Nieuws

Antispam CAPTCHA gekraakt


Denk je dat het als mens al lastig is om de priegelige lettertjes en cijfertjes van de Captcha-codes te kunnen lezen, dan zal het voor een spambot wel helemaal moeilijk zijn. Niet dus. Stanford-onderzoekers zijn er in geslaagd om de populaire beveiligingscode van de sites van onder andere VISA en eBay te kraken.

Captcha staat voor Completely Automated Public Turing-test to tell Computers and Human Apart. Wanneer je een online account aanmaakt of ergens een bericht wilt plaatsen kom je die vaak tegen. Door een bepaalde code in te voeren bewijs je dat je een mens bent. Om die manier kan voorkomen worden dat geautomatiseerde computerprogramma’s allerlei spamberichten op websites rondstrooit.

Maar het Stanford-team wist met hun tool Decaptcha de Captcha’s van maar liefs dertien van de vijftien geteste sites te kraken. Zo was het bij VISA in twee van de drie aanvallen raak, bij eBay in bijna de helft en bij Wikipedia in een kwart van de pogingen. Alleen Google en reCaptcha wisten buiten schot te blijven.

Decaptcha’s strategie bestond uit het wissen van achtergrondtekens en het opbreken van de codes in kleine stukjes, wat het geheel beter herkenbaar maakt.

Inmiddels koos VISA eieren voor zijn geld en is overgeschakeld op reCaptcha.

Hier het rapport dat de onderzoekers vorige maand op een computerconferentie presenteerde en dat even haarfijn de sterktes en zwakheden van Captcha blootlegt.

Follow Faqtman on Twitter