Hat reCaptcha worden / geknackt gehackt / OCR / besiegt / gebrochen? [geschlossen]

Question

Werden Programmiermethoden verwendet wurden reCAPTCHA zu besiegen?

Ich bin daran interessiert, dass Beweise und potenziell Demonstrationen dass reCAPTCHA insbesondere durch vollständig automatisiert, humanless Methoden obsolet gemacht worden.

Um zu klären, nicht Suche nach reCAPTCHA-Betrug-Lösungen, die Menschen in irgendeiner Weise betreffen, ob Teams mit Ausfüllen CAPCHAs beauftragt, Porno-Suchende oder Mechanical Turk.

Ich bin auch nicht Suche nach Alternativen zu reCAPTCHA, wie die Art des Tieres Kommissionierung oder Hintergrundfelder oder Javascript-Tricks.

Answer 1

Ich stelle fest, dass fast alle hier Antworten auf die Wirkungslosigkeit der beziehen Konzept von CAPTCHA, im Prinzip - und während ich mit ihnen sehr einverstanden, in der Tat gab ein bei OWASP Rede vor ein paar Monaten CAPTCHA Killer-. Sie können ein CAPTCHA Bild hochladen, und es wird automatisch, wenn nicht sofort, geben Sie die OCR-Antwort. Es bietet auch eine API (REST, glaube ich, aber vielleicht auch SOAP). Ich habe versucht, persönlich zahlreiche reCAPTCHA Bilder, und es war tatsächlich einige der leichtesten (oder zumindest schnellsten) gebrochen.

UPDATE : CAPTCHA Killer-Webseite ist nun abgehängt, offenbar unter juristischem Druck. Siehe http://captcha.org/ für einen vollständigen Überblick über das Thema.

Und ja, OCR ist nicht der beste Weg, um eine CAPTCHA geschützten Stelle zu brechen -. Es gibt viele andere bessere Möglichkeiten

Answer 2

Sie können in dieser ausführlichen Bericht darüber, wie 4chan interessiert sein reCAPTCHA besiegt, und verwendet es Time.com Jahres TIME 100 Umfrageergebnisse zu manipulieren.

  

Hacking Recaptcha (auch bekannt als ‚Der Penis Flood‘)

     

Die nächste Taktik verwendet wurde, um zu sehen, ob sie einen Fehler in der reCAPTCHA Implementierung finden können. Eine Sache, die sie über reCAPTCHA entdeckt wurde, dass es immer präsentiert zwei Worte an einen Benutzer zum Dekodieren - ein Wort ist ein Steuerwort durch das reCAPTCHA System bekannt ist, während der andere ist ein unbekanntes Wort (reCAPTCHA nutzt die Menschen korrekte OCR-Fehler zu helfen). Wikipedia beschreibt den Vorgang: „Scanned Text Analyse durch zwei verschiedene optische Zeichenerkennungsprogramme unterzogen wird; in Fällen, in denen die Programme nicht einverstanden ist, ist das fragwürdige Wort in einen CAPTCHA umgewandelt. Das Wort wird mit einem Steuerwort angezeigt entlang bereits bekannt und wird vom menschlichen gekennzeichnet. Diese Worte, die ein einzelnes Etikett durch menschliche Richter konsequent gegeben werden, werden als Steuerworte recycelt“. 2iasdo4 Was Anonymous realisiert war, dass, wenn sie immer den unbekannten gescannten Text mit dem gleichen Wort markiert - und wenn sie diese Tausende taten und tausende Male schließlich ein großer Prozentsatz der unbekannten Wörter mit ihrem Wort falsch beschriftet werden würde. Alles, was sie hatten, war an den beiden Worte in das Captcha aussehen zu tun, um die richtige Bezeichnung für das ‚einfache‘ geben Sie einen (vermutlich derjenige, der wäre, dass die beiden optischen Scannern auf zustimmen würde) und das Wort „Penis“ für die Eingabe hart. Wenn sie diese oft genug getan hat, dann bald ein erheblicher Prozentsatz der Bilder als ‚Penis‘ markiert werden würde und die Fähigkeit, würde wiederhergestellt autovote (eine Nebenwirkung war, dass nicht auf Anonymous verloren, war die Vorstellung, dass in den kommenden Jahren es würde zufällig im gesamten Text mit dem Wort ‚Penis‘ eingefügt eine Reihe von digitalen Büchern sein Update:. ich Ben Maurer gefragt, sagt Chefingenieur von reCAPTCHA diesen ‚Penis Flut‘ Angriff, Ben, dass sie diese Art von Angriff zu erwarten haben und sie haben zahlreiche Schutzmechanismen, die die Penisse das Eindringen von reCAPTCHA Barriere halten wird.

