1
DuD Datenschutz und Datensicherheit 7 | 2012 531 GATEWAY Hintergrund „Captcha“ ist ein Akronym für Completely Automated Public T u- ring test to tell Computers and Humans Apart – also ein öffentli- cher Turing-Test, um Menschen und Maschinen voneinander zu unterscheiden [1]. Als Turing-Test wird ein im Jahr 1950 von Alan Turing publi- ziertes Verfahren bezeichnet, mit dem er feststellen wollte, ob ein Computer eine dem Menschen vergleichbare Denkleistung er- bringen kann [2]. Seine Idee: Ein Tester stellt an einen Computer und einen Menschen, die sich in separaten geschlossenen Räu- men befinden, Fragen, die diese beantworten müssen. Aus den Antworten versucht er abzuleiten, ob die Antwort vom Compu- ter oder vom Menschen stammt. Alan Turing prognostizierte, dass es einem Tester im Jahr 2000 nur noch mit einer höchstens 70%igen Wahrscheinlichkeit ge- lingen würde, Mensch und Maschine korrekt zu unterscheiden. Funktionsweise Als Captcha werden in der Praxis zumeist zufällig gewählte Folgen von Buchstaben und Ziffern als verzerrte oder durch einen „stören- den“ Hintergrund entfremdete Grafiken angezeigt, aus denen der Benutzer die eingebettete Zeichenfolge herauslesen muss. Bei der Gestaltung der Grafiken wird versucht, es Programmen mit auto- matischer Zeichenerkennung möglichst schwer zu machen. Manchmal wird als Captcha auch eine (einfache) Rechenauf- gabe als verzerrte Grafik angezeigt, die vom Benutzer zu lösen ist. Oder es sind auf Fotos abgebildete Tier- oder Pflanzenarten zu identifizieren. Manchmal kommen auch Audio- und Video- Captchas zum Einsatz. Die „Lebensdauer“ eines Captchas ist in der Regel begrenzt, oft auf weniger als 60 Sekunden. Erfolgt die (richtige) Antwort nicht in dem vorgegebenen Zeitintervall, wird ein neues Capt- cha angezeigt. Einsatz Captchas werden zumeist verwendet, um den Missbrauch von Fo- ren, Blogs, Online-Shops, Kontaktformularen etc. durch Spam- Robots zu unterbinden. Denn Kommentarmöglichkeiten auf Webseiten werden gerne für Werbezwecke oder die Verbreitung politischer Meinungen „genutzt“ – meist unter Verwendung von Tools, die die Suche nach Formularen und den Texteintrag auto- matisiert vornehmen. Da solche Zweckentfremdungen reguläre Nutzer eines Forums oder Leser eines Blogs schnell vertreiben, lassen viele Betreiber Eingaben durch ein Captcha bestätigen, um möglichst sicher zu gehen, dass der Eintrag von einem mensch- lichen Nutzer stammt. Bei einigen Anwendungen dienen Captchas dazu, die Ge- schwindigkeit der Datenabfrage zu begrenzen, um automatisier- te Massenabfragen zu unterbinden, die in kurzer Zeit den gesam- ten Inhalt der dahinter liegenden Datenbank „auslesen“. Und bei Online-Umfragen lässt sich mit Captchas eine Ergebnisverfäl- schung durch Mehrfachteilnehmer zumindest erschweren. Captchas werden auch von einigen