¿Qué beneficio ofrecen los Captchas?

4

He investigado y encontrado los siguientes sitios que romperán los captchas:

  • anticaptcha
  • 2captcha

(enlaces no incluidos para evitar la promoción de los sitios)

Dado que estos servicios se pueden usar para dividir captchas, ¿cuál es el beneficio de usar captchas, especialmente porque pueden afectar a los usuarios humanos?

    
pregunta Alex 30.09.2018 - 12:33
fuente

3 respuestas

5

"dado que hay cerrajeros, ¿qué sentido tiene cerrar la puerta con llave?"

El hecho de que algo tenga limitaciones no significa que sea inútil. Esos servicios cuestan dinero, quizás más vale lo que vale una cuenta auto-registrada. También hay clases de atacantes que no tienen acceso a ese tipo de servicios. InfoSec es a menudo un juego de números, y los capthas son una forma barata (no perfecta) de dar números más grandes a los buenos.

    
respondido por el dandavis 02.10.2018 - 18:03
fuente
5

Sus fuentes vinculadas parecen ser servicios de captcha de pago para resolver. Estos ciertamente hacen que los captchas menos sean efectivos, pero ciertamente no los hacen inútiles.

Veamos los números, ya que este es un juego de números.

Recientemente, mi empresa tenía un problema de fuerza bruta en el que uno de nuestros portales web era de fuerza bruta: probaban a cada usuario que conocían a su vez, probaban 3 contraseñas y luego pasaban al siguiente usuario. Estaban promediando unos 2000 intentos por segundo. Resolvimos este problema colocando un portal de captcha frente a la página de inicio de sesión.

Sus fuentes vinculadas citan un tiempo de resolución de ~ 7 segundos para cada captcha, y cotizan $ 0.50 por 1000 imágenes.

Por lo tanto, para realizar el mismo ataque contra mi servidor, recibirían dos impactos de efectividad significativos -

Primero, estarían resolviendo 2000 intentos en 7 segundos, en lugar de en 1 segundo. Esto es, obviamente, solo 1/7 de la velocidad más rápida. Les llevará 7 veces más para encontrar una contraseña de trabajo. Esto no es astronómicamente alto, y si fuera gratis, podría valer la pena el esfuerzo de todos modos.

Segundo, estarían pagando 1 dólar por siete segundos de tiempo de ataque (.5 por 1000 captchas, 2000 resueltos por siete segundos - $ 1 por siete segundos). Si están haciendo este ataque por un día, están perdiendo ~ 12000 dólares. (60 * 60 * 24/7)

El objetivo principal de las cuentas de fuerza bruta como esta es robar información para venderla o usarla en ataques posteriores. El retorno de las cuentas que sí obtienen en un día casi nunca será igual a $ 12000. El ataque se vuelve poco rentable a menos que estés atacando algo muy importante.

    
respondido por el Adonalsium 02.10.2018 - 22:30
fuente
2

Cómo funcionan los captchas

La idea de un captcha es encontrar una tarea que es difícil para una máquina, pero fácil para un humano. Esto significa defender una acción que solo un humano debería realizar.

La idea no es necesariamente detener a todos los bots, sino frenarlos, haciendo que el ataque al sitio sea más costoso al menos en una de las siguientes formas:

  • poder de cómputo
  • precio
  • tiempo

Si los bots tienen una tasa de falla más alta que la humana, esto se puede usar para detectarlos, y se pueden usar otras defensas en ese punto.

Tipos de Captcha

  • Haciendo 1 de un grupo de preguntas
    • Esto es fácil para un ser humano, pero también puede serlo para un sistema que usa el procesamiento de lenguaje natural
  • leyendo texto básico
    • Esto es relativamente fácil, el reconocimiento óptico de caracteres es relativamente simple en comparación con otros desafíos
  • leyendo texto modificado
    • Esto hace que la lectura sea más difícil para las máquinas, pero también para los humanos, y algunas investigaciones tienen máquinas que obtienen mayores tasas de resolución que los humanos.
  • leyendo fotos
    • Esto puede ser difícil, pero hay algoritmos que lo pueden hacer
  • Identificar objetos en fotos
  • acciones humanas
    • Al "observar" cómo el usuario mueve el mouse, los tipos en su teclado u otros factores, se le puede dar una puntuación de la probabilidad de que sean bots.

Captcha rompiendo servicios

Los servicios de interrupción de Captcha funcionan mediante uno de los pocos métodos:

  • Intentando escribir un algoritmo para completar los desafíos

    Para algunos captchas más antiguos, esto podría ser posible, pero para muchos más nuevos, esto requeriría avances en áreas de investigación para hacerlo con una precisión razonable.

  • Intentando romper las defensas del captcha

    Esto funciona contra algunos captchas mal implementados, pero es relativamente raro en comparación con otros ataques.

  • Usando humanos para romper el captcha

    Esto agrega un costo, lo que significa que aunque aún pueden romperse, el costo por acción es de órdenes de magnitud más alto que sin un captcha en su lugar.

respondido por el jrtapsell 30.09.2018 - 13:04
fuente

Lea otras preguntas en las etiquetas