Onderzoekers kraken Microsoft CAPTCHA in milliseconden
Onderzoekers van de Universiteit van Newcastle hebben vorig jaar de CAPTCHA van Microsoft in recordtijd weten te kraken, het onderzoek is echter nu pas bekendgemaakt. Jeff Yan en Ahmad Salah El Ahmad wisten met een 1.86 GHz Intel Core 2 processor en 2 GB geheugen de CAPTCHA van Microsoft's Hotmail, MSN en Windows Live diensten in 80 milliseconden op te lossen. Volgens de onderzoekers is het de eerste keer dat een professioneel ontworpen CAPTCHA zo eenvoudig werd gekraakt.
Dankzij eenvoudige grafische berekeningen gebaseerd op eigenschappen van de CAPTCHA, zoals contrast, aantal pixels, kleur, vorm en locatie, wisten de onderzoekers de puzzel laagje voor laagje af te breken, totdat het script met een 92% zekerheid het antwoord weet. "Ons onderzoek laat zien dat deze CAPTCHA alleen een vals gevoel van veiligheid geeft."
Het ontwerpen van een robuuste CAPTCHA die ook bruikbaar is, is veel moeilijker dan het lijkt. "Kennis over dit onderwerp staat nog steeds in de kinderschoenen." Daarnaast bestaan er bijna geen methoden en tools voor het evalueren en testen van CAPTCHA ontwerpen. "Onze ervaring suggereert dat CAPTCHA hetzelfde evolutionaire proces doormaakt als cryptografie en digitale watermerken, waarbij succesvolle aanvallen leiden tot de ontwikkeling van meer robuuste systemen." Het onderzoek is nu pas gepubliceerd om Microsoft de tijd te geven het probleem op te lossen.
inbreken. Vals gevoel van veiligheid! Ik bedoel maar: wat is
dit nu voor flauwekul?
and Humans Apart) blijft zijn functionaliteit dus behouden,
alleen werkt het nu omgekeerd. Als je een CAPTCHA in een
keer foutloos kan oplossen ben je duidelijk geen mens en
moet de toegang geweigerd worden.
Lijkt er toch op dat de ontwerpers het artikel van Alan Turing:
http://loebner.net/Prizef/TuringArticle.html
eens opnieuw moeten gaan lezen als ze opzoek gaan naar een
vervanger voor de CAPTCHA.
Je kan natuurlijk ook bij deze onderzoekers zelf eens
inbreken. Vals gevoel van veiligheid! Ik bedoel maar: wat is
dit nu voor flauwekul?
kunnen kraken?
Leuk.
Als MS er nu een streepje meer of minder, dikker of dunner inzet dan werkt het
opeens niet meer...
gevoel van veiligheid geeft."
Hmm... hoe lang zou het nog duren voordat
http://www.security.nl dit door heeft?
richting, de Turing Test is een erg ingewikkeld proces om te
automatiseren. Reagerend op e.r., mocht er gebruik gemaakt
worden van lerende algoritmen (bijvoorbeeld neurale
netwerken) dan blijft het algoritme zoeken naar nieuwe
mogelijkheden om toch het juiste antwoord te vinden. Komt
een hoop wiskunde bij kijken, maar het kan...
In de toekomst is het misschien veel beter mogelijk om een
vraagstuk op te stellen in plaats van het lezen van een
tekst in een plaatje. Mensen die slechter kunnen lezen dan
de gemiddelde persoon kan dan dus geen gebruik maken van
allerlei services die in deze tijd worden aangeboden. Ik ben
van mening dat in de toekomst veel slimmere concepten zullen
moeten worden uitgedacht dan CAPTCHA.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
