¿Qué es el sistema CAPTCHA más seguro? [cerrado]

Lo más seguro es muy subjetivo. Incluso se sabe que el sistema Captcha de Google se ha roto en ocasiones, un ejemplo fuera de muchos. Trate al Captcha como un golpe de velocidad para disuadir a las personas de hacer un gran esfuerzo para romperlo. Las casillas de verificación si su bump de velocidad es lo suficientemente buena es ... mantenida por una empresa de confianza, se actualiza periódicamente y es utilizable. Sé que usted dijo ignorar la usabilidad, pero el factor humano no puede ser ignorado.

Cuestiono tu premisa. Un sitio implementado correctamente debe hacerse seguro sin un Captcha. Una vez que haya logrado el nivel adecuado de seguridad que necesita, agregar un captcha debe considerarse solo como una conveniencia para evitar que los robots envíen formularios o realicen ciertas acciones. En otras palabras, si un bot realiza la acción, o una persona, no debería hacer ninguna diferencia con respecto a la seguridad. Como ejemplo, si le preocupa que un bot intente forzar brutalmente las credenciales de inicio de sesión de un usuario, debe bloquear esos intentos en el nivel de firewall y / o bloquear la cuenta durante un cierto período de tiempo después de X intentos. Es por eso que rara vez ves Captchas en una pantalla de inicio de sesión.

El valor de usar Captchas es cuando los usuarios no autenticados pueden realizar acciones que escriben datos en algún lugar, o cuando ofrece una herramienta gratuita que no desea que se abuse de ella. Algunos ejemplos serían la publicación de comentarios anónimos, el registro de una cuenta gratuita, el envío de un mensaje anónimo, la consulta de un conjunto de datos gratuito, etc. "y evite el abuso de sus sistemas, pero en general, la basura o el abuso en sí mismo no deberían causar problemas de seguridad.

La seguridad de la información se ocupa del análisis de riesgos.

Parte de este entendimiento es que ningún sistema es seguro en todas partes, todo el tiempo. Lo mismo se aplica a los sistemas CAPTCHA.

CAPTCHA están diseñados para impedir (no detener) scripts / bots automatizados. Como mencionó con AI, se está volviendo mucho más difícil encontrar formas de desafiar a los usuarios para que determinen si son robots o seres humanos reales.

Se ha argumentado que la mejor manera es usar un sistema de comparación de imágenes y personalizarlo. Por ejemplo, si tuviera un sitio sobre el videojuego Half Life 2, es posible que desee seleccionar imágenes que se relacionen con él y ver si un usuario puede elegir correctamente todas las imágenes que incluyen Alyx (un personaje del juego). Esto hace dos cosas:

• El ataque debe estar diseñado específicamente para el sitio (debido a las imágenes únicas)
• Un desarrollador debe abordar la manera de elegir de manera confiable no solo 1 imagen, sino todas ellas.

La otra área de preocupación son aquellos usuarios humanos que tienen discapacidades como discapacidades de la vista que no pueden diferenciar colores similares, usar lectores de pantalla, etc.

Los sistemas CAPTCHA deben actualizarse constantemente, a medida que la tecnología mejora. Hasta qué punto se equilibra la accesibilidad y la seguridad es un factor importante. Algunos sistemas son mucho más seguros que otros, pero impiden que los usuarios humanos accedan a los sistemas.