     

Optimierung reCAPTCHA

     

Wie wie die Vorstellung reizvoll das Wort der Besprengung ‚Penis‘ in Texte, wusste, dass die Anonymous-Team, dass die Uhr tickt, und wenn sie die Nachricht wiederherstellen wollten hatten sie keine Zeit zu warten, bis die autovoters zu kommen wieder online - sie gingen von Hand zu wählen zu haben, viele, viele Male. Und so benötigt sie in der Lage sein CAPTCHA eingeben, so schnell sie konnten. Sie entwickelten eine Reihe von Richtlinien, die sie schnell erlaubt zu entscheiden, welche reCAPTCHA Worte, die sie überspringen könnten. Zum Beispiel:

     

    

Sie werden 2 Wörter gegeben. 1 real, 1 fälschen

         

Für [REAL FAKE] oder [FAKE REAL], können Sie einfach REAL geben und es soll angenommen werden.

         

Wenn es [LOOKSREAL LOOKSREAL] oder [LOOKSFAKE LOOKSFAKE] ist, ist es in der Regel schneller, nur um nur die beiden Worte eingeben. Verlieren Sie keine kostbare Zeit zu entscheiden, welche von ihnen ist real.

         

Verwenden Sie sowohl das Aussehen und die Art des Wortes eine Fälschung zu identifizieren       Wort. Verlassen Sie sich nicht auf nur eine von ihnen.

  

     

Die ganze ruleset ist hier: gefälschter captcha

Answer 3

Die Schwäche der CAPTCHA-Systeme ist, dass die Menschen Räume eingerichtet voll von Menschen in China, deren einzige Aufgabe es ist, auf einem CAPTCHA-Bild zu sehen und geben das Ergebnis, das in das automatisierte System-Stecker, der die Spam tatsächlich tut.

Nicht viel können Sie dagegen tun wirklich.

Es ist auch viel billiger als zu versuchen, Bilderkennung, OCR, usw. auf dem tatsächlichen Bild zu tun (Sie unter 0,01 $ erhalten kann, eine Antwort für die andere Art und Weise).

Answer 4

Bevor Sie mit dem Druck zu geben in der Verwendung von Captcha, sollten kreative Abhilfen wie ein Feld mit der Bezeichnung „Ihre Anmerkungen“, die von CSS verborgen ist. Wenn das Feld eingegeben wird, wird die Anforderung vom Server gelöscht. Die meisten Bots wird es fallen, auch wenn es noch kein guter Weg ist, den Raum voller unterbezahlt Arbeiter zu besiegen, das Captcha nicht sowieso nicht helfen.

UPDATE : Lesen Sie einfach ein Fallstudie wo CAPTCHA um fast 10% Conversion-Raten erhöht zu entfernen. Das würde mir zeigen, dass es eher gebrochen ist, wenn Sie 10% Ihrer Leads verlieren nur Bots auszufiltern. Stellen Sie sich vor, was 10% bedeutet für die meisten Unternehmen.

Answer 5

Mein Lieblings captcha von Microsoft: http: // Forschung. microsoft.com/en-us/um/redmond/projects/asirra/

  

Asirra (Tierarten Bild   Anerkennung für Beschränken des Zugriffs)   ist ein HIP, die mit der Frage Anwender arbeiten Fotos von Katzen zu identifizieren   und Hunde. Diese Aufgabe ist schwierig für Computer, aber unsere Anwenderstudien   haben gezeigt, dass die Menschen es schnell und genau erreichen kann.   Viele glauben sogar, es macht Spaß!

Es ist ein kostenloser Service, und sie haben Beispiel-Code erhalten Sie begonnen haben.

Ich frage mich, wie lange es dauern wird, bevor er geknackt wird.

