reCaptcha 是否已被破解/黑客攻击/OCR 识别/击败/损坏？[关闭]

Question

是否已使用任何编程方法来击败 reCAPTCHA？

我有兴趣看到证据和潜在的证明，特别是 reCAPTCHA 已经被完全自动化、无人的方法淘汰。

澄清， 不是 寻找以任何方式涉及人类的 reCAPTCHA 作弊解决方案，无论是负责填写验证码的团队、色情搜索者还是 Mechanical Turk。

我也是 不是 寻找 reCAPTCHA 的替代方案，例如选择动物类型、背景字段或 JavaScript 技巧。

Answer 1

我注意到，几乎所有的答案，这里涉及到的的无效概念的CAPTCHA的原则 - 而我与他们非常认同，其实给了一个的谈话在OWASP 的几个月前的解释只是 - 问题是非常具体的，所以我将提供一个示范结果。 但首先，我会重申，一边示范，重新阅读了其他意见，因为它是真理，CAPTCHA是没有意义的，而不是有益的，不相干的执行....

不过说真的，请 CAPTCHA杀手。您可以上传一个CAPTCHA图像，它会自动，如果不立即提供OCR'd答案。它还提供了一个API（休息，我想，但也许还SOAP）。我亲自试过无数reCAPTCHA的图像，它实际上是打破一些最简单的人（或至少最快）的。

更新：CAPTCHA杀手的网站现在已经取下来，显然在法律的压力。请参阅 http://captcha.org/ ，在主题的完整概述

和耶，OCR不打破CAPTCHA保护的站点的最好方式 - 有许多其他更好的办法。

Answer 2

您可能会在如何4chan的兴趣此详细报告败验证码，并用它来操纵Time.com的年度TIME 100的投票结果。

  

黑客的Recaptcha（又名“阴茎洪水”）

     

用于接下来的策略是，看看他们是否能找到在验证码实现的一个缺陷。他们发现大约reCAPTCHA的一件事是，它总是提出两个词为用户解码 - 一个字是由验证码系统已知的控制字，而另一种是一个未知的字（验证码使用人类助正确的OCR错误）。维基百科描述了过程：“扫描的文本是由两个不同的光学字符识别程序进行分析;在程序不同意的情况下，有问题的话转换成一个CAPTCHA。该字与一个控制字已经已知的，并且是由人类标记一起显示。由人判断一致给予单一标签这些词语回收作为控制字”。 2iasdo4什么匿名意识到的是，如果他们总是标有相同的字未知扫描的文本 - 如果他们做的时候，这成千上万最终的未登录词的很大比例将与他们的话贴错标签。他们所要做的就是看看验证码这两个词，输入正确的标签为“方便”一（想必这将是一个，两个光学扫描器将商定），并输入单词“阴茎”为硬之一。如果他们这样做往往不够，那么很快图像的显著百分比将被标记为“阴茎”和autovote将恢复（一个副作用的能力，这是不输于无名氏，当时的概念，即在今后几年会有一些字“阴茎”通篇更新随机插入数字图书：我问本毛雷尔，这个“阴茎洪水”攻击的reCAPTCHA的总工程师，本说，他们已经预料这种类型的攻击并且它们具有大量的保护，这将保持阴茎穿透验证码屏障。

     

优化验证码

     

作为吸引力，洒单词“阴茎”到文本的概念，匿名团队知道，时钟滴答作响了，如果他们要恢复的留言，他们没有时间等待autovoters来回到在线 - 他们将不得不手动投票，很多很多次。因此，他们需要能够以最快的速度，因为他们可以输入验证码的。他们制定了一套，让他们能够迅速决定哪些验证码的话，他们可以跳过准则。例如：

     

    

您将给出2个词语：1成真，假1

         

有关[REAL FAKE]或[FAKE REAL]，可以只需输入REAL和它应该被接受。

         

