image

Captcha is geen uitdaging meer voor nieuw algoritme

vrijdag 7 december 2018, 10:00 door Redactie, 18 reacties

Onderzoekers van drie universiteiten hebben een algoritme ontwikkeld dat op basis van deep learning-technieken in staat is in 0,05 seconde tekstgebaseerde captchas op te lossen. De nieuwe captcha-oplosser met kunstmatige intelligentie is ontwikkeld door mensen van de universiteit van Lancaster, de Northwest University en de universiteit van Peking.

Captchas die zijn opgebouwd uit cijfers en letters wist het nieuwe algoritme binnen 0,05 seconde op te lossen met behulp van een desktop pc.

Opmerkelijk is dat de gebruikte techniek, Generative Adversarial Network (GAN) geheten, veel sneller leert dan andere captcha generator programma's. Door gebruik te maken van een machine-learning automatische captcha generator konden de onderzoekers de software veel sneller captchas laten leren. Er waren slechts 500 echte captchas nodig in plaats van miljoenen die een dergelijke generator normaal nodig zou hebben.

"We tonen voor het eerst aan dat een tegenstander heel snel en zonder veel moeite een aanval op tekstgebaseerde captchas kan uitvoeren", reageert Zheng Wang, hoofddocent aan de School of Computing and Communications van de Lancaster University. "Dit is wel eng omdat het betekent dat de eerste beveiligingslaag van veel websites niet meer voldoende is", zo vertelt hij aan Helpnetsecurity. "Bovendien leveren captchas zo juist een enorme kwetsbaarheid op die op veel manieren uitgebuit kan worden." Kwaadwillenden zouden dit bijvoorbeeld kunnen gebruiken om DoS-aanvallen uit te voeren of voor het versturen van spam of phishing-mails.

Website die nog gebruikmaken van tekstgebaseerde captchas zouden daarom alternatieve methoden moeten overwegen waarbij meerdere beveiligingslagen worden ingezet, zoals gebruikspatronen, locatie van de gebruiker of zelfs biometrische gegevens.

Reacties (18)
07-12-2018, 10:32 door Anoniem
[...] of zelfs biometrische gegevens.
Of ik eerst mijn vingerafdruklezer wil aansluiten en mijn vinger laten scannen voor ik een berichtje mag sturen naar d'ene of d'andere domme website? Dat klinkt echt helemaal slim en handig en in overeenstemming met de GDPR/AVG.

Zo zie je maar weer dat iig sommige knappe koppen wel leuk kunnen fröbelen, maar je ze niets moet vragen dat ook maar een ietsiepietsie buiten hun eigen vakgebied ligt.
07-12-2018, 12:58 door Anoniem
Door Anoniem:
[...] of zelfs biometrische gegevens.
Of ik eerst mijn vingerafdruklezer wil aansluiten en mijn vinger laten scannen voor ik een berichtje mag sturen naar d'ene of d'andere domme website? Dat klinkt echt helemaal slim en handig en in overeenstemming met de GDPR/AVG.
Je stuurt dan niet je echte vingerafdruk op, maar een hash.
07-12-2018, 14:13 door Anoniem
Een beetje Web Application Firewall kan wel detecteren dat een Captcha in 0.05 seconden is opgelost, en dus door een geautomatiseerd systeem opgelost is. Het feit dat het oplossen minimaal enkele seconden duurt is een goede indicatie dat er een mens achter het scherm zit. Dat is ook meteen de kracht van een Captcha: het vertraagd, waardoor bv. brute-force attacks of Credential Stuffing attacks veel moeilijker worden.
07-12-2018, 15:32 door Anoniem
Door Anoniem:
Door Anoniem:
[...] of zelfs biometrische gegevens.
Of ik eerst mijn vingerafdruklezer wil aansluiten en mijn vinger laten scannen voor ik een berichtje mag sturen naar d'ene of d'andere domme website? Dat klinkt echt helemaal slim en handig en in overeenstemming met de GDPR/AVG.
Je stuurt dan niet je echte vingerafdruk op, maar een hash.
Dat zou een nutteloze actie zijn (niet richting jouw, maar de mensen die zoiets zouden willen implementeren), want een lang Wachtwoord dient dan precies dezelfde functie.
07-12-2018, 15:37 door Anoniem
Door Anoniem: Een beetje Web Application Firewall kan wel detecteren dat een Captcha in 0.05 seconden is opgelost, en dus door een geautomatiseerd systeem opgelost is. Het feit dat het oplossen minimaal enkele seconden duurt is een goede indicatie dat er een mens achter het scherm zit. Dat is ook meteen de kracht van een Captcha: het vertraagd, waardoor bv. brute-force attacks of Credential Stuffing attacks veel moeilijker worden.

