Onderzoekers van de Universiteit van Newcastle hebben vorig jaar de CAPTCHA van Microsoft in recordtijd weten te kraken, het onderzoek is echter nu pas bekendgemaakt. Jeff Yan en Ahmad Salah El Ahmad wisten met een 1.86 GHz Intel Core 2 processor en 2 GB geheugen de CAPTCHA van Microsoft's Hotmail, MSN en Windows Live diensten in 80 milliseconden op te lossen. Volgens de onderzoekers is het de eerste keer dat een professioneel ontworpen CAPTCHA zo eenvoudig werd gekraakt.

Dankzij eenvoudige grafische berekeningen gebaseerd op eigenschappen van de CAPTCHA, zoals contrast, aantal pixels, kleur, vorm en locatie, wisten de onderzoekers de puzzel laagje voor laagje af te breken, totdat het script met een 92% zekerheid het antwoord weet. "Ons onderzoek laat zien dat deze CAPTCHA alleen een vals gevoel van veiligheid geeft."

Het ontwerpen van een robuuste CAPTCHA die ook bruikbaar is, is veel moeilijker dan het lijkt. "Kennis over dit onderwerp staat nog steeds in de kinderschoenen." Daarnaast bestaan er bijna geen methoden en tools voor het evalueren en testen van CAPTCHA ontwerpen. "Onze ervaring suggereert dat CAPTCHA hetzelfde evolutionaire proces doormaakt als cryptografie en digitale watermerken, waarbij succesvolle aanvallen leiden tot de ontwikkeling van meer robuuste systemen." Het onderzoek is nu pas gepubliceerd om Microsoft de tijd te geven het probleem op te lossen.