如果这是[LOOKSREAL LOOKSREAL]或[LOOKSFAKE LOOKSFAKE]，它通常只是更快地只需键入两个单词。不要浪费宝贵的时间决定这其中之一是真实的。

         

使用的外观和词的类型来识别假       字。不要依赖只是其中之一。

  

     

在整个规则集是在这里：假的captcha

Answer 3

CAPTCHA系统的弱点是，人们成立房间充满了中国人的唯一工作就是是看一个验证码图片和类型的结果，其插入到自动化系统，实际上做的垃圾邮件。

没有太多可以做的真的。

它也远远超过尝试做图像识别，OCR等实际图像上更便宜的（你可能会得到在$ 0.01另一种方式的响应）。

Answer 4

在屈服于使用验证码的压力之前，请考虑创造性的解决方法，例如使用 CSS 隐藏标记为“您的评论”的字段。如果输入该字段，服务器将丢弃该请求。大多数机器人都会上当，即使仍然没有一个好的方法来击败满是低薪劳动力的房间，无论如何验证码对此没有帮助。

更新:刚刚读了一篇 案例分析 删除 CAPTCHA 后，转化率提高了近 10%。对我来说，这表明如果你只是为了过滤掉机器人而失去 10% 的潜在客户，那么它就相当糟糕了。想象一下 10% 对大多数企业意味着什么。

Answer 5

我最喜欢的验证码是由微软：的http：//研究。 microsoft.com/en-us/um/redmond/projects/asirra/

  

Asirra（动物物种的图像   识别限制访问）   是，通过询问用户工作的HIP识别猫的照片   和狗。这个任务是艰巨的电脑，但我们的用户研究   已经表明，人们可以快速，准确地完成它。   许多人甚至认为这是有趣！

这是一项免费服务，他们示例代码让你开始。

我不知道它会持续多久是破解之前。

Answer 6

reCAPTACHA不破，它不会是一个很长的时间。问题是，如果你实现你自己的验证码，如果它坏了，它可能需要很长的时间来修复它。

这是从约验证码安全中页采取：

  

验证码是一个Web服务。这意味着   所有图像生成和   通过我们的服务器进行分级。 （…） 这也是   提供了额外的保护级别：   我们的CAPTCHA系统可自动   更新每当安全   脆弱性被发现。

     

例如，如果某人写一个程序，可以阅读我们扭曲   图片中，我们可以添加更多的扭曲   很小的时候，并没有网络   不必改变任何东西的主人   他们的侧 的

我相信，因为他们是专门对他们提高存储版本的验证码，随时准备在需要一点时间来进行部署。 （他们为什么要建立更强的安全性时，较弱的还没有碎？）

Answer 7

不仅被打败了，还 一个有用的应用程序 已成功建立在其之上，成为最令人惊奇的工具，可以击败大量直接下载网站（不仅是 megaupload 和 rapidshare）的所有类型的免费帐户保护。

下载器 是开源的并用 Java 编写，所以看一下 源代码 不仅可以回答 如果它坏了 但是也 如何.

编辑:大多数直接下载网站不使用reCaptcha，而是更简单的Captcha方法（3个大写字母用不同颜色着色）。尽管如此，Jdownloader 和 密码加载 （一个类似于 Jdownloader 的程序）是我所知道的唯一有效地破坏了验证码方法的有效实现。我还没有听说过任何破解 reCaptcha 的实现。

更新:似乎至少有一种 reCaptcha 的实现（不是整个 reCaptcha 本身） 也被破解了.

