Zeichen in Microsoft-Captcha automatisch trennbar

Forscher an der School of Computing Science der Newcastle University haben gezeigt, dass sie mit einer einfachen, kostengünstigen Methode die einzelnen Zeichen bei Captcha-Tests von Microsoft sehr erfolgreich trennen und ordnen können. Da die Beständigkeit gegen diese Separierung der einzelnen Zeichen ein wichtiger Faktor für die Sicherheit des Captcha-Tests gegen automatisierte Angriffe ist, bedeutet das einen schweren Schlag für den Sicherheitsmechanismus. Gepaart mit einer geeigneten Zeichenerkennung könne der Microsoft-Captcha mit einer Erfolgsrate von über 60 Prozent geknackt werden, so die Einschätzung der Forscher.

Eine unregelmäßige Anordnung und störende, zusätzliche Linienbögen bei Captcha-Rätseln sind zwei der Ansätze, mit denen Programmen eine Separierung der Zeichen – also ein korrektes Trennen und Ordnen – möglichst schwer gemacht werden sollen. Die Forscher in Newcastle haben ein Set von 100 Bildern des Microsoft-Captchas analysiert und anhand der Ergebnisse ein Verfahren entwickelt, das eine Segmentierung der Zeichen eines Captcha-Tests mit mehreren einfachen Ansätzen und dementsprechend kostengünstig versucht. Bei einem Test mit 500 weiteren Captcha-Bildern konnte ihr Werkzeug bei 92 Prozent die Zeichenfolgen korrekt auflösen. Dabei werden auch überflüssige Lininenbögen entfernt, was nach Ansicht der Forscher auch die notwendige Zeichenerkennung erleichtert.

Für Microsofts Acht-Zeichen-Captchas, die beispielsweise beim Webmail-Dienst Hotmail zur Anwendung kommen, bedeutet das ein hohes Risiko. Ihr gutes Ergebnis bei der Separierung gepaart mit der Tatsache, dass einzelne Zeichen auch bei relativ starker Verfremdung mit gut 90 Prozent Wahrscheinlichkeit erkannt werden können, ließen laut Forschern insgesamt Erfolgsraten von über 60 Prozent bei automatischen Angriffen möglich erscheinen. Eigentlich sollte maximal eine von 10.000 Attacken Erfolg haben. Die offizielle Publikation der bereits als Vorab-Version verfügbaren Forschungsergebnisse steht zwar noch aus. „Microsoft hat sein Captcha bereits geändert, um auf unseren Angriff zu reagieren“, betont jedoch der Computerwissenschaftler Jeff Yan zu pressetext. Ob damit wirklich eine Abhärtung gegen den Separierungs-Angriff gelungen sei, werde allerdings erst untersucht.

Grundsätzlich sieht Yan Captchas als gute Idee, die er trotz des eigenen Ergebnisses und diverser Angriffe gegen Captcha-Mechanismen in diesem Jahr noch nicht am Ende sieht. „Der Teufel steckt im Detail“, meint der Computerwissenschaftler. Ob es möglich ist, Captcha-Mechanismen deutlich sicherer gegen automatisierte Angriffe zu machen, ohne dabei die Anwenderfreundlichkeit zu gefährden, stehe noch nicht fest. Weitere Forschung auf diesem Gebiet sei daher unabdingbar.