© Screenshot

Stanford
11/03/2011

Sicherheitsproblem bei CAPTCHAs festgestellt

Die Software "Decaptcha" von Forschern an der US-Universität Stanford kann jenen Code entschlüsseln, der eigentlich Schad-Programme von Menschen unterscheiden soll und Teil der Sicherheitssysteme nahezu aller großen Web-Dienste ist.

Drei Forscher an der kalifornischen Universität Stanford haben ihrem Forschungsbericht (PDF) zufolge einen Weg gefunden, um die Sicherheitstechnologie CAPTCHA auszutricksen. Dieses hilft Webseiten dabei, automatisierte Programme von Menschen zu unterscheiden, die auf einen Web-Dienst zugreifen. CAPTCHAs ("Completely Automated Public Turing tests to tell Computers and Humans Apart") zeigen meist eine zufällige, grafisch verzerrte Zeichenfolge in einem Bild an. Der User ist dann gefordert, diese Zeichen per Hand auf der Webseite einzugeben und soll so beweisen, dass er tatsächlich menschlich ist.

Große Web-Unternehmen wie Google, Facebook oder eBay vertrauen in ihren Sicherheitssystemen auf CAPTCHAs - möglicherweise aber nur bis jetzt. Denn die Standford-Forscher konnten den Code der Bilderrätsel knacken und automatisierte Software programmieren, die die CAPTCHAs entschlüsseln können. Das "Decaptcha" getaufte Tool soll 13 von 15 gängigen Verschlüsselungen knacken können, indem es das Bildrauschen entfernt und die einzelnen Zeichen aus dem Bild ausliest. Auf diesem Weg konnte "Decaptcha" etwa die Systeme von VISA, eBay, Wikipedia oder CNN austricksen.

Einzig die Systeme von Google und der Firma reCAPTCHA, eine Google-Tochter, schaffte "Decaptcha" im Test nicht. Die Wissenschaftler raten Webseiten, die CAPTCHAs einsetzen nun, diese auf ihre Sicherheit zu überprüfen. VISA und Digg.com haben bereits auf die Studienergebnisse reagiert und sind auf die Services von reCAPTCHA umgestiegen.

Mehr zum Thema