• 0

CAPTCHA - Mens of Machine?

Deze captcha discussie kan denk ik wel zijn eigen topic gebruiken ...

In navolging van het bovenstaande bericht heb ik bij deze besloten een topic over CAPTCHA te beginnen. Voor degene die niet weten wat een CAPTCHA is verwijs ik door naar Wiki.

 

Als webmaster van diverse sites draai ik ook diverse verschillende CAPTCHAs, met wisselend succes. Waar ik mij vooral over blijf verbazen is de volharding en het schijnbare 'inzicht' waarmee spambots dezer dagen zijn uitgerust. Zo was een CAPTCHA als: '2 + 2 = [invulveld]' binnen slechts enkele dagen gekraakt. Met '2 plus 2 = [invulveld]' hadden de bots evenmin moeite, maar '2 keer 2 = [invulveld]' is tot op heden nog niet gekraakt. Zo blijkt maar weer dat de spambots (voorlopig?) nog zeer internationaal gericht zijn ('plus' is ook 'plus' in het Engels, 'keer' is in het Engels 'times').

 

Een andere CAPTCHA waar ik persoonlijk veel succes mee heb gehad is deze. Zelfs op sites die worden gebombardeerd door spambots is hij nog niet gekraakt. Mijn vermoeden hoe dit kan is dat de reden hiervoor is dat de CAPTCHA zo 'variabel' is. Letters kunnen draaien, elke vertoning kan een ander lettertype hebben en het aantal tekens dat wordt vertoond is variabel. Hebben jullie soortgelijke ervaringen met betrekking tot de 'variabiliteit' van een CAPTCHA?

 

Verder ben ik recentelijk aan het denken geweest over 'non-obtrusive CAPTCHAs'; met andere woorden: CAPTCHAs waarvan mensen niets zouden moeten merken. Na een lading SPAM in mijn inbox geanalyseerd te hebben bleek mij namelijk dat spambots (1) overmatig veel links gebruiken hun berichten (logisch uiteraard, want ze hopen dat deze links ergens zullen verschijnen op internet) en verder (2) dat spambots overmatig veel hoofdletters in hun 'afzender namen' gebruiken. Dit heeft mij geleid tot een 'CAPTCHA' die (1) controleert of er meer dan 5 links in het contactformulier zijn ingevuld en (2) of het percentage hoofdletters in de naam van de afzender groter is dan 40%. In een normale naam wordt dit percentage nooit gehaald (in een willekeurige steekproef van 500 namen bleef het percentage steken rond de 20%), getuige het feit dat zelfs 'I.A.M. Bos' nog door de controle heen komt. Zien jullie heil in een dergelijke vorm van CAPTCHA? Of zal het vertonen van 'Onze excuses voor het ongemak, maar helaas hebt u meer dan vijf links in het bericht geplaatst. In verband met aanhoudende spam hebben wij een beperking van maximaal vijf links per bericht opgenomen.' bij 1 op de 1000 klanten zorgen voor een te lage conversie, welke niet opweegt tegen de baten die een dergelijke spambescherming bieden?

 

Ten slotte wil ik het 'betaald kraken van CAPTCHAs door mensen' voorbij laten komen zoals besproken in bovenstaand topic. Hoe gaan wij hier ons tegen wapenen? Of gaat dit met goed ontworpen CAPTCHAs zo weinig spam (slechts 1 per keer) opleveren dat dit voor ons geen probleem gaat vormen?

 

Alvast bedankt voor jullie actieve en constructieve deelname aan deze discussie!

Link naar reactie

Aanbevolen berichten

8 antwoorden op deze vraag

  • 0

een CAPTCHA als: '2 + 2 = [invulveld]' binnen slechts enkele dagen gekraakt. Met '2 plus 2 = [invulveld]' hadden de bots evenmin moeite, maar '2 keer 2 = [invulveld]' is tot op heden nog niet gekraakt.

