Heiteres Buchstabenraten bei Forenanmeldungen

[Auer Trambahner]

Nachdem ich als nicht Farbenblinder grad für eine Forumsanmeldung 4 oder 5 versuche benötigt habe um die Zeichen zu erkennen frag ich mich:
Nimmt die automatisierte Anmeldung von Spammern wirklich so überhand?

Der Auer

[ET 423]

Einfach beantwortet - ja. Bis wir im Eisenbahnforum eine solche zusätzliche Hürde einbauten, meldeten sich im täglichen Durchschnitt 15-30 sogenannter Bots bzw. Spammer an. Erst seitdem es das "Buchstabenraten" gibt, konnte diese Rate unter Kontrolle gebracht werden. Davor kamen wir teilweise mit dem Löschen nicht mehr hinterher...

[Auer Trambahner]

Das bedeudet praktisch, das auch diese Lösung bereits wieder angreifbar ist?
Und das die Forensoftware Botanmeldungen durch ein einheitliches Formular ohne Hürden quasi unterstützt?

Der Auer

[FloSch]

Nachdem ich als nicht Farbenblinder grad für eine Forumsanmeldung 4 oder 5 versuche benötigt habe um die Zeichen zu erkennen frag ich mich:
Nimmt die automatisierte Anmeldung von Spammern wirklich so überhand?

Der Auer

Ich sag's gerne auch nochmal: ja, sie nimmt wirklich extrem überhand.

Gerade bei Forensoftware, die im Internet vielfach eingesetzt wird, haben sich die Spam-Bots darauf spezialisiert, diese Anmeldungen vollautomatisch zu vollziehen. Es gibt allerdings Captchas, die man wirklich kaum lesen kann, das im Eisenbahnforum sollte eigentlich nicht dazu gehören:
http://www.eisenbahnforum.de/captcha.php?s...?str=UTQ3VDRmVT (direkt einbinden geht leider nicht)

Ich denke allerdings nicht, dass du von diesem Forum sprichst?

[Boris Merath]

Nachdem ich als nicht Farbenblinder grad für eine Forumsanmeldung 4 oder 5 versuche benötigt habe um die Zeichen zu erkennen frag ich mich:
Nimmt die automatisierte Anmeldung von Spammern wirklich so überhand?

Ja, das hier im Forum war wirklich heftig - weswegen wir hier dann eben auch so ein lustiges Buchstabenabtippen eingeführt haben. Das ganze ist laufender Kampf Spammer gegen Forenentwickler - die Spammer sind auch nicht blöd und versuchen sich teilweise an Zeichenerkennung etc. Deswegen wird versucht, die Zeichen so zu machen dass die nicht automatisiert erkannt werden können.
Gerade bei fertigen Forensystemen rentiert es sich für die Spammer halt doch ein bisschen Mühe reinzustecken, weil das dann bei allen Boards mit dieser Forensoftware funktioniert.

Ich bin an sich auch gegen solche Abtippseleien, aber es war so schlimm dass wir das Eisenbahnforum auch damit nachrüsten mussten.

[Auer Trambahner]

Nein, ich sprech nicht von diesen Forum. Es ist auch legitim, sich(Admin) und die User zu schützen,
aber wenn man nach der anmeldeprozedur erstmal nur noch Farbtupfer sieht und zum Chiropraktiker muß, um den Hals wieder einzurenken hört der Spaß auf.


Hintenraus 51 oder Sl oder S1 ?

Der Auer

[Boris Merath]

Hm...hat was

Besonders gemein ist immer wenn sowohl 0 als auch O vorkommt, oder I l und 1 Da sollten die Entwickler doch etwas mehr Mühe machen damit und so kritische ähnliche Buchstaben streichen.

[TramPolin]

Nein, ich sprech nicht von diesen Forum. Es ist auch legitim, sich(Admin) und die User zu schützen,
aber wenn man nach der anmeldeprozedur erstmal nur noch Farbtupfer sieht und zum Chiropraktiker muß, um den Hals wieder einzurenken hört der Spaß auf.

Hintenraus 51 oder Sl oder S1 ?

Der Auer

Ich kann das Zeug auch immer schlechter lesen. Im vorliegenden Beispiel hat es sogar den Anschein, als wäre zwischen den letzten beiden Zeichen S/5 und 1/I sogar noch ein weiteres, ich meine, hier noch eine gelbe 1 zu sehen. Eine Frechheit. Zum Glück kann man sich bei den meisten Systemen einen neuen Code generieren lassen oder man gibt einfach was Falsches ein und hat dann weitere Versuche mit weiteren Codes. Mit etwas Glück ist dann einer dabei, der eindeutige Zeichen enthält.

