Si sabemos que CAPTCHA puede ser vencido, ¿por qué los seguimos usando?

23

Si sabemos que CAPTCHA puede ser superado, ¿por qué los seguimos usando?

Una tasa de éxito del 35% al 90%, como indica wikipedia, significa que el software es mejor para resolver CAPTCHAs que yo.

    
pregunta sup 08.01.2013 - 03:40
fuente

3 respuestas

30

Los CAPTCHA son una compensación entre la paciencia de los atacantes y la paciencia de los usuarios normales. Incluso si pueden ser derrotados, siguen cumpliendo su propósito si frenan a los atacantes lo suficiente como para desalentar a algunos de ellos, sin asustar a demasiados usuarios potenciales.

Por supuesto, como es habitual en TI, muchos sistemas se usan, implementan y adoptan debido al cargo sect . Los CAPTCHA están de moda y esto es suficiente para asegurar su uso generalizado.

    
respondido por el Thomas Pornin 08.01.2013 - 04:04
fuente
23

Todo ( todo ) en seguridad se compara con el costo. El propósito de CAPTCHA, al igual que el propósito del cifrado, el propósito de la seguridad física, el propósito de las contraseñas y el propósito de virtualmente cualquier otra medida de seguridad [*] es aumentar el costo de elusión, para no hacer imposible la elusión.

La intención es, específicamente, aumentar el costo de elusión por encima del valor de la elusión. Un buen ejemplo de una aplicación efectiva son los captchas en los comentarios del blog. Si los comentarios pueden ser publicados por procesos automatizados de bajo costo, entonces el spam es inevitable; El valor de los comentarios de spam es mayor que el costo casi insignificante. Pero la introducción de un paso de CAPTCHA aumenta dramáticamente el costo en recursos de computadora y (lo que es más importante) la disponibilidad del software hasta tal punto que intentar resolver este problema no tiene sentido financiero para el atacante.

Como resultado, los CAPTCHA, a pesar de su enfoque relativamente poco sofisticado, generalmente eliminan casi el 100% del spam de blog para la mayoría de los sitios.

-
[*] - Excepto las claves simétricas de 256 bits. Eso es simplemente imposible de aplicar a fuerza bruta a cualquier precio, dados los límites actuales de la termodinámica.

    
respondido por el tylerl 08.01.2013 - 09:34
fuente
4

CAPTCHAS a menudo son utilizados por sitios que no requieren una cuenta (nombre de usuario, contraseña). El contenido puede ser copiado de forma trivial y ser usado por otro sitio. Un CAPTCHAS es el equivalente de un cerrojo. Envía al ladrón a la casa del vecino en lugar de a la tuya, porque la tuya es un poco más difícil de penetrar.

    
respondido por el this.josh 08.01.2013 - 07:44
fuente

Lea otras preguntas en las etiquetas