Jeff Yan e Ahmad Salah El Ahmad, ricercatori dell’Università del Newcastle “School of Computing Science” hanno pubblicato una ricerca intitolata “A Low-cost Attack on a Microsoft CAPTCHA“ dimostrando d’esser riusciti a violare con successo il Captcha di Microsoft utilizzato per diversi servizi online come Microsoft Hotmail o Windows Live, la precentuale di successo è del 92%. Ecco un breve estratto della ricerca:

However, our simple attack has achieved a segmentation success rate of higher than 90% against this scheme. It took on average ~80 ms for the attack to completely segment a challenge on a desktop computer with a 1.86 GHz Intel Core 2 CPU and 2 GB RAM. As a result, we estimate that this Microsoft scheme can be broken with an overall (segmentation and then recognition) success rate of more than 60%. On the contrary, its design goal was that “automatic scripts should not be more successful than 1 in 10,000″ attempts (i.e. a success rate of 0.01%). For the first time, we show that a CAPTCHA that is carefully designed to be segmentation-resistant is vulnerable to novel but simple attacks. Our results show that it is not a trivial task to design a CAPTCHA scheme that is both usable and robust.

La pubblicazione di queste ricerche è dovuta al moltiplicarsi dei tentativi di “Captcha Breaking” a danni dei maggiori fornitori di servizi online come Microsoft, Yahoo! ma anche Google. Il mercato chiede con insistenza maggior sicurezza poichè la violazione di un Captcha significa l’accesso ai spammer a diversi email accounts ma anche una perdita di reputazione da parte della società che è stata oggetto dell’abuso. Nessun Captcha è perfetto, il Captcha di Windows Mail è già stato violato in Febbraio e forse sarebbe l’ora di ripensare i captcha esistenti adottando magari:

• IMAGINATION: Image-based Authentication
• ESP-Pix [...]

Ecco l’intera pubblicazione “A Low-cost Attack on a Microsoft CAPTCHA” di Jeff Yan e Ahmad Salah El Ahmad: