Ein CAPTCHA ist ein Typ des Herausforderungsantwort-Tests, der in der Computerwissenschaft als ein Versuch verwendet ist sicherzustellen, dass die Antwort von einer Person erzeugt wird. Der Prozess ist gewöhnlich mit einem Computer verbunden, einen Benutzer bittend, einen einfachen Test zu vollenden, den der Computer im Stande ist zu sortieren. Diese Tests werden entworfen, um für einen Computer leicht zu sein, zu erzeugen, aber schwierig für einen Computer zu lösen, so dass, wenn eine richtige Lösung erhalten wird, wie man wagen kann, es von einem Menschen eingegangen worden ist. Ein allgemeiner Typ von CAPTCHA verlangt, dass der Benutzer Briefe oder Ziffern von einem verdrehten Image tippt, das auf dem Schirm erscheint, und solche Tests allgemein verwendet werden, um unerwünschte Internetfunktionseinheiten davon abzuhalten, auf Websites zuzugreifen.

Der Begriff "CAPTCHA" wurde 2000 von Luis von Ahn, Manuel Blum, Nicholas J. Hopper und John Langford (die ganze Universität von Carnegie Mellon) ins Leben gerufen. Es ist ein Akronym, das auf dem Wort "Festnahme" gestützt ist und "Für Turing völlig Automatisierten Öffentlichen Test eintretend, um Computer und Menschen Einzeln zu erzählen". Universität von Carnegie Mellon hat versucht, den Begriff, gesetzlich schützen zu lassen

aber die Handelsmarke-Anwendung wurde am 21. April 2008 aufgegeben.

Ein CAPTCHA wird manchmal als ein Rücktest von Turing beschrieben, weil er durch eine Maschine verwaltet und an einem Menschen im Gegensatz zum Standardtest von Turing ins Visier genommen wird, der normalerweise von einem Menschen verwaltet und an einer Maschine ins Visier genommen wird.

Anwendungen

CAPTCHAs werden in Versuchen verwendet, automatisierte Software davon abzuhalten, Handlungen durchzuführen, die die Qualität des Dienstes eines gegebenen Systems, ob erwartet erniedrigen zu missbrauchen oder Quellenverbrauch. CAPTCHAs kann aufmarschiert werden, um Systeme zu schützen, die verwundbar sind, um spam, wie die webmail Dienstleistungen von Gmail, Hotmail und Yahoo per E-Mail zu schicken! Post.

Die meisten interaktiven Seiten werden heute durch Datenbanken geführt und werden schnell behindert und träge, wenn ein Datenbanktisch Fähigkeiten überschreitet, kann der Betriebsserver behandeln. Ein Google Page Rank einer Website kann auch durch übermäßige kommerzielle durch die automatisierte Versetzung geschaffene Verbindungen reduziert werden.

CAPTCHAs werden auch verwendet, um automatisierte Versetzung zu blogs, Foren und wikis, ob infolge der kommerziellen Promotion, oder der Belästigung und des Vandalismus zu minimieren. CAPTCHAs dienen auch einer wichtigen Funktion im Rate-Begrenzen. Der automatisierte Gebrauch eines Dienstes könnte wünschenswert sein, bis solcher Gebrauch zum Übermaß und zum Nachteil von menschlichen Benutzern getan wird. In solchen Fällen können Verwalter CAPTCHA verwenden, um automatisierte auf gegebenen Schwellen gestützte Gebrauch-Policen geltend zu machen. Die geltenden durch viele Nachrichtenwebsites verwendeten Artikel-Systeme sind ein anderes Beispiel einer Online-Möglichkeit, die für die Manipulation durch die automatisierte Software verwundbar ist.