Online-Banking-Lösun- gen verwendet, um trojanischen Pferden den Kontozugriff mit der abgefangenen PIN eines Nutzers zu erschweren. Bei anderen Anwendungen werden sie statt Login-Sperren (nach Fehleinga- ben) eingesetzt, indem sie schnelle lexikalische Passwort-Atta- cken ausbremsen. Sicherheit Die Sicherheit eines Captchas – genauer: die Zuverlässigkeit, dass ein Captcha nur von einem menschlichen Benutzer in der gege- benen Zeit gelöst werden kann – hängt im Wesentlichen davon ab, ob das dem Captcha zu Grunde liegende AI-Problem (Artifi- cial Intelligence ) für einen Computeralgorithmus (in vernünfti- ger Zeit) lösbar ist oder nicht. Es hat sich gezeigt, dass die häufig verwendeten einfachen Text- und Ziffern-Captchas heutigen Zeichenerkennungsalgorithmen nicht (mehr) gewachsen sind [3]. Zwar sind in der Praxis oft noch Verbesserungen beim eingesetzten Captcha-Verfahren möglich (zufällige Länge der Folge, wechselnde Zeichengrößen, sich über- schneidende oder durchgestrichene Zeichen); damit steigt jedoch auch die Schwierigkeit für einen menschlichen Nutzer, die Zei- chenfolge in kurzer Zeit richtig zu erkennen. Wesentlich zuverläs- siger sind Captchas, die die Fähigkeiten des Menschen zur Bild- erkennung besser nutzen, wie z. B. die Suche nach einem zusam- mengehörigen Bildpaar aus mehreren Fotografien. Die mit einem Captcha erreichbare Sicherheit kann auch aus anderen Gründen begrenzt sein: Ist z. B. die Zahl der verschie- denen vorausberechneten Captchas zu klein, kann ein automa- tischer Angreifer so lange neue Captchas anfordern, bis eines er- scheint, dessen Lösung er bereits einmal (möglicherweise mit Zeitüberschreitung) gefunden hat. Es wurden auch schon troja- nische Pferde entdeckt, die das Captcha auf eine „eigene“ Webe- site (mit z. B. einem Porno-Angebot) kopieren – und es dort von einem Besucher lösen lassen. Fazit Captchas können automatisierten Angreifern die missbräuchli- che Nutzung von Eingabefeldern und Web-Formularen erschwe- ren, bieten jedoch keinen verlässlichen Schutz. Denn die rasanten Fortschritte in Sprach- und Bilderkennung ermöglichen es An- greifern, immer schwierigere Aufgaben mit vertretbarem Auf- wand ebenso schnell und zuverlässig wie ein Mensch zu lösen. Bisher ist keine für ein Captcha nutzbare Aufgabenstellung be- kannt, die den Turing-Test 100%ig besteht. Literatur [1] Wikipedia: Captcha. http://de.wikipedia.org/wiki/captcha [2] Alan Turing: Computing Machinery and Intelligence. Mind 59, Nr. 236, Ok- tober 1950, S. 433–460. http://www.loebner.net/Prizef/TuringArticle.html [3] Elie Bursztein, Matthieu Martin, John C. Mitchell: Text-based CAPTCHA Strengths and Weaknesses. ACM Computer and Communication Secu- rity 2011 (CSS 2011). http://cdn.ly.tl/publications/text-based-captcha- strengths-and-weaknesses.pdf Dirk Fox Captcha

