Studenter knekket Microsofts «CAPTCHA»

Studenter knekket Microsofts «CAPTCHA»

Captchaer skal hindre datamaskiner tilgang til nettjenester, men fungerer kanskje best mot mennesker.

De fleste som jevnlig fyller ut skjemaer på weben, enten det er i debattfora, i nettbutikker eller sosiale tjenester, har vært borti teknikken som kalles CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart).

I de fleste tilfeller brukes en kombinasjon av bokstaver og tall som er forvrengt på en slik måte at det skal være vanskelig for datamaskiner å kjenne igjen tegnene ved hjelp av teknikker for mønstergjenkjenning. Problemet er at forvrengningene også gjør det vanskelig for mennesker å tolke tegnene. Dette har ført til at denne formen for captcha er omdiskutert.

Mye tyder også på at capchaer heller ikke er spesielt gode til å holde automatiske skripts ute. Det har blitt utgitt en rekke eksempler på kode og teknikker som knekker captchaene til en rekke leverandører.

Den siste i rekken av captchaer som skal være knekket, er Microsofts. Ifølge studentene Jeff Yan og Ahmad Salah El Ahmad ved Newcastle University i Storbritannia, skal denne captchaens designmål ha vært at automatiske skripts ikke skulle kunne lykkes oftere enn 1 av 10.000 ganger.

De to studentene har ved hjelp av en helt ordinær PC greid å øke suksessraten for angrep til over 60 prosent. De skriver de i rapporten A Low-cost Attack on a Microsoft CAPTCHA. Microsoft benytter denne captchaen i forbindelse med blant annet Windows Live-tjenester som Messenger og Hotmail.

Microsoft har trolig endret captchaen siden studentene fant metoden. De meldte ifra til selskapet i september i fjor. Resultatene av arbeidet ble først offentliggjort denne våren etter forespørsel fra det amerikanske selskapet.

En oversikt over en rekke andre captchaer som er blitt knekket, finnes nederst i dette blogginnlegget.

Til toppen