是否已使用任何编程方法来击败reCAPTCHA?
我很有兴趣看到证据和潜在的证据,特别是reCAPTCHA已被完全自动化,无人化的方法淘汰。
澄清,不寻找以任何方式涉及人类的reCAPTCHA作弊解决方案,无论是负责填写CAPCHA,色情搜索者还是机械土耳其人的团队。
我也不寻找reCAPTCHA的替代品,比如选择动物类型,或背景字段或javascript欺骗。
答案 0 :(得分:92)
我注意到这里几乎所有的答案都与CAPTCHA的概念的无效性有关 - 原则上 - 虽然我非常同意它们,但实际上给了talk at OWASP a几个月前explaining just that - 问题非常具体,所以我将提供一个示范 但首先,我将重申除了示范之外,重新阅读其他评论,因为CAPTCHA毫无意义且没有帮助,与实施无关......这是事实....
但实际上,请查看CAPTCHA Killer。您可以上传CAPTCHA图像,如果不是立即,它将自动提供OCR答案。它还提供了一个API(我想,REST,但也许是SOAP)。我个人尝试了很多reCAPTCHA图像,实际上它是一些最容易(或至少最快)的图像。
更新:CAPTCHA Killer的网站现已被取消,显然面临法律压力。有关该主题的完整概述,请参阅http://captcha.org/。
是的,OCR并不是打破CAPTCHA保护网站的最佳方式 - 还有很多其他更好的方法。
答案 1 :(得分:54)
Hacking Recaptcha(又名'The Penis Flood')
下一个使用的策略是看看他们是否能在reCAPTCHA实施中找到一个缺陷。他们发现有关reCAPTCHA的一件事是它总是向用户提供两个单词用于解码 - 一个单词是reCAPTCHA系统已知的控制单词,而另一个单词是未知单词(reCAPTCHA使用人来帮助纠正OCR错误)。维基百科描述了这一过程:“扫描文本需要通过两种不同的光学字符识别程序进行分析;在程序不同意的情况下,可疑单词将转换为CAPTCHA。该单词与已知的控制字一起显示,并由人类标记。人类法官一致给出单一标签的那些词被回收作为控制词“。 2iasdo4 Anonymous所知道的是,如果他们总是使用相同的单词标记未知的扫描文本 - 如果他们这样做了数千次,那么很大一部分未知单词会被他们的单词错误标记。他们所要做的就是查看验证码中的两个单词,为“简单”单词输入正确的标签(可能是两个光学扫描仪会同意的标签)并输入“阴茎”字样。很难的。如果他们经常做到这一点,那很快就会有相当大比例的图像被标记为“阴茎”,并且能够恢复自动回报的能力(一种副作用,即Anonymous上没有丢失的,是未来几年的概念)会有一些数字书籍在整个文本中随机插入“阴茎”这个词。更新:我问过reCAPTCHA的首席工程师Ben Maurer关于这次'阴茎泛滥'的攻击,Ben说他们已经预料到了这种类型的攻击他们有许多保护措施可以防止阴茎穿透reCAPTCHA屏障。
优化reCAPTCHA
像将“阴茎”这个词写入文本一样吸引人的是,匿名团队知道时钟正在滴答作响,如果他们要恢复信息,他们没有时间等待自动驾驶仪来回到网上 - 他们将不得不手动投票,很多次。所以他们需要能够尽可能快地输入验证码。他们制定了一套指南,使他们能够快速决定他们可以跳过哪些reCAPTCHA字样。例如:
您将获得2个单词:1个真实,1个假。
对于
[REAL FAKE]
或[FAKE REAL]
,您只需键入REAL
即可接受。如果是
[LOOKSREAL LOOKSREAL]
或[LOOKSFAKE LOOKSFAKE]
,通常只需输入两个单词就可以更快。不要浪费宝贵的时间来决定哪一个是真实的。同时使用单词的外观和类型来识别假货 字。不要只依赖其中一个。
整个规则集在这里:fake captcha。
答案 2 :(得分:32)
CAPTCHA系统的弱点在于人们在中国设置了满是人的房间,其唯一的工作就是查看CAPTCHA图像并输入结果,然后插入实际发送垃圾邮件的自动化系统。 / p>
你真的无能为力。
它比在实际图像上尝试图像识别,OCR等便宜得多(你可能会以低于0.01美元的价格获得另一种反应)。
答案 3 :(得分:21)
在屈服于使用验证码的压力之前,请考虑创造性的解决方法,例如使用CSS隐藏的标记为“您的评论”的字段。如果输入该字段,则服务器将删除该请求。即使仍然没有一个好方法可以打败充满低薪工人的房间,大多数机器人都会堕落,但无论如何,验证码都没有帮助。
更新:只需阅读case study,其中删除CAPTCHA的转化率提高了近10%。这对我来说,如果你为了过滤机器人而失去10%的潜在客户,那就相当破碎了。想象一下,10%对大多数企业意味着什么。
答案 4 :(得分:18)
我最喜欢的验证码来自Microsoft:http://research.microsoft.com/en-us/um/redmond/projects/asirra/
Asirra(动物物种形象 对限制访问的认可) 是一个HIP,通过要求用户识别猫的照片 和狗。这项任务很难用于计算机,但我们的用户仍在研究 已经表明人们可以快速准确地完成它。 许多人甚至认为这很有趣!
