DEBILIDAD A FUERZA BRUTA
Hace un par de semanas (erlang y compañía) me ayudaron a comprender que las versiones de Animal Captcha hasta la 1.3 son débiles frente a un ataque de fuerza bruta.
Es decir, a diferencia de los captchas alfanuméricos, Animal Captcha por su naturaleza tiene un numero reducido de respuestas posibles. Tantas como animales. Hasta el momento 30 animales.
Esto significa que creando un bot de fuerza bruta que haciendo peticiones de forma automática, de cada 30 peticiones acertará una de media. Esto es una debilidad que en algunos casos merecerá la pena explotar (no en todos).
LA SOLUCIÓN
Tras un momento de desconcierto, se pudo pensar que se había tumbado el concepto de Animal Captcha. Pero he desarrollado una batería de soluciones que mitigan el problema hasta su mínima expresión.
El problema de la fuerza bruta se ha resuelto con los siguientes cambios:
¿Qué hemos conseguido? Pues multiplicar exponencialmente el número de respuestas posibles, mitigando drásticamente la eficacia de un ataque por fuerza bruta (el único ataque con eficacia demostrada hasta ahora).
Cálculos teniendo en cuenta que hay un repertorio de 30 animales (estoy preparando la próxima versión 2.0 que se ampliará a objetos).
Como se puede ver, se ha aumentado drásticamente el numero de peticiones con el mismo numero de imágenes. El numero de imágenes será elevado al menos a 60, incluyendo objetos y animales, en la próxima versión 2.0.
Con esto intento mostrar que el aumento de la seguridad frente a fuerza bruta es exponencial.
CONCLUSIÓN
Con esta versión 1.4 doy por resuelto el ataque de fuerza bruta simple (salvo que me corrijan, claro). Y por lo tanto en mi opinión es "invulnerable" hasta que se demuestre lo contrario.
Me temo que ahora el caballo de batalla de Animal Captcha es el ataque por identificación de animales analizando patrones del repertorio de im´genes (que es publico y abierto, aunque cada webmaster puede hacerse el suyo particular).
En esta linea veo extremadamente difícil encontrar una vulnerabilidad, ya que desde la versión 1.2 se fusiona una imagen de fondo aleatoria, con transparencia aleatoria y orientación aleatoria. Todos los bytes, pixeles, histogramas y colores estadísticos cambian aleatoriamente en cada imagen, siendo todas únicas.
Además continua activa la opción de añadir polígonos aleatorios (desactivada por defecto ya que sobra seguridad en este aspecto).
CONCLUSIÓN BREVE
Animal Captcha 1.4 es invulnerable y más seguro que cualquier captcha alfanumérico, hasta que se demuestre lo contrario (como de costumbre agradecerá que se ponga a prueba este sistema).
Twittear |
Artículos relacionados:
Artículo escrito por GONZO para Blogs Teoriza.
Animal Captcha 1.4
Ocio | Tecnología | Mujer | Informática | Contactos | Cultura | Vacaciones | Interesante | Místico | Personal | English |
---|---|---|---|---|---|---|---|---|---|---|
Ocio | Alarmas | Intimidades | Internet | Chat | Poesías | Turismo | Legalidad | Tarot | GONZO | Leisure |
Juegos | Tecnología | Salud | Adsl | Messenger | Mundo | Viajes | Videncia | Mia | Woman | |
CineTV | Inventos | Mujer | Música | Tech | ||||||
ComoHacer | ||||||||||
Enlaces:
MovilZona Eventos Sagas Loteria Navidad 2012
Test de velocidad
Pedrea | ||||||||||
Blogs Teoriza™ · Red de Blogs · · Aviso Legal · Creative Commons · 2003-2011 |