Quali vantaggi offre il Captcha?

4

Ho ricercato e trovato i seguenti siti che interromperanno i captcha:

  • anticpatcha
  • 2captcha

(collegamenti non inclusi per impedire la promozione dei siti)

Dato che questi servizi possono essere utilizzati per rompere i captcha, qual è il vantaggio nell'uso dei captcha, specialmente perché possono avere un impatto sugli utenti umani?

    
posta Alex 30.09.2018 - 12:33
fonte

3 risposte

5

"dato che ci sono fabbri, qual è il punto di chiudere la porta?"

Solo perché qualcosa ha dei limiti non significa che sia inutile. Questi servizi costano denaro, forse più denaro di quanto valga un account registrato automaticamente. Esistono anche classi di aggressori che non hanno accesso a quel tipo di servizi. InfoSec è spesso un gioco di numeri, e capthas è un modo economico (non perfetto) per dare numeri più grandi ai bravi ragazzi.

    
risposta data 02.10.2018 - 18:03
fonte
5

Le tue fonti collegate sembrano servizi captcha pay-to-solve. Questi certamente rendono i captcha meno efficaci, ma certamente non li rendono inutili.

Vediamo i numeri, dato che si tratta di un gioco di numeri.

Recentemente, la mia azienda ha avuto un problema di forza bruta in cui uno dei nostri portali Web è stato brutalmente forzato: avrebbero provato a turno ogni utente a loro conoscenza, provando 3 password, quindi passando all'utente successivo. Avevano una media di circa 2000 tentativi al secondo. Abbiamo risolto questo problema inserendo un portale captcha davanti alla pagina di accesso.

Ciascuna fonte collegata cita un tempo di risoluzione di ~ 7 secondi per ogni captcha e cita $ 0,50 per 1000 immagine.

Quindi, per eseguire lo stesso attacco contro il mio server, ci vorrebbero due colpi di efficacia significativi -

In primo luogo, risolvono 2000 tentativi in 7 secondi, invece che in 1 secondo. Questo è, ovviamente, solo 1/7 come un tasso veloce. Gli occorreranno 7 volte più a lungo per trovare una password funzionante. Questo non è astronomicamente alto, e se fosse gratuito, potrebbe valerne la pena comunque.

Secondo, pagherebbero 1 dollaro ogni sette secondi di tempo di attacco (0,5 per 1000 captcha, 2000 risolti ogni sette secondi - $ 1 per sette secondi). Se stanno facendo questo attacco per un giorno, sono fuori ~ 12000 dollari. (60 * 60 * 24/7)

L'obiettivo principale dei conti forza bruta come questo è rubare informazioni da vendere o utilizzare negli attacchi successivi. Il ritorno sui conti che ottengono in un giorno non sarà quasi mai uguale a $ 12000. L'attacco diventa economicamente redditizio a meno che tu non stia attaccando qualcosa di molto molto importante.

    
risposta data 02.10.2018 - 22:30
fonte
2

Funzionamento dei captcha

L'idea di un captcha è trovare un compito difficile da fare per una macchina, ma facile da fare per un umano. Questo è fondamentale per difendere un'azione che solo un umano dovrebbe eseguire.

L'idea non è necessariamente quella di fermare tutti i bot, ma di rallentare i bot, rendendo più costoso l'attacco al sito in almeno uno dei seguenti modi:

  • Potenza di calcolo
  • Prezzo
  • Ora

Se i robot hanno un tasso di errore umano superiore, questo può essere usato per rilevarli e ulteriori difese possono essere utilizzate a quel punto.

Tipi di captcha

  • Chiedere 1 di un pool di domande
    • Questo è facile per un umano, ma può essere facile per un sistema che utilizza anche l'elaborazione del linguaggio naturale
  • Leggere il testo di base
    • Questo è relativamente facile, il riconoscimento ottico dei materiali è relativamente semplice rispetto ad altre sfide
  • Leggere il testo modificato
    • Questo rende la lettura più difficile per le macchine, ma anche per gli umani, e alcune ricerche hanno macchine che ottengono tassi di risoluzione più elevati rispetto agli umani.
  • Leggere le foto
    • Questo può essere difficile, ma ci sono algoritmi che possono farlo
  • Identificazione degli oggetti nelle foto
  • Azioni umane
    • "Osservando" come l'utente sposta il mouse, i tipi sulla tastiera o vari altri fattori, può ricevere un punteggio di quanto è probabile che si tratti di un bot

Servizi di interruzione captcha

I servizi di interruzione di Captcha funzionano con uno dei seguenti metodi:

  • Cercando di scrivere un algoritmo per completare le sfide

    Per alcuni captcha più vecchi questo può essere possibile, ma per molti più recenti questo richiederebbe scoperte in aree di ricerca per farlo con ragionevole accuratezza.

  • Cercando di rompere le difese del captcha

    Funziona contro alcuni captcha mal implementati, ma è relativamente raro rispetto ad altri attacchi.

  • Usare gli umani per rompere il captcha

    Questo aggiunge un costo, il che significa che anche se possono ancora essere infranti, il costo per azione è di ordini di grandezza più alti di quelli senza un captcha sul posto.

risposta data 30.09.2018 - 13:04
fonte

Leggi altre domande sui tag