Question:
Si nous savons que CAPTCHA peut être battu, pourquoi les utilisons-nous encore?
sup
2013-01-08 08:40:07 UTC
view on stackexchange narkive permalink

Si nous savons que CAPTCHA peut être battu, pourquoi les utilisons-nous encore?

Un taux de réussite de 35% à 90% comme le dit wikipedia signifie que le logiciel est meilleur pour résoudre les CAPTCHA que moi.

Une discussion précédente sur CAPTCHA pourrait être une bonne lecture http://security.stackexchange.com/questions/26094/why-do-we-need-captcha-in-what-case-we-should-use-it
Il est important de souligner que seules certaines versions de CAPTCHA peuvent être battues. Le modèle CAPTCHA est toujours en cours de révision pour rendre plus difficile pour le logiciel de résoudre le défi. Dans certains cas, un humain ne peut même pas le résoudre, j'ai dû tenter un défi CAPTCHA 30 fois, avant d'avoir raison.
Consultez cette page sympa - Contient une gamme de captchas qui ont un but utile. Http://sites.google.com/site/suhasprojectprofilesite/webpage/captchaswithapurpose
Trois réponses:
Thomas Pornin
2013-01-08 09:04:30 UTC
view on stackexchange narkive permalink

Les CAPTCHA sont un compromis entre la patience des attaquants et la patience des utilisateurs normaux. Même s'ils peuvent être battus, ils servent toujours leur objectif s'ils ralentissent suffisamment les attaquants pour en décourager au moins certains, sans effrayer trop d'utilisateurs potentiels.

Bien sûr, comme il est d'usage en informatique, de nombreux systèmes sont utilisés, déployés et adoptés en raison du culte du fret. Les CAPTCHA sont à la mode et cela suffit pour garantir leur utilisation généralisée.

La meilleure façon d'y penser, imo, est de donner la priorité à votre temps. Si vous pouvez bloquer 85% des bots automatisés avec un CAPTCHA, cela signifie que vous n'avez à faire du travail manuel que pour les 15% restants, plutôt que pour tous.
Mais ne pourrait-il pas y avoir un meilleur moyen de bloquer les attaquants? Y en a-t-il qui existent?
il n'y a pas de test de turing automatisé donc il n'y a aucun moyen de bloquer tous les attaquants automatisés
N'oublions pas le crowdsourcing! Configurez simplement un site porno gratuit avec des CAPTCHA distants stratégiquement placés et demandez à vos visiteurs de les résoudre pour les supprimer.
tylerl
2013-01-08 14:34:38 UTC
view on stackexchange narkive permalink

Tout ( tout ) en sécurité est mis en balance avec le coût. Le but du CAPTCHA, tout comme le but du chiffrement, le but de la sécurité physique, le but des mots de passe et le but de pratiquement toutes les autres mesures de sécurité [*] est d'augmenter le coût de contournement, pour ne pas rendre le contournement impossible.

L'intention est, en particulier, d'augmenter le coût du contournement au-dessus de la valeur de contournement. Les captchas sur les commentaires de blog sont un bon exemple d'application efficace. Si les commentaires peuvent être publiés par des processus automatisés à faible coût, le spam est inévitable; la valeur des commentaires de spam dépasse le coût presque négligeable. Mais l'introduction d'une étape CAPTCHA augmente considérablement le coût des ressources informatiques et (plus important encore) de la disponibilité des logiciels à un point tel que tenter de résoudre ce problème n'a pas de sens financier pour l'attaquant.

En conséquence , Les CAPTCHA, malgré leur approche relativement simple, éliminent généralement près de 100% du spam de blog pour la plupart des sites.

-
[*] - Sauf pour 256 -bits clés symétriques. C'est tout simplement impossible de faire de la force brute à n'importe quel prix étant donné les limites actuelles de la thermodynamique.

+1 pour mentionner le coût de la solution et l'importance de mesurer leur coût / inconvénient
Point secondaire: la conjecture que l'AES 256 bits ne peut pas être rompue repose sur "l'hypothèse que ... l'attaque la plus connue contre [elle] est toujours la force brute" ([même source] (http://security.stackexchange.com/ a / 25888/2264)).
@EliahKagan oui. C'est pourquoi j'ai dit "impossible à la force brute" au lieu de "impossible à casser", même si ce dernier sonnait mieux, ce n'est pas techniquement précis.
La valeur pour un spammeur de publier sur les commentaires d'un blog est dans de nombreux cas susceptible d'être suffisamment faible pour que forcer un spammeur à faire ne serait-ce que quelques secondes de travail ciblé afin de spammer un blog rendrait l'effort non rentable à moins que le spammeur ne puisse vendre une liste de blogs lisible par machine et comment les spammer; la valeur d'une telle liste pour l'acheteur pourrait être rapidement minée si les blogueurs modifiaient leurs questions pseudo-Captcha lors de la détection d'un spam.
this.josh
2013-01-08 12:44:13 UTC
view on stackexchange narkive permalink

Les CAPTCHAS sont souvent utilisés par les sites ne nécessitant pas de compte (nom d'utilisateur, mot de passe). Le contenu peut ensuite être copié et utilisé par un autre site. Un CAPTCHAS est l'équivalent d'un pêne dormant. Il envoie le voleur chez le voisin au lieu de la vôtre, car la vôtre est un peu plus difficile à pénétrer.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...