Zugänglichkeit

Weil sich CAPTCHAs auf die Sehwahrnehmung verlassen, werden Benutzer, die unfähig sind, einen CAPTCHA erwarteten zu einer Unfähigkeit anzusehen, unfähig sein, die durch einen CAPTCHA geschützte Aufgabe durchzuführen. Deshalb können Seiten, die CAPTCHAs durchführen, eine Audioversion des CAPTCHA zusätzlich zur Sehmethode zur Verfügung stellen. Die offizielle CAPTCHA Seite empfiehlt, einen Audio-CAPTCHA aus Zugänglichkeitsgründen zur Verfügung zu stellen, aber es ist für deafblind Leute oder für Benutzer von einigen textbasierten WWW-Browsern noch immer nicht verwendbar.

Versuche zugänglicheren CAPTCHAs

Sogar und visueller Audio-CAPTCHAs wird manuelles Eingreifen für einige Benutzer, wie diejenigen verlangen, die Körperbehinderungen haben. Es hat verschiedene Versuche des Schaffens zugänglicheren CAPTCHAs, einschließlich des Gebrauches von JavaScript, mathematische Fragen gegeben ("wie viel 1+1 ist") und Fragen der Binsenweisheit ("welche Farbe der Himmel an einem klaren Tag" ist). Jedoch können diese Annäherungen Zugänglichkeit für Leute mit intellektuellen und Entwicklungskörperbehinderungen, zum Beispiel dyscalculia schlechter machen. Einige CAPTCHAs dieser Art entsprechen den Kriterien für einen erfolgreichen CAPTCHA nicht, weil sie nicht automatisch erzeugt werden oder kein neues Problem oder Test auf jeden Angriff aufwerfen.

Eine Annäherung an textbasierten CAPTCHAs soll einen "Hauptantifunktionseinheitsserver", verwendet durch viele Websites schaffen, der für jeden Anruf ein Rätsel zufällig von einem sehr großen Satz von vielen verschiedenen automatisch erzeugten Rätseln von vielen verschiedenen Arten auswählt. Solch eine Lösung kann verwendbar für den Rollladen und die visuell verschlechterten Leute gemacht werden, die sonst finden, dass überwiegender bildbasierter CAPTCHAs unüberwindliche Hindernisse für die Vollendung von Webformen ist.

Vereitelung

Es gibt mehrere für das Besiegen von CAPTCHAs verfügbare Annäherungen:

• Programmfehler in der Durchführung ausnutzend, die dem Angreifer erlauben, den CAPTCHA, völlig zu umgehen
• die Besserung der Charakter-Anerkennungssoftware oder
• das Verwenden preiswerter menschlicher Arbeit, um die Tests (sieh unten) zu bearbeiten.

Unsichere Durchführung

Wie jedes Sicherheitssystem können Designfehler in einer Systemdurchführung die theoretische Sicherheit davon abhalten, begriffen zu werden. Viele CAPTCHA Durchführungen besonders sind diejenigen, die nicht entworfen und von Experten in den Feldern der Sicherheit nachgeprüft worden sind, für allgemeine Angriffe anfällig.

Einige CAPTCHA Schutzsysteme können umgangen werden, ohne OCR einfach durch das Wiederverwenden des Sitzungspersonalausweises eines bekannten Testimages zu verwenden. Ein richtig bestimmter CAPTCHA erlaubt vielfache Lösungsversuche desselben Tests nicht, der unbegrenzten Wiedergebrauch einer richtigen Lösung oder eine zweite Annahme nach einem falschen OCR-Versuch erlauben würde. Andere CAPTCHA Durchführungen verwenden ein Kuddelmuddel (wie ein MD5 Kuddelmuddel) der Lösung, weil ein Schlüssel dem Kunden gegangen ist, um die Antwort gültig zu machen. Häufig werden die Antworten von einer genug kleinen Reihe gezogen, dass dieses Kuddelmuddel geknackt werden konnte. Weiter konnte das Kuddelmuddel einer OCR gestützter Versuch helfen. Ein sichereres Schema würde einen HMAC verwenden. Ein anderes Beispiel ist direkt stellen Antwort im Code wie Vertretung von vier Bildern zur Verfügung, um Benutzererholung die richtige zu lassen, eine spam Funktionseinheit kann immer das erste Bild erraten, um 25-%-Erfolg-Rate in diesem Fall zu gewinnen. Schließlich verwenden einige Durchführungen nur eine kleine feste Lache von CAPTCHA Images. Schließlich, als genug Bildlösungen von einem Angreifer über eine Zeitdauer von der Zeit gesammelt worden sind, kann der Test durch das einfache Aufblicken von Lösungen in einem Tisch gebrochen werden, der auf einem Kuddelmuddel des Herausforderungsimages gestützt ist.

