He investigado y encontrado los siguientes sitios que romperán los captchas:
(enlaces no incluidos para evitar la promoción de los sitios)
Dado que estos servicios se pueden usar para dividir captchas, ¿cuál es el beneficio de usar captchas, especialmente porque pueden afectar a los usuarios humanos?
"dado que hay cerrajeros, ¿qué sentido tiene cerrar la puerta con llave?"
El hecho de que algo tenga limitaciones no significa que sea inútil. Esos servicios cuestan dinero, quizás más vale lo que vale una cuenta auto-registrada. También hay clases de atacantes que no tienen acceso a ese tipo de servicios. InfoSec es a menudo un juego de números, y los capthas son una forma barata (no perfecta) de dar números más grandes a los buenos.
Sus fuentes vinculadas parecen ser servicios de captcha de pago para resolver. Estos ciertamente hacen que los captchas menos sean efectivos, pero ciertamente no los hacen inútiles.
Veamos los números, ya que este es un juego de números.
Recientemente, mi empresa tenía un problema de fuerza bruta en el que uno de nuestros portales web era de fuerza bruta: probaban a cada usuario que conocían a su vez, probaban 3 contraseñas y luego pasaban al siguiente usuario. Estaban promediando unos 2000 intentos por segundo. Resolvimos este problema colocando un portal de captcha frente a la página de inicio de sesión.
Sus fuentes vinculadas citan un tiempo de resolución de ~ 7 segundos para cada captcha, y cotizan $ 0.50 por 1000 imágenes.
Por lo tanto, para realizar el mismo ataque contra mi servidor, recibirían dos impactos de efectividad significativos -
Primero, estarían resolviendo 2000 intentos en 7 segundos, en lugar de en 1 segundo. Esto es, obviamente, solo 1/7 de la velocidad más rápida. Les llevará 7 veces más para encontrar una contraseña de trabajo. Esto no es astronómicamente alto, y si fuera gratis, podría valer la pena el esfuerzo de todos modos.
Segundo, estarían pagando 1 dólar por siete segundos de tiempo de ataque (.5 por 1000 captchas, 2000 resueltos por siete segundos - $ 1 por siete segundos). Si están haciendo este ataque por un día, están perdiendo ~ 12000 dólares. (60 * 60 * 24/7)
El objetivo principal de las cuentas de fuerza bruta como esta es robar información para venderla o usarla en ataques posteriores. El retorno de las cuentas que sí obtienen en un día casi nunca será igual a $ 12000. El ataque se vuelve poco rentable a menos que estés atacando algo muy importante.
La idea de un captcha es encontrar una tarea que es difícil para una máquina, pero fácil para un humano. Esto significa defender una acción que solo un humano debería realizar.
La idea no es necesariamente detener a todos los bots, sino frenarlos, haciendo que el ataque al sitio sea más costoso al menos en una de las siguientes formas:
Si los bots tienen una tasa de falla más alta que la humana, esto se puede usar para detectarlos, y se pueden usar otras defensas en ese punto.
Los servicios de interrupción de Captcha funcionan mediante uno de los pocos métodos:
Intentando escribir un algoritmo para completar los desafíos
Para algunos captchas más antiguos, esto podría ser posible, pero para muchos más nuevos, esto requeriría avances en áreas de investigación para hacerlo con una precisión razonable.
Intentando romper las defensas del captcha
Esto funciona contra algunos captchas mal implementados, pero es relativamente raro en comparación con otros ataques.
Usando humanos para romper el captcha
Esto agrega un costo, lo que significa que aunque aún pueden romperse, el costo por acción es de órdenes de magnitud más alto que sin un captcha en su lugar.
Lea otras preguntas en las etiquetas captcha web-service