Ho ricercato e trovato i seguenti siti che interromperanno i captcha:
(collegamenti non inclusi per impedire la promozione dei siti)
Dato che questi servizi possono essere utilizzati per rompere i captcha, qual è il vantaggio nell'uso dei captcha, specialmente perché possono avere un impatto sugli utenti umani?
"dato che ci sono fabbri, qual è il punto di chiudere la porta?"
Solo perché qualcosa ha dei limiti non significa che sia inutile. Questi servizi costano denaro, forse più denaro di quanto valga un account registrato automaticamente. Esistono anche classi di aggressori che non hanno accesso a quel tipo di servizi. InfoSec è spesso un gioco di numeri, e capthas è un modo economico (non perfetto) per dare numeri più grandi ai bravi ragazzi.
Le tue fonti collegate sembrano servizi captcha pay-to-solve. Questi certamente rendono i captcha meno efficaci, ma certamente non li rendono inutili.
Vediamo i numeri, dato che si tratta di un gioco di numeri.
Recentemente, la mia azienda ha avuto un problema di forza bruta in cui uno dei nostri portali Web è stato brutalmente forzato: avrebbero provato a turno ogni utente a loro conoscenza, provando 3 password, quindi passando all'utente successivo. Avevano una media di circa 2000 tentativi al secondo. Abbiamo risolto questo problema inserendo un portale captcha davanti alla pagina di accesso.
Ciascuna fonte collegata cita un tempo di risoluzione di ~ 7 secondi per ogni captcha e cita $ 0,50 per 1000 immagine.
Quindi, per eseguire lo stesso attacco contro il mio server, ci vorrebbero due colpi di efficacia significativi -
In primo luogo, risolvono 2000 tentativi in 7 secondi, invece che in 1 secondo. Questo è, ovviamente, solo 1/7 come un tasso veloce. Gli occorreranno 7 volte più a lungo per trovare una password funzionante. Questo non è astronomicamente alto, e se fosse gratuito, potrebbe valerne la pena comunque.
Secondo, pagherebbero 1 dollaro ogni sette secondi di tempo di attacco (0,5 per 1000 captcha, 2000 risolti ogni sette secondi - $ 1 per sette secondi). Se stanno facendo questo attacco per un giorno, sono fuori ~ 12000 dollari. (60 * 60 * 24/7)
L'obiettivo principale dei conti forza bruta come questo è rubare informazioni da vendere o utilizzare negli attacchi successivi. Il ritorno sui conti che ottengono in un giorno non sarà quasi mai uguale a $ 12000. L'attacco diventa economicamente redditizio a meno che tu non stia attaccando qualcosa di molto molto importante.
L'idea di un captcha è trovare un compito difficile da fare per una macchina, ma facile da fare per un umano. Questo è fondamentale per difendere un'azione che solo un umano dovrebbe eseguire.
L'idea non è necessariamente quella di fermare tutti i bot, ma di rallentare i bot, rendendo più costoso l'attacco al sito in almeno uno dei seguenti modi:
Se i robot hanno un tasso di errore umano superiore, questo può essere usato per rilevarli e ulteriori difese possono essere utilizzate a quel punto.
I servizi di interruzione di Captcha funzionano con uno dei seguenti metodi:
Cercando di scrivere un algoritmo per completare le sfide
Per alcuni captcha più vecchi questo può essere possibile, ma per molti più recenti questo richiederebbe scoperte in aree di ricerca per farlo con ragionevole accuratezza.
Cercando di rompere le difese del captcha
Funziona contro alcuni captcha mal implementati, ma è relativamente raro rispetto ad altri attacchi.
Usare gli umani per rompere il captcha
Questo aggiunge un costo, il che significa che anche se possono ancora essere infranti, il costo per azione è di ordini di grandezza più alti di quelli senza un captcha sul posto.
Leggi altre domande sui tag captcha web-service