Captchas im Test: 13 von 15 geknackt

Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart) sind textbasierte Anti-Spam-Tests, die Webseiten ermöglichen, bei den Eingaben zwischen Mensch oder Maschine zu unterscheiden. Dadurch sollen automatisierte Angriffe verhindert werden. Bei den Captchas handelt es sich um Bilder mit meist kurzen Texten, die man bei vielen Web-Formularen findet. Der richtige Inhalt muss vom Benutzer eingetippt werden - erst dann kann er beispielsweise einen Kommentar abschicken oder ein neues Konto in einem Forum registrieren. Für Captchas können auch Bilder oder Rechenaufgaben verwendet werden.

Wie jetzt Forscher an der Universität Stanford herausfanden (PDF-Datei), sind die Captcha-Abfragen bei weitem nicht so sicher, wie bisher gedacht. Wie sich herausstellte, sind die meisten Captchas ziemlich einfach auszutricksen.

Mit einer eigens dafür programmierten Texterkennungssoftware namens Decaptcha haben die Forscher Elie Bursztien, Matthieu Martin und John Mitchell 15 unterschiedliche Systeme getestet. Das Ergebnis war nicht befriedigend. In 13 Fällen konnten die Captcha-Texte mit einer durchschnittlichen Erfolgsrate von bis zu 50 Prozent identifiziert werden. Nach Meinung des Stanford-Teams ist bereits eine Erfolgsrate von einem Prozent untragbar, da automatisierte Angriffe unzählige Versuche innerhalb kürzester Zeit starten können. Die hohe Erkennungsrate erzielten die Forscher durch die Ausblendung gezielt eingebrachter Bild-Hintergrundstörungen. Außerdem teilt das Programm die Zeichenfolgen in Einzelteile auf.

Bei MegaUpload authentifizierte sich das Programm sogar bei 93 Prozent der Versuche als vermeintlicher Mensch. Bei Blizzard schaffte es immerhin noch 70 Prozent, bei Visas Authorize.net 66 Prozent aller Abfragen. Bei eBays Captcha konnte in 43 Prozent der Abfragen umgangen werden. Etwas weniger, aber doch relevante Ergebnisse erzielten die Forscher bei Wikipedia, Digg und CNN. Sicher ist nur das System ReCaptcha, das Google 2009 aufgekauft hat, und davon abgeleitet Captcha-Verfahren. Decaptcha scheiterte an Googles ReCaptcha weil das Programm mit zufällige Wortlängen, unterschiedlichen Buchstaben-/ Zahlengrößen oder auch wellenförmige Verzerrung überfordert ist.

Zur effektiveren Erzeugung von Captchas empfiehlt das Stanford-Team, die Textlänge variabel zu gestalten und ebenso die Schriftart und Größe nach einem Zufallsprinzip anzubieten. Eine weitere Möglichkeit wäre der umgekehrte Weg. Wenn nur der Nutzer mehrere Versuche zur Authentifizierung benötigen würde, aber nicht das Programm, wäre ein Bot sofort identifiziert.