Answer 6

reCAPTACHA nicht gebrochen ist und es wird nicht für eine sehr lange Zeit sein. Die Sache ist, wenn Sie Ihren eigenen captcha implementieren, wenn es kaputt ist, dauert es wahrscheinlich eine lange Zeit, es zu beheben.

Dies wird von der Seite über reCAPTCHA Sicherheit genommen:

  

reCAPTCHA ist ein Web-Service. Das bedeutet   dass alle Bilder erzeugt werden und   von unseren Servern benotet. (…) das auch   bietet eine zusätzliche Schutzniveau:   unsere CAPTCHAs kann automatisch   aktualisiert, sobald eine Sicherheits   Verwundbarkeit gefunden wird.

     

Zum Beispiel, wenn jemand schreibt ein Programm, das unsere verzerrt lesen   Bilder, können wir mehr Verzerrungen hinzufügen in   nur sehr wenig Zeit, und ohne Web   Meister mit etwas ändern auf   ihre Seite.

Ich glaube, wie sie auf Captchas spezialisiert sind sie verbessert haben Versionen gespeichert, bereit, in kurzer Zeit eingesetzt werden, wenn nötig. (Warum sollen sie schaffen eine höhere Sicherheit, wenn die schwächeren noch nicht gebrochen ist?)

Answer 7

Es hat nicht nur besiegt, sondern auch eine nützliche Anwendung auf es erfolgreich aufgebaut wurde, zu wird das erstaunlichste Werkzeug alle Art von Frei Konto Schutz einer großen Liste der direkten Download-Sites zu besiegen (nicht nur Megaupload und Rapid).

Jdownloader ist Open Source und geschrieben in Java so ein Blick auf die Quellcode kann nicht nur beantworten wenn es defekt , sondern auch wie .

Bearbeiten : Die meisten direkten Download-Sites verwenden reCaptcha nicht, aber eine einfachere Check Captcha-Methode (3 Großbuchstaben in verschiedenen Farben gefärbt). Dennoch Jdownloader und Cryptload (ein Programm ähnlich wie Jdownloader) sind die einzigen Arbeits-Implementierungen, die ich weiß, dass effektiv ein Check Captcha-Methode gebrochen . Ich habe nicht von der Anwendung gehört reCaptcha zu knacken.

Aktualisieren : Es scheint, dass mindestens eine Implementierung von reCaptcha (nicht ganz reCaptcha selbst) hat zu geknackt wurde.

Update Dezember 2010 : Jdownloader scheint endlich sein reCaptcha besiegen. Das Plugin ist noch experimentell und funktioniert nur auf Windows-Versionen von Jdownloader, aber, wie ich von einem Kumpel gesagt worden, die es versucht, es funktioniert.

Answer 8

Es gab rel="noreferrer">, die in die Probleme mit CAPTCHAs im Allgemeinen ging. Eines der Dinge, die sie getan haben, ist mehrere freie OCR-Engines verwenden und hatte sie auf die besten Worte stimmen. Dadurch konnten sie eine etwas gute Chance auf Erfolg erzielen. Für eine Art war es 40% oder so, ich glaube nicht, es war reCaptcha, though.

Answer 9

• " In der Tat, es [reCAPTCHA] wurde ziemlich nutzlos auf 4. Januar [2011] , wenn Spammer bekam offenbar ihre kollektiven Hände auf einem Stück Software, die seit "reCAPTCHA und ermöglicht es in der Tat für eine vollautomatische Registrierung umgeht. Die Bots sind damit beschäftigt, sehr beschäftigt, immer [1]

2-3 Jahre vor der Text-Eingabe auf Basis Captchas Ansatz versündigt die Linie, wenn sie ihre Schlacht verloren, also weitere Komplikationen nur machen sie relativ (da Rechenleistung nimmt zu, während ein Mensch ist nicht) leichter für Maschinen und mehr abstoßend und abweisend , wenn nicht völlig unmöglich, die Menschen. Dieses contadicts zu dem ursprünglichen Paradigma der CAPTCHA als Test, um sicherzustellen, dass die Antwort nicht von einem Computer

Update:
Beachten Sie, dass reCAPTCHA von Google Inc. aber Google Inc. ist es nicht durch ihre eigenen Dienste nutzen.
Hier ist ein Link mit Captcha verwendet von Google selbst / intern für ex, für Google Mail-Anmeldung:.

