He leído que captcha no es una solución perfecta para proteger un sitio web donde, por ejemplo, el usuario puede crear una cuenta, ya que hay muchas personas en diferentes países que prácticamente leen captchas para ganarse la vida, por lo que estoy considerando usar un correo electrónico confirmación en su lugar en mi sitio.
¿Pero es esa una mejor solución o existen algunas vulnerabilidades con ese método también? ¿Hay tal vez otras soluciones que no he encontrado?
Ningún método es infalible para bloquear solicitudes automatizadas, pero ambos han sido efectivos para mí en el pasado. Déjame explicarte:
La automatización de una respuesta a un correo electrónico es bastante fácil, y por lo tanto no puede tomarse como garantía de que el cliente no es un bot. Del mismo modo, el captcha se rompe fácilmente (ni siquiera con humanos). Por ejemplo, el grupo de hackers DC949 lanzó recientemente stiltwalker , que puede omitir de manera confiable recaptcha y muchos otros servicios populares de captcha. Como suele ser la regla de seguridad, si alguien está suficientemente determinado, puede entrar.
Sin embargo, la verificación del correo electrónico y la recaptcha han tenido un gran impacto para mí en el pasado cuando luchaba contra las cuentas / reseñas de spam. Si bien puede evitarse, muchos spammers no saben cómo y / o no se molestan. Entonces, aunque no es "seguro", sigue siendo efectivo.
P.S. Otra técnica que he escuchado es el uso de javascript para medir la cantidad de tiempo que el usuario pasó en la página web antes de enviar. La mayoría de los bots enviarán las cosas casi instantáneamente (si es que incluso ejecutan el javascript), así que verificar que hayan transcurrido un segundo o 2 ya que la página procesada también puede bloquear una gran cantidad de spam.
Ambos resuelven diferentes problemas.
Como tal, debes usar ambos. Sin embargo, un determinado spammer simplemente subcontratará la resolución de CAPTCHA basada en imágenes a países del tercer mundo, o hará que usuarios confiados los resuelvan mediante ataques de phishing.
El mejor tipo de CAPTCHA es uno que el usuario nunca ve. Como tal, un honeypot CAPTCHA es una de las opciones más efectivas y fáciles de usar.
Confirmación de correo electrónico y CAPTCHA resuelve diferentes problemas. La primera debería implementarse cuando desee que los usuarios utilicen su dirección de correo electrónico real en el proceso de registro. La confirmación por correo electrónico también nos protege del robo de identidad . No puedo registrarme tecleando la dirección de correo electrónico de whitehouse.gov y pretender que soy el Presidente (porque no puedo hacer clic en el enlace de confirmación enviado a whitehouse.gov porque no soy el propietario de esta dirección). Por lo tanto, la confirmación por correo electrónico permite vincular a cada usuario a cada dirección de correo electrónico.
Sin embargo, la confirmación por correo electrónico no nos protege de los robots (como lo hace el CAPTCHA). Honestamente, casi todos los robots de spam que he visto han implementado la confirmación por correo electrónico. Es realmente fácil y solo son unas pocas líneas de código para forzar a nuestro programa a revisar los correos electrónicos y hacer clic en cada enlace de activación). El detalle interesante es que algunos de los bots de spam usaron 123456 como contraseña para las cuentas de sus webmails.
Entonces, hablemos sobre el CAPTCHA. Fue creado para distinguir entre humano y robot . Leer el texto de la imagen, resolver fórmulas matemáticas, etc. El problema principal es que los robots en línea aún están evolucionando. Sus módulos se están actualizando, no tienen problemas para resolver fórmulas, sus módulos de OCR son mejores (por lo que pueden extraer texto de la imagen). Todo esto significa que CAPTCHA no es el 100% de protección contra los no humanos, pero es la primera línea de defensa y es muy recomendable.
El mejor CAPTCHA es el CAPTCHA que usted implementó. Confía en mí, muchas personas prueban su suerte rompiendo el popular CAPTCHA. ¿Por qué? La respuesta es muy fácil aquí. Los CAPTCHAS populares son utilizados por muchos sitios web. Si podemos romper ese CAPTCHA, podríamos poner mucho contenido de spam en esos sitios web. Entonces, si su sitio web no es muy popular y tiene implementación propia de CAPTCHA, estoy bastante seguro de que nadie perderá su tiempo y dinero para romper su CAPTCHA. Sin embargo, si no está seguro de cómo implementarlo de la manera adecuada, puede probar CAPTCHA no obvios. Como CAPTCHA basado en imágenes ( aquí es el ejemplo) o 3D CAPTCHA ( otro ejemplo).
Probaría un CAPTCHA más la verificación por correo electrónico, como sugieren otros, y vería si es lo suficientemente bueno para su sitio. Si es así, bueno, problema resuelto!
Si eso no resulta adecuado, hay otras opciones que puede considerar:
Verificación de telefonía móvil. Le pide al usuario que ingrese su número de teléfono móvil, le envía un SMS (mensaje de texto) con un código y le pide que ingrese el código en el sitio web. O bien, realice una llamada telefónica automatizada a su línea telefónica fija. Piensa cómo lo hace Google Voice.
Sin embargo, muchos usuarios pueden ser reacios a darle su número de teléfono, por diversas razones, especialmente si no es una marca muy conocida (como Google o Apple).
Subcontrata el problema. Por ejemplo, podría requerir que los usuarios inicien sesión con Facebook.
Sin embargo, algunos usuarios pueden ser reacios a iniciar sesión con una cuenta de Facebook, por ejemplo, por razones de privacidad. Además, las defensas de Facebook tampoco son perfectas.
Ten cuidado con estas opciones. No seas malvado Estas opciones pueden molestar fácilmente a los usuarios o alejar a los usuarios, así que sea muy reacio a usarlos a menos que tenga datos para indicar que son necesarios (y tal vez ni siquiera entonces). Exigir el número de teléfono o la cuenta de Facebook de un usuario es muy parecido a un "patrón oscuro".