 

Zoiets heb ik ook gemerkt. Ik gebruik eenvoudige Nederlandstalige vragen en die worden nog niet of nauwelijks gepasseerd door spammers.

 

Zien jullie heil in een dergelijke vorm van CAPTCHA?

 

Nee, spammers zullen zich gewoon aanpassen aan de patroonherkenning en/of variëren met de formaten. Zo'n filter moet altijd lerend zijn (bijv. Bayesiaans) om zich aan te passen aan de patronen die spammers toepassen.

 

Ten slotte wil ik het 'betaald kraken van CAPTCHAs door mensen' voorbij laten komen zoals besproken in bovenstaand topic. Hoe gaan wij hier ons tegen wapenen?

 

Ik kan geen oplossing bedenken.

 

En nog veel erger: er komt een moment dat kunstmatig intelligente software al onze captcha's kraakt. Tegen die tijd zal dergelijke software zijn eigen online ontmoetingsplaatsen hebben, met CAPTCHAs die wij mensen niet kunnen oplossen :-\

Link naar reactie
  • 0

Wat me wel opvalt is dat het voor de gebruiker die het in moet vullen steeds moelijker wordt heb net een gmail account aangemaakt heb het drie keer opnieuw moeten doen om dat de captcha niet goed was.

Kan natuurlijk ook aan mijn liggen maar ik denk dat sommige mensen er wel sneller door stoppen om het in te vullen als het een paar keer niet lukt.

 

www.erotiekspecialisten.nl

Link naar reactie
  • 0

Wat me wel opvalt is dat het voor de gebruiker die het in moet vullen steeds moelijker wordt heb net een gmail account aangemaakt heb het drie keer opnieuw moeten doen om dat de captcha niet goed was.

Kan natuurlijk ook aan mijn liggen maar ik denk dat sommige mensen er wel sneller door stoppen om het in te vullen als het een paar keer niet lukt.

 

Wij gebruiken tegenwoordig RECAPTCHA, wat mijns inziens goed werkt en nauwelijks spambots doorlaat. Behalve een visuele weergave van de tekst die overgetypt moet worden, is er ook een mogelijkheid om deze af te spelen in de vorm van gesproken tekst.

http://recaptcha.net/

Link naar reactie
  • 0

Uiteindelijk zal het wel iets worden als:

 

- Wat is de hoofdstad van Nederland?

- Wat is de voornaam van de Koningin van Nederland?

- Wat is de achternaam van de man op bovenstaande foto (met foto van Balkenende)?

 

Daar een bak van 50+ vragen van, en het is slechts met specifiek moeite doen te 'kraken' (ofwel alle automatische zaken raak je zo gemakkelijk kwijt).

Link naar reactie
  • 0

Uiteindelijk zal het wel iets worden als:

 

- Wat is de hoofdstad van Nederland?

- Wat is de voornaam van de Koningin van Nederland?

- Wat is de achternaam van de man op bovenstaande foto (met foto van Balkenende)?

 

Daar een bak van 50+ vragen van, en het is slechts met specifiek moeite doen te 'kraken' (ofwel alle automatische zaken raak je zo gemakkelijk kwijt).

Het probleem hiermee is dat een aanzienlijk percentage van de mensen het antwoord op deze vragen simpelweg niet weet. Hoe gaan die voorbij de CAPTCHA komen? Sterker nog, als jouw site maar genoeg pagerank heeft en de spambot er in slaagt links op je site te plaatsen, zullen ze misschien nog wel handmatig de spambot die 50 vragen wel aanleren. Dan komt juist de spambot er WEL door heen en de mens NIET. Dat is ook weer niet de bedoeling..

Link naar reactie
  • 0

Heb je mijn vragen gezíén? Mensen die dáár niet doorheen komen wil ik niet eens er door heen laten komen ;) Nee grapje, maar de vragen zijn uiteraard zeer eenvoudig.