Das pas slim denken. Iemand die AI schrijft kan natuurlijk nergens delays inbouwen nee. Inderdaad. Niet bij stil gestaan...
07-12-2018, 15:41 door Anoniem
Door Anoniem: Een beetje Web Application Firewall kan wel detecteren dat een Captcha in 0.05 seconden is opgelost, en dus door een geautomatiseerd systeem opgelost is. Het feit dat het oplossen minimaal enkele seconden duurt is een goede indicatie dat er een mens achter het scherm zit. Dat is ook meteen de kracht van een Captcha: het vertraagd, waardoor bv. brute-force attacks of Credential Stuffing attacks veel moeilijker worden.

De mens is inderdaad veel trager. Vaak zie je catcha's daarom ook ingezet worden om vooral het proces te vertragen, razend irritant :).
07-12-2018, 15:54 door Anoniem
Door Anoniem:
Door Anoniem:
[...] of zelfs biometrische gegevens.
Of ik eerst mijn vingerafdruklezer wil aansluiten en mijn vinger laten scannen voor ik een berichtje mag sturen naar d'ene of d'andere domme website? Dat klinkt echt helemaal slim en handig en in overeenstemming met de GDPR/AVG.
Je stuurt dan niet je echte vingerafdruk op, maar een hash.
Leg eens uit welk verschil dat maakt?
07-12-2018, 16:17 door Anoniem
Door Anoniem:
Door Anoniem: Een beetje Web Application Firewall kan wel detecteren dat een Captcha in 0.05 seconden is opgelost, en dus door een geautomatiseerd systeem opgelost is. Het feit dat het oplossen minimaal enkele seconden duurt is een goede indicatie dat er een mens achter het scherm zit. Dat is ook meteen de kracht van een Captcha: het vertraagd, waardoor bv. brute-force attacks of Credential Stuffing attacks veel moeilijker worden.

Das pas slim denken. Iemand die AI schrijft kan natuurlijk nergens delays inbouwen nee. Inderdaad. Niet bij stil gestaan...
tuut tuut.

"Dat is ook meteen de kracht van een Captcha: het vertraagd, waardoor bv. brute-force attacks of Credential Stuffing attacks veel moeilijker worden"
==> als je vertraging inbouwt duren brute force achtige aanvallen zo lang dat het minder rendabel wordt.
Ik zie dit soort aanvallen waarbij zo 20 tot 80 login's per seconde gedaan worden (dwz. meer dan 100000 login's per uur...). Dan kan je in een avondje aardig wat proberen (als de aangevallen web site geen bescherming heeft). Als je dat wilt tegen gaan moet je als web site beheerder vertraging inbouwen, een Captcha is een mogelijkheid. Als die weer binnen korte tijd wordt opgelost weet je dat het fout is en kan je het blocken. Als het lang duurt omdat die slimmerd een vertraging van enkele seconden in bouwt, is de aanval meteen minder erg: bij één login per 5 seconden zijn dat er nog maar 700 (ipv. 100.000)
07-12-2018, 18:05 door Anoniem
reCAPTCHA is natuurlijk de enige echte oplossing!