Das Problem und wie hier schon angedeutet: Je besser lesbar, desto einfacher auch per OCR für Bots auslesbar.

[FloSch]

Also das Ding da ist wirklich eine Frechheit. Ich bin nicht farbenblind und hab mit dem Ding trotzdem so meine Probleme.

An der Stelle gehört der Programmierer echt ausgepeitscht, mit der Unlesbarkeit überspielt er nur andere Sicherheitsdefizite seiner Anmeldeprozedur...

[TramPolin]

Also das Ding da ist wirklich eine Frechheit. Ich bin nicht farbenblind und hab mit dem Ding trotzdem so meine Probleme.

An der Stelle gehört der Programmierer [...]

Dazu kommt noch, dass Sehbehinderte, die normalen Text nur stark vergrößert lesen können, hier gar keine Chance mehr haben.

[Wetterfrosch]

YG7US1?

[Auer Trambahner]

Zum Glück kann man sich bei den meisten Systemen einen neuen Code generieren lassen oder man gibt einfach was Falsches ein und hat dann weitere Versuche mit weiteren Codes. Mit etwas Glück ist dann einer dabei, der eindeutige Zeichen enthält.

Richtig, und dann darf man wenns doch nicht passt das Passwort jedesmal neu eungeben.
Wer mit der Grafik absolut Probleme hat muß sich an den Admin wenden.
Nur bleibt sich zu fragen, ob der Betreiber damit nicht auch potentielle Teilnehmer abschreckt.

Der Auer

[Auer Trambahner]

YG7US1?

Keine Ahnung, habs nicht probiert.

Der Auer

[TramPolin]

Was kommt als Nächstes, wenn die Bots auch das überlisten können. Vorschlag 1: Ein automatisch generiertes Video wird abgespielt, in dem die Buchstaben hintereinander als animierte Kunstwerke vorgestellt werden, etwa durch Anordnung von Flaschen, Kornkreise, Wolkenformationen, die wie Buchstaben aussehen - wichtig: immer was anderes, damit Spots das nicht durchscannen können. Wichtig hierbei: Die Zeichen sollen sehr schlecht erkennbar sein, denn man muss ja was gegen die Bots machen.
Vorschlag 2: Der Code wird in einer sehr schlecht verständlichen Stimme vorgelesen (für Hörbehinderte oder Taube diskriminierend), aber man muss ja was gegen die Bots machen.

[Auer Trambahner]

2: Der Code wird in einer sehr schlecht verständlichen Stimme vorgelesen 

Hab ich schonmal irgendwo als Alternative für sehbehinderte gehabt.

Der Auer

[Der Adler]

Hab ich schonmal irgendwo als Alternative für sehbehinderte gehabt.

Mit der Bildschirmlupe?

[423176]

Servus!
Bei mir im S-Bahn Forum schalte ich freiwillig alle Accounts lieber selber frei, damit diese Spammer keien Chance haben.

[Der Adler]

YG7US1?

Richtig entziffert.

Diese Buchstaben im Bild zu entziffern, war für mich auch problematisch, nicht weil ich das nicht lesen kann, sondern die Gitter (was das Problem des entzifferns leider verschärft) und das Lichtverhältnis im Raum sowie der momentane körperliche Zustand eines Menschen (ob er wach oder müde ist). Vor allem macht das zur korrekten Erkennung von Buchstaben und Zahlen das genaue hinsehen und mitdenken erforderlich.
Leider gibt es Zeitgenossen die, sich im Forum anmelden wollen, wegen des Entzifferproblems resigniert aufgeben müssen.

So long...

[ET 423]

Also das Ding da ist wirklich eine Frechheit. Ich bin nicht farbenblind und hab mit dem Ding trotzdem so meine Probleme.

Dem schließe ich mich an - obwohl ich wirklich nicht farbenblind bin, hätt' ich mir hier ein neues Formular geholt in der Hoffnung, daß es da ein bißchen eindeutiger ist.. :ph34r:

[TramPolin]

Richtig entziffert.

Diese Buchstaben im Bild zu entziffern, war für mich auch problematisch, nicht weil ich das nicht lesen kann, sondern die Gitter (was das Problem des entzifferns leider verschärft) und das Lichtverhältnis im Raum sowie der momentane körperliche Zustand eines Menschen (ob er wach oder müde ist). Vor allem macht das zur korrekten Erkennung von Buchstaben und Zahlen das genaue hinsehen und mitdenken erforderlich.
Leider gibt es Zeitgenossen die, sich im Forum anmelden wollen, wegen des Entzifferproblems resigniert aufgeben müssen.

