Captchával a Brute Force kódtörés ellen

Kutatók egy olyan védelmi mechanizmust dolgoztak ki, amivel a webes szolgáltatások bejelentkező oldalai vagy más alkalmazások hatékonyan megvédhetők a Brute Force akciókkal szemben.

Manapság az egyik legnagyobb biztonsági problémát maguk a felhasználók jelentik, mivel többségük rendkívül egyszerű vagy könnyen megfejthető jelszavakat használ. Ezzel gyakorlatilag tálcán kínálják hozzáféréseiket a bűnözők számára, hiszen egyszerű találgatással is jó eredményt lehet elérni. Ezért napjainkban az egyik legnagyobb veszélyt az úgynevezett Brute Force támadások jelentik, aminél ezeket a próbálgatásokat egy gyors gépre bízzák. A siker általában függ attól, hogy a támadó számára milyen informatikai háttér és mennyi idő áll rendelkezésre. A megfejtési idő függ a lehetséges kulcsok számától, azaz kulcs méretétől (hosszától) és bonyolultságától (választható karakterek száma).

A kaliforniai Axioma Research és a drezdai Max Planck Intézet munkatársai által kidolgozott védelmi mechanizmus alapját a CAPTCHA-megoldások és a jelszavak ötvözése jelenti. A szakemberek úgy vélik, hogy egy ilyen módszerrel eredményesen kivédhetők a nyers erőt használó támadások. A kidolgozott eljárás keretében a rendszer egy CAPTCHA-t generál, aminek a helyes megfejtése után az adott személynek meg kell adnia a jelszót és csak a helyes jelszó után válik láthatóvá a második, jelszót tartalmazó CAPTCHA. Utóbbit azonban a rendszer mindig véletlenszerűen hozza létre. Amennyiben a felhasználó ezt is helyesen megfejti, úgy hozzáférhet mondjuk az e-mail fiókjához vagy a profiljához. Ha a támadó nem tudta a helyes jelszót, úgy a második, jelszót tartalmazó CAPTCHA nem válik láthatóvá és nem férhet hozzá a fiókhoz vagy a szolgáltatáshoz.

A CAPTCHA kifejezés a "Completely Automated Public Turing-test to tell Computers and Humans Apart" mozaikszava, a módszert eredetileg a Carnegie Mellon Egyetemen dolgozták ki. Korábban a CAPTCHA-tesztek könnyen feltörhetőnek bizonyultak, 2008-ban a Hotmail CAPTCHA-tesztjét mindössze hat másodperc alatt feltörték. Az ilyen védelmi megoldásokat többek között az XRumer spammerprogram is képes kijátszani. Ennek ellenére a CAPTCHA-k továbbra is népszerűek, a D-Link például 2009-ben bejelentette, hogy ilyen tesztekkel szeretné védeni a routereit.