---

---

Beachten Sie, dass Google reCAPTCHA immer 2 Wörter hat.
Hier ist der Link für Bild mit Googles reCAPTCHA angeboten von anderen verwendet werden .

Und reCAPTCHA der Screenshot:

Ich lasse die offensichtlichen Schlussfolgerungen zu einem Leser machen.

Zitiert: [1]
Foren vBulletin hit von reCAPTCHA Cracken Spam-bot | PC Pro Blog
Geschrieben am 12. Januar 2011 von Davey Winder

Answer 10

Ich sehe Blog-Kommentare auf einem System von reCAPTCHA geschützt, wo die Seite geladen und 1 Sekunde später die Post erfolgreich durchgeführt wurde. Der User-Agent war Unsinn (in diesem speziellen Fall behauptete, es Ubuntu 9.25 / Firefox 3.8 ausgeführt werden), die Referrer waren von einem völlig anderen Ort ohne Verbindung zu uns.

Dies ist eindeutig automatisiert.

Answer 11

reCAPTCHA nicht besiegt. Wenn es gewesen war, warum dann hat Google einfach kaufen und verkünden werden sie die Technologie in Google anwenden Betrug und Spam-Schutz für Google-Produkte zu erhöhen?

Google erwirbt reCAPTCHA auf dem Google Blog gepostet 9/16/09:

  

Auf diese Weise reCAPTCHA einzigartige Technologie verbessert den Prozess, die gescannte Bilder in Text umgewandelt werden, bekannt als Optical Character Recognition (OCR). Diese Technologie treibt auch in großem Maßstab Text Beleggut wie Google Books und Google News Archive Search. die Textversion von Dokumenten ist wichtig, weil Klartext durchsucht werden können, einfach auf mobilen Geräten gemacht und sehbehinderte Benutzer angezeigt. So werden wir die Technologie in Google anwenden nicht nur für Google-Produkte Betrug und Spam-Schutz zu erhöhen, sondern auch unsere Bücher und Zeitungs Scan-Prozess zu verbessern.

Answer 12

Der einfachste Weg, Captchas zu besiegen ist Amazon Mechanical Turk. Es gibt einen Typ namens Kermit Welda, die Leute, die ein Nickel jeweils registrieren Hotmail, AOL und Google Mail-Konten bezahlt. Das ist 6.000 gefälschte E-Mail-Konten bei 5 Cent = $ 300 pro Tag. Die Kosten der Geschäftstätigkeit ist ziemlich billig, wenn Sie andere Menschen haben für Sie die schmutzige Arbeit tun. Kein Wunder, dass unsere Server Spam-Filter wollen alles von Hotmail abzulehnen.

Answer 13

AFAIK In der Praxis gibt es kein Werkzeug RE-Captcha-Implementierung zu knacken, aber schließlich gehe ich davon aus, jemand wird es.

Funny genug, wenn jemand schafft, um es dann die ganze RE-Captcha-Projekt sinnlos ist, weil neu captcha entworfen Bücher digitalisieren, die in einer automatisierten Art und Weise geschehen kann nicht sein.

BTW:

  

Die Schwäche von CAPTCHA-Systemen ist   festgelegt, dass Personen Zimmer voller   Menschen in China, deren einzige Aufgabe es ist,   ist bei einem CAPTCHA-Bild und Typ aussehen   im Ergebnis, das in die Stecker   automatisiertes System, das tatsächlich tut   das Spamming.

Sie können nicht ein System sichern so zu denken, das ist wie wenn man sagt „Ihre Web-Anwendung nicht sicher genug ist, wenn Ihr Rechner nicht in einem alten Militärbunker ist, weil die Menschen jetzt Ihre Maschine stehlen“.

Answer 14

Es gibt viele Methoden, die verwendet werden recaptcha Mist. Während seine schwer zu neuronalen netwpork Programme sie automatisch lösen aktiviert zu verwenden, ist es möglich, das Bild zu packen und haben Amazons mechanischer Türke oder ein gleichwertiges Programm, um sie zu lösen.

http://codemagician.wordpress.com/2010/01/ 22 / Lösungs-recaptcha /