Gerald Schut
De captcha is niet langer geschikt om op websites te bewijzen dat je geen robot bent. De reeksen vervormde getallen en cijfers worden in 0,05 seconde opgelost door een nieuw zelflerend algoritme. Onderzoekers van de Universiteit van Lancaster en twee Chinese universiteiten presenteerden het algoritme vorige week op een conferentie.
De gebruikte techniek (Generative Adversarial Network; GAN) genereert grote aantallen nagemaakte captcha’ s die sterk leken op werkelijk gebruikte. Hiermee leert dit type algoritme maar liefst duizenden keren sneller dan programma’s die tot op heden werden gebruikt. Het nieuwe algoritme heeft daardoor uiteindelijk genoeg aan slechts 500 echte captcha’ s om de code te leren kraken. Het beste zelflerende programma tot nu toe had daar miljoenen plaatjes van dansende letters voor nodig. Captcha-krakers konden tot nu bovendien met slechts één type captcha overweg. Het nieuwe gereedschap werkt als een soort loper op alle captcha’ s.
De onderzoekers hebben het systeem getest op 33 soorten captcha’ s, waaronder de meest gebruikte op sites als eBay, Wikipedia en Microsoft. ‘Dit is eng, omdat het betekent dat de eerste beveiligingslaag van veel websites niet meer voldoende is’, aldus Zheng Wang, hoofddocent aan de School of Computing and Communications van de Lancaster University. Hij vreest dat persoonsgegevens ten prooi kunnen vallen aan kwaadwillenden en dat DDoS-aanvallen en de verspreiding van spam explosief kan groeien.
Volgens de onderzoekers zouden websites die nog gebruikmaken van tekstgebaseerde captcha’ s snel alternatieve authentificatiemethoden moeten invoeren waarbij meerdere beveiligingslagen worden ingezet, zoals gebruikspatronen, gebruikerslocatie of zelfs biometrische gegevens.
