auf menschliche vs. Bot-Aktivitäten testen können, indem wir eine Punktzahl zurückgeben, um Ihnen zu sagen, wie verdächtig eine Interaktion ist, und die Notwendigkeit beseitigen, Benutzer mit Herausforderungen überhaupt zu unterbrechen“, sagte Google in einer offiziellen Pressemitteilung.

Verdächtige Aktivitäten werden anhand eines Scores gemessen, von dem die Benutzer auf drei Arten profitieren können. Erstens kann je nach Sicherheitseinstellung eine Zwei-Faktor-Authentifizierung oder eine Telefonverifizierung eingesetzt werden. Zweitens können die Ergebnisse mit eigenen Benutzermetriken kombiniert werden, um zu entscheiden, ob eine Aktivität bösartig ist oder nicht. Schließlich schult reCAPTCHA die Website, in Zukunft ähnliche Aktivitäten zu filtern, um Angriffe oder Missbrauch automatisch zu verhindern.

Teilen Ist Liebe! ❤❤❤ 17 shares ❤❤❤

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

shares