 

Over handmatig bots zo instellen dat ze er doorheen komen, heb ik het met mijn voorbeeld niet zoals ik al zei. Ik had het puur over geautomatiseerd zoekende bots. Handmatig ingestelde bots pik je er vervolgens zo uit (we hebben ze hier op het forum ook gehad, al dan niet bewust uitgenodigd :-\), en ban je vervolgens op een andere manier. Werkt m.i. prima.

Link naar reactie
  • 0

Bots ondersteunen vaak geen javascript, daar kun je gebruik van maken. In een gastenboek wordt door middel van javascript bij onload een "hidden" (dmv. css) ingevuld met een waarde. Die waarde staat ook in een sessie, als hij het toevoegen van een bericht de post en sessie waarde niet overeenkomen dan wordt het bericht geweigerd.

 

Wel even netjes een melding geven met

dat het plaatsen van berichten alleen werkt als je javascript ondersteund.
Batterijen en Opladers voor telefoons.
Link naar reactie
  • 0

Ik heb al eens onderzoek gedaan naar captcha's en mijn ervaring was dat ze behoorlijk moeilijk te kraken zijn als je voor alle letters dezelfde kleur neemt en er voor zorgt dat letters elkaar overlappen.

Het algoritme dat je dan moet schrijven om de captcha te kraken, is echt beesten werk.

 

Maargoed we gaan allemaal in de toekomst steeds meer en meer last hebben van grote hoeveelheden chinezen die ze gewoon handmatig oplossen.

Dan kun je wel vrolijk allemaal leuke puzzeltjes verzinnen, maar ze komen tenslotte allemaal gewoon in een queue terecht waar iemand ze handmatig wel even voor je oplost.

Dergelijke praktijken zien we nu al en gaan we in de toekomst nog veel en veel meer tegenkomen. >:(

 

Zelf gebruik/onderzoek ik al een tijdje de Yubikey -> www.yubico.com.

Dit is een usb stickje dat zich voordoet als een usb keyboard.

Even op een knopje drukken en hij genereerd een OTP (One Time Password).

Geef elke persoon die een internetabonnement afsluit zo'n sleutel en je bent van een boel gezever af.

Maarja dit is net zo'n project als wereldwijde vrede bereiken :p

 

Ik zal voor de gein even een paar keer op mijn yubikey drukken.

Kun je zien hoe het eruit ziet

 

djhibcfeeuninvedlgkceljelrditdujvgkkvcdfehkb

djhibcfeeuniedjkkfjrfuiinddurhjgrhkcnuriiikl

djhibcfeeunilklkuurdeueivrcntgbljvictigffnbg

 

De eerste 11 tekens zijn altijd hetzelfde en die zijn per yubikey verschillend.

Aan de hand daarvan kun je controleren om welke gebruiker het gaat.

 

De overige tekens is AES encrypted data met daarin ophogende tellers.

Daar zit 1 teller in die bijhoud hoeveel keer je de yubikey hebt gebruikt sinds je hem in bezit hebt.

De andere teller houd bij hoeveel je hem gebruikt heb sinds dat hij in je USB poort zit.

 

 

 

 

 

 

Webdeveloper, Electrical Engineering, Prototype builder, Kickstarter

www.spruce.nl | www.twitter.com/spruceNL

Link naar reactie
Gast
Dit topic is nu gesloten voor nieuwe reacties.
Hide Sidebar
  • Wil je onze Nieuwsflits ontvangen?
    Deze verzenden we elk kwartaal.

  • Wie is er online?
    10 leden, 284 Gasten

  • Breng jouw businessplan naar een higher level!

    Op dit forum worden alle onderwerpen m.b.t. ondernemerschap besproken.

    • Stel jouw ondernemersvragen
    • Antwoorden/oplossingen van collega ondernemers
    • > 75.000 geregistreerde leden
    • > 100.000 bezoekers per maand
    • 24/7 bereikbaar / binnen < 6 uur antwoord
    •  Altijd gratis

  • Ook interessant:

    Ook interessant:

×
×
  • Nieuwe aanmaken...

Cookies op HigherLevel.nl

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.