Studenter knekket Microsofts «CAPTCHA»

Captchaer skal hindre datamaskiner tilgang til nettjenester, men fungerer kanskje best mot mennesker.

Harald BrombachHarald BrombachNyhetsleder
3. juni 2008 - 08:15

De fleste som jevnlig fyller ut skjemaer på weben, enten det er i debattfora, i nettbutikker eller sosiale tjenester, har vært borti teknikken som kalles CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart).

I de fleste tilfeller brukes en kombinasjon av bokstaver og tall som er forvrengt på en slik måte at det skal være vanskelig for datamaskiner å kjenne igjen tegnene ved hjelp av teknikker for mønstergjenkjenning. Problemet er at forvrengningene også gjør det vanskelig for mennesker å tolke tegnene. Dette har ført til at denne formen for captcha er omdiskutert.

Mye tyder også på at capchaer heller ikke er spesielt gode til å holde automatiske skripts ute. Det har blitt utgitt en rekke eksempler på kode og teknikker som knekker captchaene til en rekke leverandører.

Den siste i rekken av captchaer som skal være knekket, er Microsofts. Ifølge studentene Jeff Yan og Ahmad Salah El Ahmad ved Newcastle University i Storbritannia, skal denne captchaens designmål ha vært at automatiske skripts ikke skulle kunne lykkes oftere enn 1 av 10.000 ganger.

De to studentene har ved hjelp av en helt ordinær PC greid å øke suksessraten for angrep til over 60 prosent. De skriver de i rapporten A Low-cost Attack on a Microsoft CAPTCHA. Microsoft benytter denne captchaen i forbindelse med blant annet Windows Live-tjenester som Messenger og Hotmail.

Microsoft har trolig endret captchaen siden studentene fant metoden. De meldte ifra til selskapet i september i fjor. Resultatene av arbeidet ble først offentliggjort denne våren etter forespørsel fra det amerikanske selskapet.

En oversikt over en rekke andre captchaer som er blitt knekket, finnes nederst i dette blogginnlegget.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.