Sites die dit gebruiken haten hun bezoekers en/of klanten overduidelijk en hebben niets op met privacy van een ander. Zelfs mijn huisarts denkt dit te moeten gebruiken, waardoor digitale-communicatie geen optie meer is.
07-12-2018, 19:19 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
[...] of zelfs biometrische gegevens.
Of ik eerst mijn vingerafdruklezer wil aansluiten en mijn vinger laten scannen voor ik een berichtje mag sturen naar d'ene of d'andere domme website? Dat klinkt echt helemaal slim en handig en in overeenstemming met de GDPR/AVG.
Je stuurt dan niet je echte vingerafdruk op, maar een hash.
Leg eens uit welk verschil dat maakt?

Sterker - hoe dat überhaupt werkt voor het doel van Capcha vervangen.

De Capcha probeert te bewijzen dat er een mens (maakt niet uit welke) achter het toetsenbord zit - als filter tegen robo-spam en robo-account creation.

Hoe stelt men zich remote biometrics voor die bewijzen dat er een mens een geen bot zit ?
Alle potentiële readers of sensors zijn onder controle van de bot - die kan alle soorten dummy-vingerafdrukken genereren, hashen en sturen.

Voor authenticatie bij een bestaand account kan het enige zin hebben , omdat er dan een _specifieke_ en bekende vingerafdruk (of hash van) opgestuurd moet worden, die een aanvaller geacht wordt niet te weten.
Als de reader/sensor een trusted device is (scanners bij ingang datacenter, Schiphol poortje e.d.) kan het allemaal opgetuigd worden met detectie van een levende vinger e.d. Maar dat is allemaal niet van toepassing bij posten op een forum vanaf een willekeurige internet aansluiting.

Voor het probleem 'presenteer iets dat 'ieder' mens kan/weet/heeft maar een computer moeilijk kan repliceren' zie ik niet hoe biometrie gaat werken.

Ik denk dat het een blinde standaard paragraaf 'helpt er is iets met authenticatie we moeten biometrics toevoegen' is - en hier niet van toepassing.
07-12-2018, 19:53 door Anoniem
Door Anoniem:
Door Anoniem:
[...] of zelfs biometrische gegevens.
Of ik eerst mijn vingerafdruklezer wil aansluiten en mijn vinger laten scannen voor ik een berichtje mag sturen naar d'ene of d'andere domme website? Dat klinkt echt helemaal slim en handig en in overeenstemming met de GDPR/AVG.
Je stuurt dan niet je echte vingerafdruk op, maar een hash.

Grappig dat hier nog een text captcha bij zit.. Ok on topic, hoe weet de website dat die hash van een vinger is? Moet ik m'n vinger eerst verifiëren ofzo? Dat is toch een onhaalbaar idee?
08-12-2018, 10:06 door Briolet
Door Anoniem: Grappig dat hier nog een text captcha bij zit..
Op dit forum maakt het weinig uit of er een bot doorheen komt. De posting wordt hier nog steeds door mensen gemodereerd voor hij openbaar wordt.
08-12-2018, 12:34 door Anoniem
Beetje achterhaald, tegenwoordig kan reCAPTCHA op de achtergrond gebruikt worden. Interactie is al niet eens meer nodig.
08-12-2018, 18:23 door Anoniem
Er zijn ook sites die het anders aanpakken. Die tonen een aantal plaatjes en dan krijg je bv. de opdracht om alle plaatjes waarop een bus staat afgebeeld weg te klikken. Kan het nieuwe deep learning algoritme dat ook oplossen?
09-12-2018, 09:09 door Anoniem
Door Anoniem: "Dat is ook meteen de kracht van een Captcha: het vertraagd, waardoor bv. brute-force attacks of Credential Stuffing attacks veel moeilijker worden"
==> als je vertraging inbouwt duren brute force achtige aanvallen zo lang dat het minder rendabel wordt.
Ik zie dit soort aanvallen waarbij zo 20 tot 80 login's per seconde gedaan worden (dwz. meer dan 100000 login's per uur...).
Stel je bouwt "vertraging" in per gebruikersnaam, een poging per minuut. Dan valt er nog steeds prima te brute-forcen, alleen moet het dan met 60*80=4800 gebruikersnamen tegelijk. Als het je niet uitmaakt welke gebruikersnaam je brute-forced, is dat nog steeds een prima optie. Zeg je, een keer per minuut inloggen per IPadres, dan huurt de aanvaller een zak IPadressen, zeg via amazon of een botnet ofzo.

