Qual è il sistema CAPTCHA più sicuro? [chiuso]

Il più sicuro è molto soggettivo. Anche il sistema Captcha di Google è noto per essere infranto su ocassion, un esempio fuori da molti. Tratta Captcha come un dosso di velocità per dissuadere le persone dal fare un sacco di sforzi per romperlo. Le caselle di controllo se il tuo speed bump è abbastanza buono sono ... mantenute da una compagnia fidata, regolarmente aggiornate ed è utilizzabile. So che hai detto di ignorare l'usabilità, ma il fattore umano non può essere ignorato.

Metto in discussione la tua premessa. Un sito correttamente implementato dovrebbe essere reso sicuro senza un captcha. Una volta raggiunto il livello appropriato di sicurezza necessario, l'aggiunta di un captcha dovrebbe essere considerata solo come una comodità per impedire ai robot di inviare moduli o intraprendere determinate azioni. In altre parole, se un robot esegue l'azione, o una persona lo fa, non dovrebbe fare alcuna differenza per quanto riguarda la sicurezza. Ad esempio, se sei preoccupato che un bot tenti di forzare brutemente le credenziali di accesso di un utente, dovresti bloccare questi tentativi a livello del firewall e / o bloccare l'account per un certo periodo di tempo dopo il numero X di tentativi. Questo è il motivo per cui raramente vedi i captcha su una schermata di accesso.

Il valore dell'utilizzo di Captcha è quando gli utenti non autenticati possono eseguire azioni che scrivono dati da qualche parte, oppure quando offri uno strumento gratuito che non vuoi abusare. Esempi potrebbero essere la pubblicazione di commenti anonimi, la registrazione di un account gratuito, l'invio di un messaggio anonimo, l'interrogazione di un set gratuito di dati, ecc. La ragione per usare Captcha in questi scenari è rendere più facile per gli amministratori guadare attraverso la "spazzatura" "e previeni l'abuso dei tuoi sistemi, ma in generale la spazzatura o l'abuso di per sé non dovrebbero causare problemi di sicurezza.

La sicurezza delle informazioni riguarda l'analisi del rischio.

Parte di questa comprensione è che nessun sistema è sicuro ovunque, sempre. Lo stesso vale per i sistemi CAPTCHA.

I sistemi CAPTCHA sono progettati per deter (non stop) script / bot automatizzati. Come hai menzionato con l'intelligenza artificiale, sta diventando molto più difficile trovare modi per sfidare gli utenti a determinare se sono robot o esseri umani reali.

Mi è stato detto che il modo migliore è utilizzare un sistema di corrispondenza delle immagini e personalizzarlo. Per esempio, se dovessi avere un sito sul videogioco Half Life 2, potrei desiderare di scegliere le immagini che si riferiscono ad esso e vedere se un utente può correttamente scegliere tutte le immagini che includono Alyx (un personaggio del gioco). Questo fa due cose:

• L'attacco deve essere progettato specificamente per il sito (a causa delle immagini uniche)
• Uno sviluppatore deve affrontare il modo di scegliere in modo affidabile non solo 1 immagine, ma tutte.

L'altra area di interesse sono quegli utenti umani che hanno disabilità come problemi alla vista che non possono differenziare colori simili, usare screen reader, ecc.

I sistemi CAPTCHA devono essere costantemente aggiornati, man mano che la tecnologia migliora. In che misura bilanciare l'accessibilità e la sicurezza è un fattore importante. Alcuni sistemi sono molto più sicuri di altri, ma impediscono agli utenti umani di accedere ai sistemi.