minteye soll CAPTCHAs ablösen? NOT

An sich begrüße ich innovative Ideen. Und im ersten Moment klingt auch diese hier wirklich spannend. Eine Spammer-Bremse bei der man nicht rechnen, Wörter identifizieren oder sonstigen Kram machen muss. Man muss lediglich einen Schieber hin und her schieben. Wenn das Bild “normal” ist, dann ist es richtig und man kann das Formular absenden. Seht selbst die Vorschau.

 

Vorteil? Es ist leicht zu bedienen und sehr leicht verständlich. Es gibt kaum Möglichkeiten das man es nicht schafft.

Doch ich behaupte jetzt einfach mal, dass es nicht vor Spam – Bots schützt. Und wer braucht schon einen Spamschutz, der nicht schützt. Und wie komme ich zu dieser Vermutung? Man muss sich einmal anschauen, wie das Funktioniert.

Zu allererst dürftet ihr erkannt haben, dass die einzelnen Bilder nicht zufällig ausgewählt werden, sondern Anzeigen sind. Anzeigen, für die die Agenturen der Firmen sicher viele Stunden Hirnschmalz aufbringen mussten um den User richtig anzusprechen. Das heißt, dass es diese Anzeigen nicht in Hunderten von Variationen gibt, sondern in höchstens vielleicht 5. Jetzt überlegt euch mal, wie viele Kunden die Firma hat. Nach kurzem überlegen bin ich der Meinung, dass wenn das Unternehmen 100.000 Anzeigen besitzt, das schon sehr hoch gegriffen ist. (Ich habe beim testen sogar schon nach wenigen Versuchen Wiederholungen gefunden. Testet selbst )

Weiter zu dem Captcha selbst. Es besteht aus 30 Bildern. Einem richtigen, und 29 veränderte Varianten. Ich weiß nicht wie diese Varianten generiert werden, aber ich würde fast behaupten, dass sie wirklich für jeden User neu und zufällig generiert werden. Es wäre aber natürlich auch möglich, dass pro Anzeige wirklich nur eine Version der Fake-Bilder existieren. Vielleicht eine Mischung, aber auch das ist egal. Man kann nämlich trotzdem recht leicht raus finden, welches das richtige Bild ist.

Am Anfang steht sicher das probieren. Das Captcha wird geladen und alle Versionen des Bildes werden gespeichert. Als Hash sollte das schon ausreichen. Dann muss noch der Erfolg gespeichert werden. Wenn man drin ist immer das Bild nehmen, ansonsten ein anderes Probieren. (Das Probieren kann man auch noch verfeinern. Mehr dazu später)

Sollte wirklich für jeden User neue Fake Bilder generiert werden, wird es noch einfacher. Man braucht dann pro Captcha genau 2 Versuche. Das Bild, das bei beiden Versuchen gleich ist, ist das Lösungsbild.

Total simpel für ein Botnetz, nach 1.000.000 Anfragen sollten schon gute Ergebnisse kommen.

Den Erkennensprozess des richtigen Bildes, kann man aber auch noch verfeinern. Man nimmt einfach ein Bilderkennungsprogramm und orientiert sich an horizontalen Linien. Also Textzeilen oder so. Müsst mal drauf achten. Bei den verquirlten Bildern gibt es überhaupt keine geraden Linien. Zudem kann man die äußeren 3 Bilder auf beiden Seiten auch ausschließen. In dem Bereich habe ich noch nie eine Lösung gesehen.

Aber es gibt noch einen Grund warum dieses neue Captcha unsicher ist. Das liegt daran, dass es so einfach ist. In China, Indien und anderen Ländern in denen Arbeitskraft nichts kostet gibt es wirklich Leute die den ganzen Tag für einen Hungerlohn Captchas lösen. Denen wird die Arbeit noch leichter gemacht.

Habt ihr schon mal an Barrierefreiheit gedacht? Erklärt einem Blinden mal er soll den Regler so lange schieben, bis er das Bild richtig sieht. Eine Audiolösung wie bei recaptcha erkenne ich hier nicht als Möglichkeit.

Nette Idee, aber definitiv nicht sicherer als bisherige Methoden. Ganz im Gegenteil.

,

Hinterlasse eine Antwort

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>