Computercharakter-Anerkennung

Mehrere Forschungsprojekte haben (häufig erfolgreich) versucht, visuellen CAPTCHAs durch das Schaffen von Programmen zu schlagen, die die folgende Funktionalität enthalten:

1. Aufbereitung: Eliminierung des Hintergrunddurcheinanders und Geräusches.
2. Segmentation: Das Aufspalten des Images in Gebiete, die jeder einen einzelnen Charakter enthält.
3. Klassifikation: Das Identifizieren des Charakters in jedem Gebiet.

Schritte 1 und 3 sind leichte Aufgaben für Computer. Der einzige Schritt, wo Menschen noch Computer überbieten, ist Segmentation. Wenn das Hintergrunddurcheinander aus Gestalten besteht, die Brief-Gestalten ähnlich sind, und die Briefe durch dieses Durcheinander verbunden werden, wird die Segmentation fast unmöglich mit der aktuellen Software. Folglich sollte sich ein wirksamer CAPTCHA auf die Segmentation konzentrieren.

Mehrere Forschungsprojekte haben echten Welt-CAPTCHAs, einschließlich einen der frühen CAPTCHAs des Yahoo genannt "EZ-Gimpy", der CAPTCHAs gebrochen, der durch populäre Seiten wie PayPal, LiveJournal, phpBB, das E-Bankwesen CAPTCHAs verwendet ist, der von vielen Finanzeinrichtungen und durch andere Dienstleistungen verwendetem CAPTCHAs verwendet ist. Im Januar 2008 hat Netzsicherheit Forschung ihr Programm für automatisiertes Yahoo veröffentlicht! CAPTCHA Anerkennung. Windows Live Hotmail und Gmail, die anderen zwei Hauptversorger der kostenlosen E-Mail-Adresse, wurde kurz danach geknackt.

Im Februar 2008 wurde es berichtet, dass spammers eine Erfolg-Rate von 30 % bis 35 %, mit einer Funktionseinheit, in der Reaktion zu CAPTCHAs für den Lebenden Postdienst des Microsofts und eine Erfolg-Rate von 20 % gegen den Gmail von Google CAPTCHA erreicht hatte. Eine Newcastler Universitätsforschungsmannschaft hat den Segmentationsteil des CAPTCHA des Microsofts mit einer 90-%-Erfolg-Rate vereitelt und berichtet, dass das zu einer ganzen Spalte mit einem größeren führen konnte als 60-%-Rate.

Menschlicher solvers

CAPTCHA ist für einen Relaisangriff verwundbar, der Menschen verwendet, um die Rätsel zu lösen. Eine Annäherung ist mit dem Weitergeben der Rätsel zu einer Gruppe von menschlichen Maschinenbedienern verbunden, die CAPTCHAs lösen können. In diesem Schema füllt ein Computer eine Form aus, und wenn es einen CAPTCHA erreicht, gibt es den CAPTCHA dem menschlichen Maschinenbediener, um zu lösen.

Spammers zahlen ungefähr 0.80 $ zu 1.20 $ für jeden 1,000 haben CAPTCHAs zu Gesellschaften gelöst, die menschlichen solvers in Bangladesch, China, Indien und vielen anderen Entwicklungsnationen verwenden. Andere Quellen zitieren ein Preisschild von mindestens 0.50 $ für jeden 1,000 gelöste.