So long...

Was macht Dich so sicher, dass es YG7US1 heißt? Ich glaube es auch, bin mir aber nicht sicher.

Ich schätze mal, dass nicht einmal der Programmierer von dem Teil das mit letztendlicher Sicherheit sagen kann, da die Buchstaben so ungünstig in den Farbtupfern und im Gitter positioniert werden können, dass die ohnehin kaum zu entziffernden Zeichen noch einmal erheblicher schwerer lesbar sind.

Wie gesagt, ich für meinen Teil glaube hier noch ein sechstes Zeichen (eine Ziffer 1?) zu sehen. Dafür spricht, dass der Abstand zwischen dem S und der 1 am Ende verdächtig groß ist, dagegen, dass dem Zeichen der schwarze Rand fehlt. Die Antwort könnte auch YG7US11 lauten (oder ähnlich).

[Der Adler]

Was macht Dich so sicher, dass es YG7US1 heißt? Ich glaube es auch, bin mir aber nicht sicher.

Ich schätze mal, dass nicht einmal der Programmierer von dem Teil das mit letztendlicher Sicherheit sagen kann, da die Buchstaben so ungünstig in den Farbtupfern und im Gitter positioniert werden können, dass die ohnehin kaum zu entziffernden Zeichen noch einmal erheblicher schwerer lesbar sind.

Wie gesagt, ich für meinen Teil glaube hier noch ein sechstes Zeichen (eine Ziffer 1?) zu sehen. Dafür spricht, dass der Abstand zwischen dem S und der 1 am Ende verdächtig groß ist, dagegen, dass dem Zeichen der schwarze Rand fehlt. Die Antwort könnte auch YG7US11 lauten (oder ähnlich).

Ich war heute Morgen, wie Du an meinem Beitrag sehen kannst, am PC und habe mir das noch mal angeschaut, weil ich ein normales Monitor verwendet habe, kam das "grüne S" (vorletzte Buchstabe vor "1") in aller Deutlichkeit zum Vorschein, was ich gestern im Geschäft auf dem Flachbildschirm nicht so richtig entziffern konnte. Ob eine "1" hinter dem Gitter verborgen war oder ähnliches.

[TramPolin]

Ich war heute Morgen, wie Du an meinem Beitrag sehen kannst, am PC und habe mir das noch mal angeschaut, weil ich ein normales Monitor verwendet habe, kam das "grüne S" (vorletzte Buchstabe vor "1") in aller Deutlichkeit zum Vorschein, was ich gestern im Geschäft auf dem Flachbildschirm nicht so richtig entziffern konnte. Ob eine "1" hinter dem Gitter verborgen war oder ähnliches.

Ich will keine Wissenschaft daraus machen, aber ein Beweis ist das nicht...

Ich habe hier einen sehr guten Monitor, bin nicht farbenblind, die Augen sind einigermaßen in Ordnung und ich kann es nicht gescheit entziffern.

[Der Adler]

Ich will keine Wissenschaft daraus machen, aber ein Beweis ist das nicht...

Ich habe hier einen sehr guten Monitor, bin nicht farbenblind, die Augen sind einigermaßen in Ordnung und ich kann es nicht gescheit entziffern.

Naja, ich habe das gedacht, ich hätte es richtig entziffert, aber egal. Blödsinn ist das auf jedenfalls. Das Bildchen, das jemand, der sich im Forum anmelden will, sollte soweit wie möglich lesbar sein, daß das Subjekt es lesen kann, aber so beschaffen sein, um das OCR-Programm besser überlisten zu können. Eine absolute Sicherheit gibt es leider nicht. Ich kann und will einem Programmierer nicht vorschreiben, wie er das Sicherheitssystem zu programmieren hat.

Das mit dem Abstand zw. "S" und "1" hätte ich nicht bedacht, weil ich gedacht habe, daß das komplett wäre. Bei näherer Betrachtung kommt irgendwie im Farbtupfer eine gelbe Ziffer, das zum entziffern von einem Zeichen wirklich eine harte Nuß ist, vor.

[TramPolin]

Naja, ich habe das gedacht, ich hätte es richtig entziffert, aber egal.

O.k., hast Du wahrscheinlich auch.

Blödsinn ist das auf jedenfalls. Das Bildchen, das jemand, der sich im Forum anmelden will, sollte soweit wie möglich lesbar sein, daß das Subjekt es lesen kann, aber so beschaffen sein, um das OCR-Programm besser überlisten zu können.

