Was ist der Zweck der CAPTCHA-Technologie und wie funktioniert sie?

Welche Technologie wird in Blogs und einigen Websuchwerkzeugen verwendet, wenn einem Benutzer ein Feld mit Buchstaben angezeigt wird und die angezeigten Informationen erneut eingeben muss, um seine Identität oder den beabsichtigten Empfänger zu überprüfen?

Diese Technologie ist ein Akronym für Completely Automated Public Turing Test, um Computer und Menschen voneinander zu unterscheiden. A ist normalerweise ein grafisches Bild mit einer Reihe verzerrter Buchstaben auf einem ebenso verzerrten oder mehrfarbigen Hintergrund. Andere Arten von Herausforderungen erfordern, dass ein Benutzer Fotos identifiziert, einfache Rechenaufgaben ausführt, eine Antwort auf ein Audio-Snippet gibt oder einfach auf ein Feld klickt, in dem steht: “Ich bin kein Roboter.”

Der Algorithmus ist öffentlich, wie das “P” im Namen andeutet. Der Test wurde um 1996 in verschiedenen Formen entwickelt, erhielt seinen unverwechselbaren Namen jedoch im Jahr 2000 von Forschern der Carnegie Mellon University und IBM. Das Knacken des Algorithmus macht das Bild nicht anfällig, da der Algorithmus nur zum Generieren der zufälligen Reihe von Buchstaben und Zahlen im Bild verwendet wird. Das System funktioniert, weil Menschen und Computer Zeichenketten unterschiedlich verarbeiten.

Warum ist wichtig?

Einer der wichtigsten Gründe für ist die Verteidigung gegen Anzeigen-Spammer, die ihre Betrügereien in Kommentaren auf Webseiten bewerben. Indem alle Benutzer aufgefordert werden, die Authentifizierung auszuhandeln, können Administratoren Spammer herausfiltern, die versuchen, ihre Aktivitäten zu automatisieren.

Die Technologie authentifiziert, dass eine reale Person auf den Webinhalt zugreift, um Spammer und Bots zu blockieren, die versuchen, automatisch E-Mail-Adressen zu sammeln oder sich automatisch für den Zugriff auf Websites, Blogs oder Foren anzumelden. blockiert automatisierte Systeme, die die verzerrten Buchstaben in der Grafik nicht lesen können.

Funktionsweise

ist eine Form der Challenge-Response-Authentifizierung, bei der Herausforderungen verwendet werden, auf die Personen leicht reagieren können, die für Bots jedoch schwierig sind. Anstatt die Identität der Person zu authentifizieren, die auf die Ressource zugreift, wird verwendet, um zu authentifizieren, dass die Entität, die versucht, auf die Ressource zuzugreifen, tatsächlich ein Mensch und kein Bot oder eine andere schädliche Software ist.

Herausforderungen müssen schwierig genug sein, um Angriffe zu besiegen, die mithilfe von KI versuchen, sie zu lösen, aber einfach genug für Menschen, um sie zu lösen.

Eines der Probleme ist, dass die Zeichen manchmal so verzerrt sind, dass sie nicht einmal von Menschen mit guter Sicht erkannt werden können – geschweige denn von sehbehinderten Menschen. Abhängig von den lokalen Barrierefreiheitsvorschriften für Websites kann dies für einige webbasierte Unternehmen auch ein Compliance-Problem darstellen.

Auch wenn die Entwickler das Dienstprogramm weiter verbessern, sind Angreifer immer auf der Hut vor neuen Schwachstellen und Taktiken zum Besiegen . Im Jahr 2015 wurde die Umgehung von Malware in Android-Apps entdeckt, die über den Google Play Store angeboten werden. Und Anfang 2019 berichteten Sicherheitsforscher über die Möglichkeit, gesprochene Phrasen mit dem Un-Proof-of-Concept-Angriff zu umgehen. Das re-Projekt zielt darauf ab, es zu stärken, auch wenn Angreifer es weiterhin durch Exploits wie ReBreak angreifen.

Verwendung

Verwendung für Webseiten, die Eingaben von nicht authentifizierten Benutzern akzeptieren. wird normalerweise nicht benötigt, um Eingaben von Benutzern zu akzeptieren, die sich bereits in ihren Konten angemeldet haben, aber es kann dazu beitragen, nicht authentifizierte Benutzer – wie Bots – zu verlangsamen, die versuchen, Spam-Kommentare in Foren oder Blogs zu veröffentlichen, ohne als legitime Benutzer authentifiziert werden zu müssen.
Die Technologie ist einfach zu implementieren, erfordert jedoch Kenntnisse in PHP oder anderen Webskriptsprachen. Weitere Informationen zur Integration von Schutzfunktionen finden Sie im Entwicklerhandbuch des re-Projekts.