Eine andere Annäherung ist mit dem Kopieren der CAPTCHA Images und Verwenden von ihnen als CAPTCHAs für eine vom Angreifer besessene Seite des hohen Verkehrs verbunden. Mit genug Verkehr kann der Angreifer veranlassen, dass eine Lösung des CAPTCHA-Rätsels es rechtzeitig zurück zur Zielseite weitergibt. Im Oktober 2007 ist ein Stück von malware in freier Wildbahn erschienen, der Benutzer gelockt hat, CAPTCHAs zu lösen, um progressiv weiter in eine Reihe von Striptease-Images zu sehen. Eine neuere Ansicht besteht darin, dass das kaum wegen der Nichtverfügbarkeit von Seiten des hohen Verkehrs und Konkurrenz durch ähnliche Seiten arbeiten wird.

Diese Methoden sind durch spammers verwendet worden, um Tausende von Rechnungen auf Dienstleistungen der kostenlosen E-Mail-Adresse wie Gmail und Yahoo aufzustellen!. Seit Gmail und Yahoo! werden kaum durch anti-spam Systeme auf die schwarze Liste gesetzt, spam gesandt durch diese in Verlegenheit gebrachten Rechnungen wird mit geringerer Wahrscheinlichkeit blockiert.

Gesetzliche Sorgen

Die Vereitelung von CAPTCHAs kann die Antivereitelungsklausel von Digital Millennium Copyright Act (DMCA) in den Vereinigten Staaten verletzen. 2007 hat Ticketmaster Softwareschöpfer RMG Technologies auf sein Produkt verklagt, das den Karte-Verkäufer-CAPTCHAs auf der Basis überlistet hat, dass es die Antivereitelungsklausel des DMCA verletzt hat. Im Oktober 2007 wurde eine einstweilige Verfügung ausgegeben feststellend, dass Ticketmaster wahrscheinlich schaffen würde, seine Argumente vorzubringen. Im Juni 2008 Ticketmaster für das Verzug-Urteil gegen RMG abgelegt. Das Gericht hat Ticketmaster den Verzug gewährt und ist in eine M von 18.2 $ Urteil für Ticketmaster eingegangen.

2010, gefördert von Ticketmaster, dem US-Bezirksstaatsanwalt in Newark, hat New Jersey eine Anklagejury-Anklage gegen Wiseguy Tickets, Inc. für Kaufkarten in großen Mengen durch das Überlisten von CAPTCHA Mechanismen gewonnen.

Unter seinen 43 Ergebnissen hat die Anklagejury gefunden, dass Wiseguy Tickets Inc Online-Karte-Verkäufer-Sicherheitsmechanismen CAPTCHA vereitelt hat."

Wechselwirkung mit Images als eine Alternative zu texting (das Textschreiben)

Einige Forscher fördern Wechselwirkung mit Images als eine mögliche Alternative für texting CAPTCHAs. Computergestützte Anerkennungsalgorithmen verlangen die Förderung von Farbe, Textur, Gestalt oder speziellen Punkt-Eigenschaften, die nach den bestimmten Verzerrungen nicht richtig herausgezogen werden können. Jedoch können Menschen noch das ursprüngliche Konzept anerkennen, das in den Images sogar mit diesen Verzerrungen gezeichnet ist.

Ein neues Beispiel, mit Images aufeinander zu wirken, soll CAPTCHA dem Website-Besucher einen Bratrost von zufälligen Bildern bieten und den Besucher beauftragen, auf spezifische Bilder zu klicken, um nachzuprüfen, dass sie nicht eine Funktionseinheit (wie "Klick auf den Bildern des Flugzeuges, des Bootes und der Uhr") sind.