Das Problem ist, je besser lesbar die Zeichen sind, desto leichter tun sich halt Bots mit OCR-Funktion (gibt es eigentlich solche wirklich? Der Aufwand ist ja immens). Wenn man auf leicht verwechselbare Zeichen verzichtet, kommt es dem Nutzer zugute, aber man spielt auch den Bots in die Hände.
Der Kampf Spamer gegen Betreiber wird wahrscheinlich noch Jahre weitergehen. Tendenziell werden wohl die Spamer und die ganzen Betrüger siegen bzw. sich nicht vertreiben lassen. Die Anzahl an Internetbetrug nicht ja weltweit weiterhin dramatisch zu.

Eine absolute Sicherheit gibt es leider nicht. Ich kann und will einem Programmierer nicht vorschreiben, wie er das Sicherheitssystem zu programmieren hat.

Ach, das regelt sich schon von selbst. Wenn die Anmeldungen zurückgehen, werden sich die Verantwortlichen schon was Besseres einfallen lassen. Ansonsten, selbst schuld. Lieber ein paar Spameinträge mehr als der wirtschaftliche Ruin (kommerzielle Systeme haben ja mittlerweile auch so was).

Das mit dem Abstand zw. "S" und "1" hätte ich nicht bedacht, weil ich gedacht habe, daß das komplett wäre. Bei näherer Betrachtung kommt irgendwie im Farbtupfer eine gelbe Ziffer, das zum entziffern von einem Zeichen wirklich eine harte Nuß ist, vor.

Wie gesagt, ich sehe hier relativ "deutlich" eine gelbe 1 (Eins)?

[TramPolin]

Hier mal ein Beispiel für unleserliche Spam-Mails. Da die Antispamprogramme offenbar inzwischen auch nach Mustern und Texten in Grafiken suchen, gestalten die Spammer ihre Mails inzwischen wohl so, dass die Lesbarkeit bewusst sinkt. Entfernte Gemeinsamkeiten mit den Grafiken von grafischen Anmeldecodes sind unverkennbar.

Wenn diese Variationen zufallsgesteuert bei jeder versendeten Mail passiert (kein Benutzer erhält exakt dieselbe Mail), könnte dies die Scanner austricksen. Ich weiß nicht, ob es tatsächlich Antispamsoftware gibt, die bereits per OCR E-Mails erkennen können. Wenn dem so ist, dürften diese nun auch erhebliche Schwierigkeiten haben. Eine für jeden Benutzer individuell gestalteter Text, welcher der Mail noch hinzugefügt wird ([Edit:] als reiner Text; die schon mal angesprochene Geschäftsmail ohne kritische Wörter,die spamverdächtig sind [/Edit Ende]), und für eine Software dürfte kaum noch erkennbar sein, dass dies Spam ist.

Für meine These spricht, dass Mails dieser Art anfangs nur ein paar "Störpunkte" enthielten, aber ansonsten gut lesbar waren.

Mir soll's recht sein, wenn man das Zeug nicht lesen kann. Nur nerven tut es schon, vor allem wird ein großer Teil von der Antispamsoftware nicht erkannt. Ich bekomme jeden Tag teilweise Dutzende solcher Aktienkauf-"Empfehlungen".

Zum Bild: Ich wage es mal, das hier einzustellen. Als Bildzitat ist es wohl zulässig, zudem dürfte kein Spamversender dagegen vorgehen, da er sich ja damit outen würde.

[mellertime]

Dein Bild wird leider nicht angezeigt, aber ich weiß, was du meinst.

Zu den Aktienspams: Mach dir mal den Spaß und suche auf einer Bankseite die Aktie raus und lass dir die Daten anzeigen und/oder such in Atienforen nach der Firma! Da erfährt man sehr interessante Dinge.

[TramPolin]

Dein Bild wird leider nicht angezeigt, aber ich weiß, was du meinst.

Zu den Aktienspams: Mach dir mal den Spaß und suche auf einer Bankseite die Aktie raus und lass dir die Daten anzeigen und/oder such in Atienforen nach der Firma! Da erfährt man sehr interessante Dinge.

Es muss nicht unbedingt sein, dass die Inhaber der Firmen, die Aktien ausgeben, hinter den Mails stecken. Vielleicht ist dies eher selten der Fall. Ich denke eher, dass sich da gewisse Leute mit Aktien eingedeckt haben und darauf spekulieren, dass die Kurse nach dem Mailversand stark steigen. Edit: Du hast das übrigens auch nicht (direkt) behauptet, nur mal so als Gedanke.