Captcha

  • Upload
    dirk

  • View
    222

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Captcha

DuD Datenschutz und Datensicherheit 7 | 2012 531

GATEWAY

Hintergrund

„Captcha“ ist ein Akronym für Completely Automated Public Tu-ring test to tell Computers and Humans Apart – also ein öffentli-cher Turing-Test, um Menschen und Maschinen voneinander zu unterscheiden [1].

Als Turing-Test wird ein im Jahr 1950 von Alan Turing publi-ziertes Verfahren bezeichnet, mit dem er feststellen wollte, ob ein Computer eine dem Menschen vergleichbare Denkleistung er-bringen kann [2]. Seine Idee: Ein Tester stellt an einen Computer und einen Menschen, die sich in separaten geschlossenen Räu-men befinden, Fragen, die diese beantworten müssen. Aus den Antworten versucht er abzuleiten, ob die Antwort vom Compu-ter oder vom Menschen stammt.

Alan Turing prognostizierte, dass es einem Tester im Jahr 2000 nur noch mit einer höchstens 70%igen Wahrscheinlichkeit ge-lingen würde, Mensch und Maschine korrekt zu unterscheiden.

Funktionsweise

Als Captcha werden in der Praxis zumeist zufällig gewählte Folgen von Buchstaben und Ziffern als verzerrte oder durch einen „stören-den“ Hintergrund entfremdete Grafiken angezeigt, aus denen der Benutzer die eingebettete Zeichenfolge herauslesen muss. Bei der Gestaltung der Grafiken wird versucht, es Programmen mit auto-matischer Zeichenerkennung möglichst schwer zu machen.

Manchmal wird als Captcha auch eine (einfache) Rechenauf-gabe als verzerrte Grafik angezeigt, die vom Benutzer zu lösen ist. Oder es sind auf Fotos abgebildete Tier- oder Pflanzenarten zu identifizieren. Manchmal kommen auch Audio- und Video-Captchas zum Einsatz.

Die „Lebensdauer“ eines Captchas ist in der Regel begrenzt, oft auf weniger als 60 Sekunden. Erfolgt die (richtige) Antwort nicht in dem vorgegebenen Zeitintervall, wird ein neues Capt-cha angezeigt.

Einsatz

Captchas werden zumeist verwendet, um den Missbrauch von Fo-ren, Blogs, Online-Shops, Kontaktformularen etc. durch Spam-Robots zu unterbinden. Denn Kommentarmöglichkeiten auf Webseiten werden gerne für Werbezwecke oder die Verbreitung politischer Meinungen „genutzt“ – meist unter Verwendung von Tools, die die Suche nach Formularen und den Texteintrag auto-matisiert vornehmen. Da solche Zweckentfremdungen reguläre Nutzer eines Forums oder Leser eines Blogs schnell vertreiben, lassen viele Betreiber Eingaben durch ein Captcha bestätigen, um möglichst sicher zu gehen, dass der Eintrag von einem mensch-lichen Nutzer stammt.

Bei einigen Anwendungen dienen Captchas dazu, die Ge-schwindigkeit der Datenabfrage zu begrenzen, um automatisier-te Massenabfragen zu unterbinden, die in kurzer Zeit den gesam-ten Inhalt der dahinter liegenden Datenbank „auslesen“. Und bei Online-Umfragen lässt sich mit Captchas eine Ergebnisverfäl-schung durch Mehrfachteilnehmer zumindest erschweren.

Captchas werden auch von einigen Online-Banking-Lösun-gen verwendet, um trojanischen Pferden den Kontozugriff mit der abgefangenen PIN eines Nutzers zu erschweren. Bei anderen Anwendungen werden sie statt Login-Sperren (nach Fehleinga-ben) eingesetzt, indem sie schnelle lexikalische Passwort-Atta-cken ausbremsen.

Sicherheit

Die Sicherheit eines Captchas – genauer: die Zuverlässigkeit, dass ein Captcha nur von einem menschlichen Benutzer in der gege-benen Zeit gelöst werden kann – hängt im Wesentlichen davon ab, ob das dem Captcha zu Grunde liegende AI-Problem (Artifi-cial Intelligence) für einen Computeralgorithmus (in vernünfti-ger Zeit) lösbar ist oder nicht.

Es hat sich gezeigt, dass die häufig verwendeten einfachen Text- und Ziffern-Captchas heutigen Zeichenerkennungsalgorithmen nicht (mehr) gewachsen sind [3]. Zwar sind in der Praxis oft noch Verbesserungen beim eingesetzten Captcha-Verfahren möglich (zufällige Länge der Folge, wechselnde Zeichengrößen, sich über-schneidende oder durchgestrichene Zeichen); damit steigt jedoch auch die Schwierigkeit für einen menschlichen Nutzer, die Zei-chenfolge in kurzer Zeit richtig zu erkennen. Wesentlich zuverläs-siger sind Captchas, die die Fähigkeiten des Menschen zur Bild-erkennung besser nutzen, wie z. B. die Suche nach einem zusam-mengehörigen Bildpaar aus mehreren Fotografien.

Die mit einem Captcha erreichbare Sicherheit kann auch aus anderen Gründen begrenzt sein: Ist z. B. die Zahl der verschie-denen vorausberechneten Captchas zu klein, kann ein automa-tischer Angreifer so lange neue Captchas anfordern, bis eines er-scheint, dessen Lösung er bereits einmal (möglicherweise mit Zeit überschreitung) gefunden hat. Es wurden auch schon troja-nische Pferde entdeckt, die das Captcha auf eine „eigene“ Webe-site (mit z. B. einem Porno-Angebot) kopieren – und es dort von einem Besucher lösen lassen.

