Captcha’s lijken ook niet veilig meer

Zheng Wang en de nutteloosheid van captcha's

Zheng Wang (afb: univ. van Lancaster)

Om je er op internet ervan te verzekeren dat je webstek niet door webbots wordt aangevallen kun je captcha’s gebruiken: (beeld)puzzeltjes waar mensen makkelijk uit komen maar geautomatiseerde systemen moeite mee hebben. Nu schijnen onderzoekers de waarde van die beschermwal ondergraven te hebben, gebruik makend van een lerende algoritme. Dat heeft met de meeste op het web gebruikte captcha’s geen problemen. Het blijft oorlog op het web…

De ‘captcha-oplosser’ is ontwikkeld door onderzoekers aan de universiteiten van Lancaster (VK) en Peking en de Northwesternuniversiteit in de VS. Er zijn al eerder dergelijke algoritmes ontwikkeld, maar dit zou veel beter scoren dan zijn concurrenten. Met een gewone pc kraakt de oplosser de meeste captcha’s in vijfhonderste van een seconde. Om tot die prestatie te geraken moet het systeem eerste wel geoefend worden met bestaande captcha’s, zo’n 500 in plaats van miljoenen (?) zoals concurrenten nodig zouden hebben.
Die concurrente systemen zouden ook beperkt zijn tot één vorm. Dat leerproces schijnt ook nog eens erg arbeidsintensief te zijn, beweren de scheppers van de nieuwe ‘oplosser’. Ook zouden die zich door kleine veranderingen in de luren laten leggen, waar die nieuwe ‘oplosser’ geen enkel probleem mee zou hebben.

Getest

Het algoritme is succesvol getest op 33 verschillende vormen, stellen ze, waarvan er elf veelvuldig op het web gebruikt worden. Dat succes zou te maken hebben met de manier waar dat algoritme in elkaar is gestoken. “Dit is de eerste keer dat deze GAN-benadering is gebruikt voor oplossers”, zegt onderzoeker Zheng Wang van de universiteit van Lancaster. “Het blijkt dat de veiligheid die de huidige tekstcaptcha’s bieden niet veel voorstelt bij gebruik van lerende systemen.”
“We hebben voor het eerst aangetoond dat iemand snel met weinig moeite de aanval kan inzetten. Dat is vervelend aangezien de eerste beschermwal van veel weblocaties dan niet veilig meer blijkt te zijn.”

De onderzoekers vinden dat webstekbeheerders moeten gaan nadenken over betere beveiligingsmaatregelen voor hun webpagina’s en -diensten. Captcha’s zijn niet langer veilig meer, vinden ze. Meer beschermwallen en gebruikmaken van, bijvoorbeeld, biometrische informatie van de gebruiker zouden kunnen helpen. Een ding blijft steeds maar weer recht overeind staan: niemand kan absolute veiligheid garanderen op het web.

Bron: EurekAlert

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.