Hallo Community,

da ich denke, dass ihr euch in Sachen Bots besser auskennt als ich, wollte ich mal wissen für wie sicher ihr mein selbstgecodetes Captcha findet. Ich hänge mal 3 Beispiel Bilder an. Ich bitte ausdrücklich um konstruktive Kritik

So ist das alles noch relativ leicht auszulesen...

Tipps:

• Schriftgröße ändern
• Schriftfarbe ändern
• Zeichen rotieren

Hallo

ich habe mir mal deinen Rat zu Herzen genommen und das kam dabei raus:

Vielleicht auch noch die Schriftart ändern bzw vllt sogar für jeden einzelnen Buchstaben eine andere Art auswählen.

EDIT: Du warst wohl schneller :P Sieht gut aus!

Hi

die Schriftarten werden für jeden Buchstaben zufällig aus 5 verschieden Arten ausgesucht.
edit: Jetzt warst du schneller :P Danke

Jup, jetzt sieht schon mal gut aus

Du könntest auch noch ein Feld ins Formular einbauen und einen Namen wie "E-Mail-Wiederholung" vergeben, mit CSS ausblenden und wenn es ausgefüllt ist kommt ne Fehlermeldung.

Hi,

ich platziere dein Thema im "Coders Talk"-Forum

Zitat von queicherius

So ist das alles noch relativ leicht auszulesen...

Kann ein Bot ein Captcha-Bild am Bildschirm "auslesen" (betrachten)?

mfg Maik

Zitat von Maik

Hi,

ich platziere dein Thema im "Coders Talk"-Forum

Kann ein Bot ein Captcha-Bild am Bildschirm "auslesen" (betrachten)?

mfg Maik

Es gibt doch diverse Schrifterkennungssoftware
An den Trick mit dem versteckten input Feld habe ich gar nicht gedacht, ist auch ein super Tipp.
Wer den Captchacode verwenden möchte:

PHP-Code:

<?php
session_start();
header("Content-type: image/png");
$width  = 150;
$height = 35;
$length = 6;
$fonts  = array("font1","font2","font3","font4","font5");
$font   = "../../fonts/%s.ttf";
$im = imagecreatetruecolor($width,$height);
$bg = imagecolorallocate($im, rand(120, 255), rand(120, 255), rand(120, 255) );
imagefilledrectangle($im,0,0,$width,$height,$bg);
for( $i = 0; $i < 3; $i++){
  $c = imagecolorallocatealpha($im, rand(150, 255), rand(150, 255), rand(150, 255), rand(50, 100) );
  $p = array( rand(0, $width), rand(0, $height), rand(0, $width), rand(0, $height),
              rand(0, $width), rand(0, $height), rand(0, $width), rand(0, $height),
              rand(0, $width), rand(0, $height), rand(0, $width), rand(0, $height),
              rand(0, $width), rand(0, $height), rand(0, $width), rand(0, $height)
            );
  imagefilledpolygon($im, $p, count($p)/2, $c);
}
$captcha = "";
for( $i = 0; $i < $length; $i++ ){
  $c = imagecolorallocate($im, rand(0, 150), rand(0, 150), rand(0, 150));
  $x = $width/($length+1) * $i + rand(10,15);
  $y = rand( 15, $height - $height/4 );
  $a = rand(315,405);
  $f = sprintf($font, $fonts[rand(0,count($fonts)-1)]);

  $char     = chr( rand(65, 90) );
  $captcha .= $char;
  imagettftext($im, rand(12,16), $a, $x, $y, $c, $f, $char);
}
$_SESSION["captcha"] = $captcha;
imagepng($im);
imagedestroy($im);
?>

Zitat von queicherius

Du könntest auch noch ein Feld ins Formular einbauen und einen Namen wie "E-Mail-Wiederholung" vergeben, mit CSS ausblenden und wenn es ausgefüllt ist kommt ne Fehlermeldung.

Überraschend effektiv ist auch eine Checkbox mit dem Titel „Ich bin ein Mensch“, die angekreuzt sein muss (sie aber standardmäßig nicht ist).

Grüße,
Matthias

Zitat von Maik

Hi,

ich platziere dein Thema im "Coders Talk"-Forum

Kann ein Bot ein Captcha-Bild am Bildschirm "auslesen" (betrachten)?

mfg Maik

Klar. Und fast alle Captchas sind schon geknackt...

eine Leichte verzerrung wäre auch noch sinnvoll. Dies würde es schützen vor Matching angriffen. Man bräuchte momentan nur die einzelnen Buchstaben zu trennen (was mir momentan einfach erscheint) und dann nur noch die 5 verschiedenen Schriftarten mit allen größen und drehungen zu vergleichen, was nur ein bisschen Rechenaufwand ist.

DIe Verzerrung verhindert, dass man mit allen vergleichen, das CAPTCHA lösen kann.

Hi

naja, dann könnte man weiter argumentieren dass man dann auch eine jede mögliche Verzerrung ausprobieren könnte. queicherius hat mir ja ein paar Tipps gegeben. Um sich bei der Website automatisiert registrieren zu können wir glaub ich keiner den Rechenaufwand betreiben, 6 Buchstaben herauszufiltern und dann noch jeden Buchstaben versuchen mit dem Originalbuchstaben zu matchen, wofür er immerhin die richtige Rotation, Größe und überhaupt erstmal die Schriftart haben müsste. Ich werde auf deinen Hinweis zurück kommen wenn es der erste Bot geschafft hat sich zu registrieren

Freunde von mir hatten in einem Praktikum dieAufgabe, solch ein ähnliches CAPTCHA zu brechen. Der Unterschied war nur, dass sich die Buchstaben noch überlappt haben. (Bild ist im Anhang)
Hier war es immer die gleiche Schriftgröße und Schriftart. Sie haben in ~820ms das CAPTCHA mit einer 93,55% Wahrscheinlichkeit geknackt.

Sie haben dann versucht, das CAPTCHA sicherer zu machen mit unterschiedlichen Methoden und dann nochmal getestet mit einer angepassten Version ihres Programms:
mehrere verschiedene Schriftarten: Erfolgsrate 47% und Laufzeit betrug ~5,5 Sekunden
Schriftgröße variiert: Erfolgsrate 54,80% und Laufzeit war ~2,8 Sekunden

Bei Verzerrung konnte ihre Methode nichts mehr erkennen.

Klar hätten sie für jede mögliche Verzerrung dies auch berechnen können, aber dies wäre noch ein extremerer Rechenaufwand, als nur mal eine andere Schriftart und Schriftgröße noch in ihr Programm rein zu nehmen. Bei Verzerrungen gibt es viel mehr Möglichkeiten wie man es verzerren kann, so dass sich der Rechenaufwand überhaupt nicht lohnen würde