“Voor u kunt reageren op dit artikel, moet u eerst deze reeks aanvullen met het juiste getal: 111, -97, -81, -63, … Is dit a) -51, b) -45, c) -43, d) -53 of e) -55?” Zullen we in de toekomst alleen nog reacties kunnen achterlaten op websites als we eerst een iq-test afleggen? Het zou best kunnen, want de captcha wordt steeds vaker gekraakt. De Completely Automated Public Turing test to tell Computers and Humans Apart werd jarenlang succesvol gebruikt om mensen van machines te onderscheiden. De vervormde letters van een captcha zijn voor machines moeilijk leesbaar. Voor mensen soms ook, maar die kunnen de captcha net zolang opnieuw opvragen tot ze hem wel kunnen lezen en vervolgens correct oplossen.
Er bestaan vele varianten van de captcha. De eerste waren vrij primitief. Hacker-bots met ingebakken ocr of optical character recognition konden de vervormde letters toch lezen. Zo verscheen er opnieuw spam op blogs en websites. Of hackers slaagden erin massa’s valse accounts bij Hotmail, Gmail of Yahoo! Mail te creëren. Die werden vervolgens misbruikt om massaal ongewenste e-mails te versturen. De aanbieders van webgebaseerde mailsystemen hebben er alle belang bij hun captcha’s slimmer te maken. Google, Microsoft en Yahoo weten maar al te best dat de reputatie van hun lucratieve webmailsystemen op het spel staat. Maar de krakers zijn evenzeer financieel gemotiveerd om de boel te kraken. Ze worden daar steeds bedrevener in.
Volgens beveiligingsbedrijf Websense dreigt de captcha een eeuwigdurend kat-en-muisspel te worden. Eind 2008 introduceerde Microsoft bijvoorbeeld een nieuwe captcha-technologie in Live Hotmail. Nauwelijks twee maanden later was die al gekraakt. Spammers kunnen in een op de vijf à acht gevallen toch weer een valse Hotmail-account aanmaken. Krakers van captcha’s adverteren hun diensten zelfs op het internet. Eenvoudige versies kraken kost je 100 dollar per 500 captcha’s. De moeilijke Yahoo-captcha kun je laten ontcijferen voor 8000 dollar. De (Chinese) kraker garandeert je in dat geval wel slechts 45% kans op succes.
Zelf gebruik ik sinds kort ReCaptcha, een gratis project van de School of Computers Science van Carnegie Mellon University. Die werkt wel goed. ReCaptcha toont (of leest) de gebruiker woordbeelden uit gedigitaliseerde boeken die niet (goed) door een ocr-programma werden herkend. Van een beeld is de correcte schrijfwijze bekend, van het andere niet. ReCaptcha veronderstelt dat alleen mensen beide woorden correct zullen overtypen. Het systeem geeft de herkende woorden ook aan andere gebruikers om met steeds grotere zekerheid uit te vissen of het originele antwoord correct is. Het is niet waterdicht, maar het werkt in de praktijk erg goed. Bovendien help je oude boeken, kranten en zelfs radioprogramma’s correct te digitaliseren. Zo heeft die vaak vervelende captcha nog meer nut dan alleen maar spammers tegen te houden.
Websense over gekraakte hotmail-captcha:
tinyurl.com/bzkwo3
Advertentie van captcha-kraker: tinyurl.com/d6butt
ReCaptcha: www.recapcha.net
School of Computer Science, Carnegie Mellon:
tinyurl.com/btkjl
JOZEF SCHILDERMANS is journalist en hoofd van het Data Testlab, een onafhankelijk lab voor het testen van bedrijfsgerichte hard- en software. www.villapc.be
JOZEF SCHILDERMANS
Fout opgemerkt of meer nieuws? Meld het hier