Se sappiamo che CAPTCHA può essere battuto, perché li stiamo ancora usando?
Un tasso di successo compreso tra il 35% e il 90% come wikipedia sta dicendo che il software è più adatto a risolvere i CAPTCHA che io sono.
I CAPTCHA sono un compromesso tra la pazienza degli aggressori e la pazienza dei normali utenti. Anche se possono essere sconfitti, servono ancora al loro scopo se rallentano sufficientemente gli attaccanti per scoraggiare almeno alcuni di loro, senza spaventare troppi potenziali utenti.
Naturalmente, come è consuetudine nell'IT, molti sistemi vengono utilizzati e implementati e adottati a causa del culto del carico . I CAPTCHA sono alla moda e questo è sufficiente per garantirne l'uso diffuso.
Tutto ( tutto ) in sicurezza è bilanciato contro i costi. Lo scopo di CAPTCHA, proprio come lo scopo della crittografia, lo scopo della sicurezza fisica, lo scopo delle password e lo scopo di virtualmente ogni altra misura di sicurezza [*] è aumentare il costo di elusione, per non rendere impossibile l'elusione.
L'intenzione è, in particolare, di aumentare il costo dell'elusione al di sopra del valore dell'elusione. Un buon esempio di un'applicazione efficace è il captcha nei commenti del blog. Se i commenti possono essere pubblicati da processi automatizzati a basso costo, lo spam è inevitabile; il valore dei commenti spam supera il costo quasi trascurabile. Ma l'introduzione di un passo CAPTCHA aumenta drasticamente il costo in entrambe le risorse del computer e (soprattutto) la disponibilità del software a tal punto che il tentativo di risolvere questo problema non ha senso finanziario per l'aggressore.
Di conseguenza, i CAPTCHA, nonostante il loro approccio relativamente poco sofisticato, in genere eliminano quasi il 100% dello spam dei blog per la maggior parte dei siti.
-
[*] - Tranne le chiavi simmetriche a 256 bit. È semplice e semplice impossibile alla forza bruta a qualsiasi prezzo dati gli attuali limiti della termodinamica.
I CAPTCHAS vengono spesso utilizzati da siti che non richiedono un account (nome utente, password). Il contenuto può quindi essere banalmente copiato e utilizzato da un altro sito. Un CAPTCHAS è l'equivalente di un deadbolt. Manda il ladro a casa del vicino invece del tuo, perché il tuo è un po 'più difficile da penetrare.
Leggi altre domande sui tag captcha