Nevermind dat je wachtwoord verkeerd intypen en dan een minuut moeten wachten om het nog een keer te mogen proberen al best heel erg frustrerend is voor gebruikers. Beter is het om het wachten op te laten lopen per mislukte keer, en die na een tijdje weer uit te laten doven.

Overigens, ik ben wel tegen het volgende aangelopen: Inloggen via ssh, per sleutel. Ging iets mis, kon niets anders dan enter duwen tot ik de prompt terugkreeg en dan pogen de juiste sleutel te pakken, etc. Dat is drie pogingen--hardcoded in het clientprogramma. De andere kant had fail2ban ingesteld op drie pogingen en dan een uur verbannen. Vriendelijk gevraagd of'ie die limiet naar vier wilde oprekken. Dat maakt voor de Chinezen met hun brute-forcen niet zoveel uit (ook omdat fail2ban er vooral is om je logs wat in te dammen, steun er niet op als veiligheidsmaatregel), maar betekent wel dat ik veel minder tegen dat probleem oploop.

Een hoop van de "oplossingen" hier zijn welbeschouwd nogal uit de lucht gegrepen, verzin iets en kijk of het acceptabel lijkt te werken. Dan zitten er wel eens nare rafelrandjes aan voor de legitieme gebruikers.
09-12-2018, 09:54 door Anoniem
Door Anoniem: Er zijn ook sites die het anders aanpakken. Die tonen een aantal plaatjes en dan krijg je bv. de opdracht om alle plaatjes waarop een bus staat afgebeeld weg te klikken. Kan het nieuwe deep learning algoritme dat ook oplossen?
Nou ik moet zeggen dat ik zulke plaatjes behoorlijk waardeloos vind. Vaak is nauwelijks te onderscheiden of er een verkeersbord, auto, bus of een etalage is. En dat terwijl ik zelf heel redelijke ogen heb. Voor oudere mensen en zeker voor slechtzienden zijn sites die dergelijke methodes gebruiken ontoegankelijk.

Wanneer dan (bijvoorbeeld) een huisarts een dergelijk systeem benut en daarmee de toegang voor een deel van zijn patienten blokkeert, is ie toch echt verkeerd bezig. Maar waarschijnlijk weet die huisarts dat helemaal niet, want iemand anders heeft dat voor hem geimplimenteerd, want die is o zo handig met computers.
10-12-2018, 12:44 door Anoniem
Door Anoniem:hoe weet de website dat die hash van een vinger is?
Omdat het via een API van Windows verloopt.
10-12-2018, 13:30 door Anoniem
Door Anoniem:

[..]
Overigens, ik ben wel tegen het volgende aangelopen: Inloggen via ssh, per sleutel. Ging iets mis, kon niets anders dan enter duwen tot ik de prompt terugkreeg en dan pogen de juiste sleutel te pakken, etc. Dat is drie pogingen--hardcoded in het clientprogramma. De andere kant had fail2ban ingesteld op drie pogingen en dan een uur verbannen. Vriendelijk gevraagd of'ie die limiet naar vier wilde oprekken. Dat maakt voor de Chinezen met hun brute-forcen niet zoveel uit (ook omdat fail2ban er vooral is om je logs wat in te dammen, steun er niet op als veiligheidsmaatregel), maar betekent wel dat ik veel minder tegen dat probleem oploop.

Zoek even uit hoe je een specifieke SSH sleutel voor dat account meegeeft, in plaats van alle sleutels uit je agent laten proberen en vragen om de login retry limiet hoog genoeg te zetten voor 'al' jouw sleutels.

Het probleem is inderdaad bekend , en een ssh-key-poging telt ook als login poging, maar het heeft een echte oplossing in plaats van de limiet 'hoog genoeg' zetten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.