reCaptcha
Sicherheit

Warum kein Captcha(reCaptcha) sicher ist!

Guten Abend,

der Titel klingt erstmal brisant. Heute erkläre ich euch warum ein Captcha nie zu 100% sicher sein kann.

reCaptcha

reCaptcha ist derzeit eines der sichersten Captcha-Systeme, dennoch aber nicht zu 100% gegen Bots sicher. Maschinen können die Captchas von Google nur schwer knacken. Im Grunde erfüllt reCaptcha damit seinen Zweck. Wenn wir allerdings davon ausgehen das ein Bot die Captchas auf den Seiten ausliest und Menschen zur Verfügung stellt, die dieses Captcha Lösen müssen, muss man die Eingaben der „Testpersonen“ „nur noch“ vergleichen und die häufigste Zeichenfolge in das Captcha-Feld eintragen.

So, damit wäre das schonmal grob zusammengefasst, jetzt gehen wir nochmal ins Detail 🙂

Google-reCaptcha Beispiel

Schritt 1 – Benötigte Daten

  1. 10 „Testpersonen“
  2. TCP-Packetsniffer
  3. Server zum Temprären ablegen der Captchas
  4. Captcha-Lösungs-Software für die Testpersonen
  5. Eine Datenbank

Schritt 2 – Captchas auslesen und ablegen

Zunächst wird ein Packetsniffer der in den Bot integriert ist die TCP-Packets und somit die Bildadresse des Captchas auslesen.
Dieses Captcha wird dann auf den Server temporär abgelegt. Nun wird noch ein Eintrag(mit der Captcha-Adresse) in die Datenkbank geschrieben um die Daten der
„Testpersonen“ später festzuhalten.

Schritt 3 – Captchas lösen

Als nächstes beginnt das verteilen. Die Testpersonen bekommen das Captcha in der Lösungssoftware angezeigt und müssen nun die richtige Zeichenfolge eingeben.
Da 10 Personen das gleiche Captcha bekommen kann man hier direkt prüfen ob es unterschiedliche eingaben gibt und dann die häufigste eingabe als Lösung nehmen.
Beispiel:
Der Captcha-Text ist „H4110 W317“ die 10 Personen geben folgendes ein:

  1. H4110 W317
  2. H4110 W317
  3. H4110 W317
  4. H4110 W317
  5. H4110 W317
  6. H4110 W317
  7. H4110 W317
  8. H4110 W317
  9. H0070 W137
  10. H4110 W137

Hier wird nun automatisch als häufisgte Eingabe „H4110 W317“ berechnet.
Die Einträge werden in der Datenbank am jeweiligen Captcha hinterlegt.

Schritt 4 – Rückgabe an den Bot

Der Bot prüft während des Lösungsprozesses regelmäßig ob das Captcha bereits von allen Personen gelöst wurde. Ist dies der Fall werden die Eingaben ausgewertet und in das Feld zurückgeben.
Somit wäre das Captcha gelöst.

Schlusswort

Die ist jetzt keine Kritik an Captcha Systeme insbesondere reCaptcha sondern eher ein Schreibtischtest, welcher aufzeigt dass jedes System schwachstellen haben kann.

In diesem Sinne, noch einen schönen Abend 🙂


611x gelesen

Print Friendly, PDF & Email

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.