La caduta dei Captcha

I ricercatori della Stanford University hanno sviluppato un tool che decifra i captcha su molti siti, mettendone così a rischio la sicurezza.

I ricercatori della Stanford University hanno sviluppato un software in grado di decifrare i captcha, ovvero i codici utilizzati da numerosi siti per impedire la registrazione ad un servizio o la pubblicazione di commenti ai sistemi automatizzati. Il tool, denominato Decaptcha, ha ottenuto percentuali di successo variabili, ma significativi, sui 15 siti testati.

I captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) sono stati introdotti nel 2000 sul motore di ricerca Altavista con l’obiettivo di bloccare gli spam bot. Solo un essere umano è in grado di decifrare i simboli in modo chiaro, spesso abbinati all’audio per le persone con difetti alla vista, e questa è la forza di un sistema nato per distinguere l’intelligenza umana da quella artificiale. Il team di Stanford è riuscito però a creare un tool automatizzato che riconosce il testo mediante una tecnica nota come segmentazione, mandando così a monte i processi utilizzati fino ad oggi.

Decaptcha riesce in pratica a “pulire” il rumore dell’immagine di background e ad individuare i singoli caratteri che compongono la stringa di testo. Tra i siti più noti, l’unico immune al software è stato Google, mentre i captcha del portale World of Warcraft di Blizzard sono stati decifrati con una percentuale di successo pari al 70%. Per eBay la percentuale è stata del 43%, su Wikipedia del 25%, 66% su Authorize.net, la piattaforma di pagamento di Visa, e il 93% su Megaupload.

Lo studio, presentato alla recente conferenza ACM a Chicago, ha richiesto circa un anno e mezzo di lavoro. I risultati ottenuti dimostrano che occorre migliorare la sicurezza dei captcha, ad esempio modificare la lunghezza della stringa in modo casuale o la dimensione dei caratteri. Aumentare troppo la loro complessità potrebbe però essere controproducente e causare l’allontanamento dal sito anche degli esseri umani.

Daneel

Basterebbe utilizzare 5 livelli di captcha semplici e corti per annullare il problema.
Cinque immagini generate in sequenza con sotto una sola casella di input di testo, l’utente legge il primo captcha e scrive il risultato che genera il secondo captcha che l’utente legge e aggiunge alla parola già scritta senza input di testo. Sarebbe più comodo perché i captcha potrebbero essere di stili diversi ma molto più leggibili e l’utente deve solo leggere e scrivere di continuo sulla casella di testo, almeno il doppio più veloce dei captcha attuali. Se questo incredibile algoritmo avesse la percentuale dello 0.7(70%), quindi con captcha estremamente semplici la combinazione porterebbe la percentuale al 0.168 (~16%) diciamo abbastanza sicura e sconveniente per un attacco. Comunque bisogna vedere anche quanto tempo l’algoritmo impiega per trovare il risultato. Forse basterebbero anche solo due passaggi per rendere un captcha sconveniente da superare.
http://www.matriz.it/ Mattia

Nell’articolo è stato scritto che l’unico captcha immune è stato quello di Google. Anche il reCaptcha di Google che può essere utilizzato sui propri siti è immune?