'Captcha's niet geschikt om aanvallers tegen te houden'
Gepubliceerd: Donderdag 28 februari 2008
Auteur: Wilbert de Vries en Maarten Reijnders
Beveiliging met behulp van captcha-codes is ongeschikt om de hedendaagse financieel gemotiveerde aanvallers buiten de deur te houden.
Dat betoogt Gunter Ollmann op het Frequency X Blog. Eerder deze week werd bekend dat spammers er in zijn geslaagd om de captcha-beveiliging van Gmail te doorbreken. Eerder gingen ook al de captcha's (Completely Automated Public Turing test to tell Computers and Humans Apart) van Windows Live Hotmail en Yahoo voor de bijl.
Het is natuurlijk mogelijk om de captcha-beveiliging sterker te maken, schrijft Ollman, maar dergelijke maatregelen zouden alleen maar ten koste gaan van bonafide gebruikers van maildiensten. Voor ouderen en slechtzienden wordt het daardoor immers moeilijker om de captcha-code goed over te typen. "De captcha's zijn nu al lastig voor een flink percentage van de internetgebruikers", aldus Ollman.
Volgens de security-expert van IBM is het ook weer niet direct nodig om helemaal af te stappen van de captcha's. "Je kunt ze nog inzetten als een verkeersdrempel om je te beschermen tegen script kiddies en hun niet zo geavanceerde aanvalsgereedschap."
Vooralsnog zijn captcha's zeker nog nuttig als eerste verdedigingslinie. Zo blijken de kraakmethodes voor de captcha's in Gmail en Windows Live Hotmail verre van perfect. Bij Windows Live Hotmail slagen de spammers er in één op de drie gevallen in om de captcha goed te ontcijferen. En bij de door Gmail gegenereerde captcha's bedraagt het slagingspercentage van de bots slechts 20 procent.
Bron: Techworld