这是一项免费服务,他们有示例代码可以帮助您入门。
我想知道在破裂之前会持续多长时间。
答案 5 :(得分:11)
reCAPTACHA没有被破坏,它将不会持续很长时间。问题是,如果你实现了自己的验证码,如果它被破坏了,可能需要很长时间来修复它。
这取自page about reCAPTCHA security:
reCAPTCHA是一项Web服务。这意味着 所有图像都生成和 由我们的服务器评分。 (…) 这也是 提供额外的保护: 我们的CAPTCHA可以自动进行 安全时更新 发现漏洞。
例如,如果有人写了一个程序,可以读取我们的扭曲 图片,我们可以添加更多的扭曲 很少的时间,,没有网络 主人不得不改变任何东西 他们的一面。
我相信因为他们专注于验证码,所以它们已经存储了改进版本,如果需要,可以在很短的时间内部署。 (当弱者没有被打破时,他们为什么要创造更强的安全性呢?)
答案 6 :(得分:9)
它不仅被打败了,而且a useful application已成功建立在它之上,成为击败所有直接下载网站大量免费帐户保护的最神奇的工具(不仅是megaupload和rapidshare)。
Jdownloader是开源的,用Java编写,因此source code可以查看如果它已被破坏,还可以如何
编辑:大多数直接下载网站不使用reCaptcha,而是使用更简单的Captcha方法(3种不同颜色的大写字母)。尽管如此,Jdownloader和Cryptload(类似于Jdownloader的程序)是我所知道的唯一有效的实现,它实际上破坏了Captcha方法。我没有听说任何破解reCaptcha的实现。
更新:似乎至少有一个reCaptcha实现(不是整个reCaptcha本身)has been cracked too。
2010年12月更新:Jdownloader seems at last to be defeating reCaptcha。该插件仍然是实验性的,仅适用于Windows版本的Jdownloader,但是,正如我曾经试过它的伙伴告诉我的那样,它确实有效。
答案 7 :(得分:8)
一般来说,a speech at Defcon last year解决了CAPTCHA的问题。他们所做的一件事就是使用多个免费的OCR引擎,让他们对最好的单词进行投票。这样做,他们能够获得成功的机会。对于一种,它是40%左右,但我不认为它是reCaptcha。
答案 8 :(得分:8)
2 - 3年前,基于文本输入的验证码方法在失去战斗时超越了线路,即进一步的复杂化只会使它们相对(因为计算机功率增加,而人类不是)对机器更容易,更令人反感和排斥,如果不是完全不可能,对人类。这与CAPTCHA as a test to to ensure that the response is not generated by a computer
的原始范式相吻合 <强>更新强>
请注意,reCAPTCHA归Google Inc.所有,但Google Inc.并非由自己的服务使用。
以下是Google自身/内部for ex., for Gmail registration:
请注意,Google的reCAPTCHA总是有2个字 以下是image with Google's reCAPTCHA offered to be used by others的链接。
和reCAPTCHA的截图:
我离开,向读者作出明显的结论。
引:
[1]
vBulletin forums hit by reCAPTCHA cracking spam bot | PC Pro blog
发表于 2011年1月12日作者:Davey Winder
答案 9 :(得分:5)
我在受到reCAPTCHA保护的系统上看到博客评论,页面加载,1秒后帖子成功发布。用户代理是无稽之谈(在这种特殊情况下它声称运行Ubuntu 9.25 / Firefox 3.8),引用来自一个完全不相关的网站,没有链接到我们。
这显然是自动化的。
答案 10 :(得分:3)
reCAPTCHA尚未被击败。如果是这样,那么谷歌为什么只是购买它并宣布他们将在谷歌中应用这项技术来增加谷歌产品的欺诈和垃圾邮件保护?
从Google Acquires reCAPTCHA发布到2009年9月16日的Google博客:
通过这种方式,reCAPTCHA独特的技术改进了将扫描图像转换为纯文本的过程,称为光学字符识别(OCR)。该技术还支持大型文本扫描项目,如Google Books和Google News Archive Search。拥有文本版本的文档非常重要,因为可以搜索纯文本,在移动设备上轻松呈现并向视障用户显示。因此,我们将在Google中应用该技术,不仅可以增加Google产品的欺诈和垃圾邮件防护,还可以改进我们的图书和报纸扫描流程。
答案 11 :(得分:3)
击败Captchas的最简单方法是亚马逊机械土耳其人。有一个名叫Kermit Welda的人每人向人们支付镍,以注册Hotmail,AOL和Gmail帐户。这是6,000个虚假的电子邮件帐户,每个5美分= 300美元。当你有其他人为你做肮脏的工作时,做生意的成本相当便宜。难怪我们服务器的垃圾邮件过滤器想要拒绝来自Hotmail的任何内容。
答案 12 :(得分:2)
AFAIK在实践中,没有破解RE-captcha实现的工具,但最终我假设有人会得到它。
有趣的是,如果有人设法得到它,那么整个RE-captcha项目毫无意义,因为重新验证码设计的数字化书籍无法以自动方式完成。
BTW:
CAPTCHA系统的弱点是 人们把房间装满了 中国人唯一的工作 是看CAPTCHA图像和类型 在结果中,插入了 实际上正在做的自动化系统 垃圾邮件。
你无法确保系统这样思考,这就像是说“如果你的主机不在旧的军事掩体中,你的网络应用程序就不够安全了,因为现在人们可以窃取你的机器”。
答案 13 :(得分:2)
有许多方法可用于废弃recaptcha。虽然它很难使用神经网络启动程序来自动解决它们,但它可以抓取图像并拥有亚马逊的机械土耳其人或一些等效程序来解决它们。
http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/