Zurück

Captcha Sicherheit

02.09.2013 21:53 von Samuel

Ein Captcha dient zur Unterscheidung oder Erkennung von Mensch und Maschine. Ein Captcha wird z.B. bei einem Kontaktformular verwendet um Spam vorzubeugen. Der Benutzer muss die Textfolge die meistens als Bild dargestellt wird, zur Überprüfung in ein Feld tippen.

Es gibt verschiedene Arten von Captchas. Einige davon sind:

  • Text als Bild
  • Eine Rechnung (meist Addition)
  • Zusammenfügen von Bildern (Puzzle)
  • Hören (Text wird vorgesprochen)
  • Frage

Standard Captcha

Einen Text als Bild anzeigen ist die wohl meist verwendete Technik und gillt als relativ sicher. Jedoch sollte man darauf achten, dass man nicht eine sehr einfache Schrift auswählt. Ein (zu) einfaches Captcha wäre beispielsweise dieses:

Besser wäre dieses. Jedoch auch schwieriger zu erkennen:

Unsicheres Captcha

Zu den unsicheren Captchas gehören meiner Meinung nach die Rechen-Captchas welche eine Rechnung anzeigen (Meist als Text) und man das Resultat in ein Feld schreiben soll. Das Problem hierbei ist, dass man die Zahlen die addiert werden sollen, einfach auslesen kann. Mit den ausgelesenen Zahlen muss man dannach nur noch das Resultat berechnen. Dieses Resultat kann man automatisch errechnen ohne dass ein Mensch anwesend sein muss. Daher ist dies sehr unsicher.

Unschlagbare Dummheit

Es gibt tatsächlich auch unübertreffbare Dummheit wenn es um Captchas geht. Wir haben bereits ein unsicheres und sicheres Captcha gesehen welches Text als Bild anzeigt. Wenn sich Dummheit und Unwissenheit trifft, kann es schon einmal zu seltsamen Captchas kommen.

Die Frage, warum dieses Captcha sehr unsicher ist, erübrigt sich beim Betrachten dieses Screenshots:

Hier wird tatsächlich die richtige Antwort als MD5-Hash in ein Hidden-Feld geschrieben, um dannach mit PHP zu überprüfen ob die Eingabe gleich ist wie das Resultat im Hidden-Feld. Ein MD5 Hash ist sehr unsicher und kann (vorallem bei 4 Zeichen) sehr schnell und automatisch geknackt werden.

 

Poul-Henning Kamp, der Entwickler des populären Hash-Algorithmus MD5, erklärte seine Software am gestrigen Donnerstag offiziell für veraltet. MD5 solle nicht mehr im professionellen Umfeld eingesetzt werden, da sie “nicht mehr als sicher zu betrachten” sei, so Kamp.

@Quelle: http://www.gulli.com/news/19016-hash-algorithmus-md5-zu-unsicher-fuer-professionelle-nutzung-2012-06-08

Die zweite Zeile, in der die IP “127.0.0.1″ (Wikipedia), in ein Feld geschrieben wird, macht das Ganze noch etwas unprofessioneller.

Welches Captcha soll ich benutzen?

Grundsätzlich kann man jedes Captcha knacken. Nur ist die Frage, in welcher Zeitspanne dieses knacken kann. Es macht keinen Sinn eine Stunde zu warten um ein Captcha zu knacken. Das reCAPTCHA von Google hat sich relativ gut durchgesetzt und wird von vielen Seiten verwendet. Es bringt einen guten Schutz mit sich und hat sich in der Praxis bewährt.

Allerdings ist dies ein Produkt von Google. Da Google als Datensammler bekannt ist, muss jeder nach eigenem Ermessen abschätzen können, wie vertrauenswürdig Google wirklich ist.

Zurück

Einen Kommentar schreiben