Bildwechselwirkungs-CAPTCHAs stehen vielen potenziellen Problemen gegenüber, die nicht völlig studiert worden sind. Es ist für eine kleine Seite schwierig, ein großes Wörterbuch von Images zu erwerben, zu denen ein Angreifer Zugang und ohne ein Mittel nicht hat, automatisch neue etikettierte Images zu erwerben, entspricht eine bildbasierte Herausforderung die Definition eines CAPTCHA nicht gewöhnlich. KittenAuth hatte standardmäßig nur 42 Images in seiner Datenbank. "Der Asirra" des Microsofts, den es als ein freier Webdienst zur Verfügung stellt, versucht, das mittels der Partnerschaft von Microsoft Research mit Petfinder.com zu richten, die es mit mehr als drei Millionen Images von Katzen und Hunden versorgt hat, die von Leuten an Tausenden von US-Tierschutz klassifiziert sind. Forscher behaupten, ein Programm geschrieben zu haben, das den Microsoft Asirra CAPTCHA brechen kann. Wenn sie die Zahl von Kategorien (mehr erweitert als gerade Katzen & Hunde) und randomizing, vergrößert die Zahl von richtigen Images in einem Bratrost die Sicherheit des Systems. Die EINBILDUNGSKRAFT CAPTCHA verwendet jedoch eine Folge von randomized Verzerrungen auf den ursprünglichen Images, um die CAPTCHA Images zu schaffen. Ihre ursprünglichen Images können sicher der Bildwiederauffindung bekannt gegeben werden, oder Bildanmerkung hat Angriffe gestützt.

Menschliche solvers sind eine potenzielle Schwäche für Strategien wie Asirra. Wenn die Datenbank von Katze- und Hund-Fotos heruntergeladen werden kann, Arbeitern bezahlend, bedeuten 0.01 $, um jedes Foto entweder bezüglich eines Hunds oder bezüglich einer Katze zu klassifizieren, dass fast die komplette Datenbank von Fotos für 30,000 $ entziffert werden kann. Fotos, die nachher zur Datenbank von Asirra hinzugefügt werden, sind dann eine relativ kleine Datei, die klassifiziert werden kann, weil sie zuerst erscheinen. Wenn es geringe Änderungen zu Images verursachen wird, wird jedes Mal, wenn sie erscheinen, keinen Computer davon abhalten, ein wiederholtes Image anzuerkennen, weil es robustes Image comparator Funktionen gibt (z.B, Bildkuddelmuddel, färben Sie histograms), die gegen viele einfache Bildverzerrungen unempfindlich sind. Das Verwerfen eines Images genug, um einen Computer zum Narren zu halten, wird wahrscheinlich auch einem Menschen lästig sein.

Forscher an Google haben Bildorientierung und zusammenarbeitende Entstörung als ein CAPTCHA verwendet. Im Allgemeinen wissen Leute, was nur Computer ist, haben für eine breite Reihe von Images harte Zeiten. Images wurden vorgeschirmt, um beschlossen zu werden, schwierig zu sein, (z.B keine Himmel, keine Gesichter, kein Text) zu entdecken. Images wurden auch durch die Vertretung eines "Kandidat"-Images zusammen mit guten Images für die Person zusammenarbeitend gefiltert, um zu rotieren. Wenn es eine große Abweichung in Antworten für das Kandidat-Image gab, wurde es zu hart für Leute ebenso gehalten und hat verworfen.

Viele Benutzer der phpBB Forum-Software (der außerordentlich unter spam gelitten hat) haben eine offene Quellbildanerkennung CAPTCHA System in der Form eines addon genannt KittenAuth durchgeführt, der in seiner Verzug-Form eine Frage präsentiert, die den Benutzer verlangt, einen festgesetzten Typ des Tieres von einer Reihe von Daumennagel-Images von geordneten Tieren auszuwählen. Die Images (und die Herausforderungsfragen) können kundengerecht angefertigt werden, um zum Beispiel Fragen und Images zu präsentieren, auf die durch das Ziel des Forums userbase leicht geantwortet würde. Außerdem, einige Zeit, RapidShare mussten freie Benutzer vorbei an einem CAPTCHA kommen, wo sie hereingehen mussten, haben Briefe nur einer Katze angehaftet, während andere Hunden beigefügt wurden. Das wurde später entfernt, weil (legitime) Benutzer Schwierigkeiten gehabt haben, in die richtigen Briefe einzugehen.

Siehe auch

• Image spam, wo spammers die Unfähigkeit von Computern ausnutzen, Text in Images zu lesen, um junkmail zu vermeiden, der durchscheint
• Einwegfunktion
• reCAPTCHA
• Web, das kratzt

Links