Zum eingebundenen Bild: Dieses wurde gesern angezeigt, derzeit scheint der Server nicht erreichbar zu sein, auf dem ich die Bilder abgelegt habe.

[423-Treiber]

Es muss nicht unbedingt sein, dass die Inhaber der Firmen, die Aktien ausgeben, hinter den Mails stecken. Vielleicht ist dies eher selten der Fall. Ich denke eher, dass sich da gewisse Leute mit Aktien eingedeckt haben und darauf spekulieren, dass die Kurse nach dem Mailversand stark steigen. Edit: Du hast das übrigens auch nicht (direkt) behauptet, nur mal so als Gedanke.

Da war erst kürzlich ein Bericht im TV, es handelt sich meist um sogenannte Pennystocks, die durch diese gepushten Käufe kurzzeitig ansteigen sollen und die Mailersteller einen Reibach machen können. Hierbei wurden schon ganze Firmen zerstört, weil die Aktie nach so einer Aktion ins bodenlose fällt und faktisch tot ist. Mittlerweile bekomme ich von denen Dingern auch mehrere pro Tag und das nervt gewaltig!

[TramPolin]

Da war erst kürzlich ein Bericht im TV, es handelt sich meist um sogenannte Pennystocks, die durch diese gepushten Käufe kurzzeitig ansteigen sollen und die Mailersteller einen Reibach machen können. Hierbei wurden schon ganze Firmen zerstört, weil die Aktie nach so einer Aktion ins bodenlose fällt und faktisch tot ist. Mittlerweile bekomme ich von denen Dingern auch mehrere pro Tag und das nervt gewaltig!

Wenn's nur einige pro Tag wären, wäre ich froh. Ich habe nur alleine heute früh einen ganzen Schwung davon erhalten.

Grundsätzlich, auch wenn für jeden Benutzer solche Grafiken individuell erstellt werden, sodass diese nicht bitweise gleich sind, hinterlassen Bildgeneratoren normalerweise bestimmte "Muster", selbst, wenn diese zufallsgesteuert arbeiten. aus diesem Grund gibt es Chancen, solche Grafiken zu erkennen. Daher kann man nur hoffen, dass die Antispamprogramme in dieser Hinsicht verbessert werden.

Das Problem ist allerdings, dass die Spamversender sann solange an ihren Generatoren rumschrauben, bis die Mails wieder durchgehen. Das ist wohl ein ewiger Kampf, den langfristig wahrscheinlich nur die Spamversender gewinnen.

Ich tendiere jetzt schon dazu, nur noch Mails von einer Empfänger-Whitelist in den Posteingang zu lassen. Leider haben ja Windows Mail, der Internet Explorer und Vista im Allgemeinen zwar Tausende neuer Features, aber so was Praktisches wie "Posteingangssound nur abspielen, wenn Absender auf der Whitelist" gibt es offenbar nicht. Ganz im Gegenteil, der Posteingangssound wird auch dann abgespielt, wenn eine Mail im Spamordner landet. Noch schlimmer: Man erhält sogar jedes Mal einen optischen Hinweis, wenn eine Spam-Mail eingeht (also laufend den ganzen Tag). Immerhin kann man dies abschalten. Den Posteingangssound kann man wohl nur generell ein- und ausschalten. Wenn ich ihn ausschalte, bekomme ich zeitnah wichtige Mails nicht mit. Schalte ich ihn ein, klingelt der Rechner den ganzen Tag.

Warum hat man in Vista / Windows Mail eigentlich die praktischsten Dinge vergessen?

Gut, ich könnte jetzt auf die Suche nach Antispamfiltern gehen, die unter Vista laufen (der Spamihilator läuft allenfalls mit Tricks, ist mir zu riskant). Mit etwas Geschick kann man auch dann erreichen, das kein Posteingangssound mehr abgespielt wird, weil Spam-Mails erst in einem Zwischenspeicher landen. Aber, ich habe keine Lust mehr. Auch wenn ich da ein paar Stunden rumschraube, spätestens nach ein paar Wochen erhalte ich wahrscheinlich wieder die ganzen Spam-Mails im Posteingang (oder schon früher, weil die neueste Generation von Mails ohnehin nicht als Spam erkannt wird).

[TramPolin]

Hier übrigens, nachdem es mit dem Bild nur teilweise geklappt hat, ein anderes (noch schlechter lesbares) Bild, das ich auf einem anderen Server abgelegt habe:



Wenn das Bild nicht angezeigt wird, bitte hier hier klicken