2010 年 12 月更新:下载器 似乎终于击败了 reCaptcha. 。该插件仍处于实验阶段，仅适用于 Windows 版本的 Jdownloader，但是，正如一位尝试过该插件的朋友告诉我的那样，它确实有效。

Answer 8

有在Defcon黑客大会上讲话，去年是进入与一般的验证码的问题。其中一个他们做的事情是使用多种免费OCR引擎，并让他们上最好的话投票。这样一来，他们能够取得成功的一个稍微像样的机会。对于一种，它是40％左右，我不认为这是验证码，虽然。

Answer 9

• “事实上，它 [reCAPTCHA] 变得毫无用处 在 1 月 4 日 [2011] 当垃圾邮件发送者显然集体获得了一款可以绕过 reCAPTCHA 并允许完全自动化注册过程的软件时。从那时起，机器人就一直很忙，确实非常忙” [ 1 ]

2-3 年前，基于文本输入的验证码方法在失败时就越界了，即进一步的复杂性只会使它们相对（因为计算机能力不断增强，而人类却没有）对机器来说更容易，而对人类来说，即使不是完全不可能，也更加令人厌恶和排斥。这违背了原来的范式 CAPTCHA 作为测试，以确保响应不是由计算机生成的

更新：
注意 验证码 属于 谷歌公司 但 谷歌公司 不通过自己的服务使用它。
这是一个包含谷歌本身/内部使用的带有验证码的网页的链接 例如，对于 Gmail 注册：

---

---

请注意，谷歌的 验证码 总是有2个词。
这是链接 带有 Google reCAPTCHA 的图像供其他人使用.

reCAPTCHA 的截图：

我留下来向读者做出显而易见的结论。

引用：[1]
vBulletin 论坛被 reCAPTCHA 破解垃圾邮件机器人攻击 |PC Pro 博客
发表于 2011 年 1 月 12 日 通过戴维·温德

Answer 10

我看到通过验证码保护系统中，如果页面加载1秒钟后的职位是成功地在博客评论。用户代理是无义（在其权利要运行Ubuntu 9.25 / 3.8的Firefox此特定情况下），参照网址是从一个完全不相关的位点没有链接给我们。

此显然是自动化的。

Answer 11

验证码还没有被击败。如果它一直，那为什么谷歌只是买它，并宣布他们将应用在谷歌的技术来提高欺诈和垃圾邮件防护谷歌的产品？

这谷歌收购的reCAPTCHA 发布到博客谷歌上09年9月16日：

  

在这种方式，验证码的独特技术改进了扫描的图像转换成纯文本，叫做光学字符识别（OCR）的过程。这种技术还权力大型文字扫描项目，如谷歌图书和谷歌新闻档案搜索。具有文档中的文本版本，因为纯文本可以被搜索，很容易呈现在移动设备上，并显示给视障用户是非常重要的。那么，我们可以将这项技术在谷歌不仅要加大欺诈和垃圾邮件防护谷歌的产品，但也提高了我们的书籍和报纸扫描过程。

Answer 12

打败验证环节最简单的方法是亚马逊土耳其机器人。有一个叫克米特Welda家伙谁出钱的人镍每个注册的Hotmail，AOL和Gmail帐户。这是6000个假的电子邮件帐户，在每天5分钱= $ 300。当你有别人做肮脏的工作，为你做生意的成本是相当便宜。难怪我们的服务器的垃圾邮件过滤器要拒绝从Hotmail任何东西。

Answer 13

据我所知在实践中有没有工具破解RE-验证码实现，但是最终我认为有人会得到它。

搞笑不够的，如果有人设法得到那么整个RE-的captcha项目是没有意义的，因为重新设计的验证码图书数字化，不能以自动的方式来完成。

顺便说一句：

  

CAPTCHA系统的缺点是   人们成立房间充满   中国人，其唯一的工作就是   是看一个验证码图片和类型   在的结果，其插入到   自动化系统，实际上做   的垃圾邮件。

您不能确保系统思考这样的，这好像是说“你的web应用程序安全性不够，如果你的主机是不是在一个旧军事掩体，因为现在人们可以窃取您的机器。”

Answer 14

有许多是用来验证码掷骰子方法。虽然启用它很难利用神经netwpork程序自动解决这些问题，其可能抢图像，并有亚马逊的Mechanical Turk或一些同等功能的程序来解决这些问题。

http://codemagician.wordpress.com/2010/01/ 22 /求解-验证码/