Не пора ли выпилить капчу?

Question

[beduin01]

Ну ей богу уже достали эти идиотские капчи, которые удается правильно угадать только с десятого раза. Непонятно от чего она защищает. Если хочется осложнить возможность перебора паролей, то может просто таймаут сделать по 10 секунд после каждой попытки, а не издеваться над пользователями?

Собственно хочу эту мысль до создателей тостера как-то донести...

Answer 1

[Андрей Ежгуров]

Добавишь паузу - хакер вместо десяти ботов запустит тысячу. И добьётся точно такого же результата.

Другое дело, что капча с искажённым текстом - это не единственный способ отличить человека от бота. И большинство этих способов (в том числе и другие варианты капч) несравнимо дружественнее, чем совершенно не читаемая reCaptcha.

Comments

[beduin01]

>Добавишь паузу - хакер вместо десяти ботов запустит тысячу.
Ну и какая скорость будет перебора? 1 ник 1 пароль в 10 секунд. Хоть миллион ботов будет скорость перебора не вырастет.

Да и вопрос нахера актуален? Ну профит какой? Акки от форумов и прочих ресурсов нафиг никому не нужны. А у банков вопросы безопасности не капчей решаются.

[Андрей Ежгуров]

beduin01: Похоже, ты не понимаешь, как работают сайты. Каждый ввод пароля независим от других. Потому 10 секунд первого бота никак не влияют на 10 секунд второго бота и т.д.

Предположим, у нас задержка 1 секунда - запускаем 10 ботов с интервалом в 0.1 секунду и через секунду начинаем получать перебор паролей со скоростью 10 паролей в секунду.

Теперь у нас задержка 10 секунд - запускаем 100 ботов с интервалом в 0.1 секунду и через 10 секунд получаем ту же самую скорость в 10 паролей в секунду.

Посмотри на поток рекламного спама на otvet.mail.ru. Если этим постоянно занимаются много лет, значит это окупается. И значит находятся "коммерсанты", которым это нужно.

[d3vi1h3aRt]

beduin01: 1 ник 1 пароль в 10 секунд. А если владелец аккаунта пытается войти?

[beduin01]

Андрей Ежгуров: d3vi1h3aRt: Да это все какие-то сказочные ситуации. Решаются элементарным сохранением метрики пользователя после успешных входов (юзер агент и ИП) и блокировкой ИП с неудачными попытками входа.

"Каждый ввод пароля независим от других." это полная ерунда. Что мешает сделать его зависимым?

>запускаем 100 ботов получаем ту же самую скорость в 10 паролей в секунду.
Эта проблема решается блокировкой множественных попыток неудачного входа с указанных ИП.

Да и ломать учетки брутфорсом просто смешно.