Fazit

Captchas können automatisierten Angreifern die missbräuchli-che Nutzung von Eingabefeldern und Web-Formula ren erschwe-ren, bieten jedoch keinen verlässlichen Schutz. Denn die rasanten Fortschritte in Sprach- und Bilderkennung ermöglichen es An-greifern, immer schwierigere Aufgaben mit vertretbarem Auf-wand ebenso schnell und zuverlässig wie ein Mensch zu lösen. Bisher ist keine für ein Captcha nutzbare Aufgabenstellung be-kannt, die den Turing-Test 100%ig besteht.

Literatur[1] Wikipedia: Captcha. http://de.wikipedia.org/wiki/captcha[2] Alan Turing: Computing Machinery and Intelligence. Mind 59, Nr. 236, Ok-

tober 1950, S. 433–460. http://www.loebner.net/Prizef/TuringArticle.html[3] Elie Bursztein, Matthieu Martin, John C. Mitchell: Text-based CAPTCHA

Strengths and Weaknesses. ACM Computer and Communication Secu-rity 2011 (CSS 2011). http://cdn.ly.tl/publications/text-based-captcha- strengths-and-weaknesses.pdf

Dirk Fox

Captcha

TYPO3 Teams

TYPO3 Teams

Documents
99386 Multicontrol Duo Quadro Duosilent

99386 Multicontrol Duo Quadro Duosilent

Documents
Wulff

Wulff

Documents
Lucas

Lucas

Documents
katalog

katalog

Documents
Sein Und Zeit - Pregled

Sein Und Zeit - Pregled

Documents
Kostenpflichtige iPhone Apps | Eine Empfehlung

Kostenpflichtige iPhone Apps | Eine Empfehlung

Documents
Erste Schritte in Der Bibel Von Beth Jones - Glaubensgrundkurs

Erste Schritte in Der Bibel Von Beth Jones - Glaubensgrundkurs

Documents
Contribution to Design and Scale-Up of Packed Columns

Contribution to Design and Scale-Up of Packed Columns

Documents
Bachtin - Das Problem Des Textes in Der Linguistik

Bachtin - Das Problem Des Textes in Der Linguistik

Documents
Alkacon_OAMP_GeoMap

Alkacon_OAMP_GeoMap

Documents
Der Hoheitsträger 1940-01

Der Hoheitsträger 1940-01

Documents
C172 D Flughandbuch

C172 D Flughandbuch

Documents
Wenn noah die_arche_heute_bauen_wuerde

Wenn noah die_arche_heute_bauen_wuerde

Documents
D1115-Z120-US

D1115-Z120-US

Documents
Prot E16x346 Beschreibung En

Prot E16x346 Beschreibung En

Documents
Sanyo_Q40

Sanyo_Q40

Documents
Transport STMS - Maske verändern - LKW ausblenden

Transport STMS - Maske verändern - LKW ausblenden

Documents
Stress als hormoneller Vorgang

Stress als hormoneller Vorgang

Documents
C3_manual_01

C3_manual_01

Documents
culori vw

culori vw

Documents
Cruz_Diss_2012

Cruz_Diss_2012

Documents
Press Release - Cairo time

Press Release - Cairo time

Documents
kapitel 1

kapitel 1

Documents
TYPO3 Neos - ein technischer Überblick - DWX 2013

TYPO3 Neos - ein technischer Überblick - DWX 2013

Documents
Ram

Ram

Documents
Trafokatalog

Trafokatalog

Documents
Silverado 2500 hd diesel bob jass chevy elburn, il

Silverado 2500 hd diesel bob jass chevy elburn, il

Documents
Abschlussprüfung Sommer 2001

Abschlussprüfung Sommer 2001

Documents
Manual_763544_BA IV Doll_0807 (1)

Manual_763544_BA IV Doll_0807 (1)

Documents