Introducción a la seguridad para principiantes:
(Security Beginner's No-Nonsense Introduction to)
Las Mejores prácticas CAPTCHA
21. 7. 2006. por Matej Šarić
Introducción
No necesito contarle acerca del spam - Usted seguro sabe todo lo que ha deseado saber acerca de ello. De hecho, apuesto que sabe mucho más de lo que nunca ha deseado. Lo que usted quiere en verdad es saber menos a cerca de él, y rápido.
Es probable que si usted está en verdad tratando de olvidar todo lo posible el spam, esté usando protección CAPTCHA en su sitio web.
Entonces, aquí hay una pequeña lista que puede serle útil si es un iniciado en el mundo de los CAPTCHA:
- Considere el equilibrio
- Siempre provea alternativas
- No espere seguridad absoluta
- Garantizar seguridad los suficientemente buena
Consider el equilibrio
EL problema
Los CAPTCHAs son una muy buenos para una cosa: prevenir publicaciones. La mayoría contra las automáticas indeseadas, pero a veces también de las manuales deseadas.
Ni usuarios enfadados con tres CAPTCHAs por página, ni permitiendo al spam molestar es bueno. Y es su decisión darle paso cuidadosamente a todas las opciones y encontrar una misteriosa combinación de dos males que produzcan el resultado menos malo.
En última instancia es una cuestión de Seguridad vs. Usabilidad: ¿Qué páginas/escenarios merecen ser protegidos? ¿Cuáles son molestos para sus visitantes (enviándolos a algún sitio más amigable)?
La solución
En gran medida, los usuarios aprenden a tolerar el CAPTCHA. Pero nunca abuse de su tolerancia y use CAPTCHAs lo menos posible - ejemplo solo cuando esté seguro de que sea necesario. Mientras usted usa CAPTCHAs para detener a los spambots, la razón que usted esté tratado de detenerlos en primer lugar es para hacer su sitio más utilizable, legible y agradable para sus usuarios.
Entonces, para cada parte "publicable" que sea parte de su sitio web:
- Asegurese que sea utilizable sin problemas para el usuario promedio, autentifique los usuarios primero.
- Usando CAPTCHA, asegúrese de que sea algo odioso para los spammers, sin afectarlos ;-).
Siempre provea alternativas
El problema
La letra "T" del acrónimo "CAPTCHA" significa "Pureba de Turing", la cual es una vieja manera de distinguir entre entre computadoras y ordenadores. Consiste en entregar un problema para resolver - que la mayoría de los casos es de naturaleza visual.
Lo que lo hace difícil (sino imposible) de resolver para personas que tienen visión menos que perfecta, quienes son daltónicos, o que son ciegos. Además, como los algoritmos de de rompe-CAPTCHAs mejoran, las pruebas modernas de CAPTCHAs son más y más difíciles, lo que las hace difíciles de leer para personas que no tengan visión perfecta.
La Solución
Solo asegurese de que todos los usuarios (quienes posiblemente tengan algún problema de cualquier índole al leer su CAPTCHA) tengan una manera alternativa de acceder a cualquier recurso que esté protegiendo. El punto es darle a todas las personas una oportunidad.
Podría proveer una prueba alternativa CAPTCHA que no use texto distorsionado (como un CAPTCHA sonoro, textual, rompecabezas, etc.). Debería proveer una dirección de correo electrónico a para los usuarios que quieran contactar al administrador para que les permita manualmente el acceso.
No espere seguridad absoluta
El problema
Seguridad absoluta, al 100% es ficción. Esto se aplica a aspectos de seguridad informática de igual manera (inclueyendo CAPTCHAs). No hay que entrar en pánico por ello. Nada porqué preocuparse. Pero de seguro que es algo acerca de que pensar pensar.
Empezando con esto: Con suficiente tiempo, esfuérzos, recursos y conocimiento, cualquier medida de seguridad puede ser rota. Esto es probablemente el primer axioma de la seguridad. Pero eso no significa que cualquier medida de seguridad será rota.
La solución
La idea es no hacer imposibles los ataques a su sitio web, sino muy difíciles, ineficientes, y que generalmente no valga la pena hacer el intento. Todo lo que tiene (y puede) lograr es llegar a un estado en que el crimen en si sitio web no vale.
Solo haga cosas que no valgan ni para usted ni para los aspirantes a spammers. No puede y no quiere proteger todo. Esas partes que usted puede y desea proteger, puede proteger perfectamente. Aprenda a lidiar con ello.
Garantizar seguridad lo suficientemente buena
El problema
La idea básica del CAPTCHA es venir con un test que a) la mayoría de los humanos puedan superar b) la mayoría de las tecnologías de spambots no puedan pasar. Ahora rápidamente - cuenteme, ¿quiénes (humanos) o qué (spambots) es más probable que obtenga significativos mejores resultados en leyendo texto distorsionado en gran medida en los próximos 5 años?
Entonces, ¿tiene sentido la mejora en seguridad haciendo el texto más y más distorsionado?
La solución
Use algoritmos de renderizado de CAPTCHAs fácilmente leíbles. Use distintos algoritmos. Alterne entre ellos aleatoriamente. Agregue variaciones al azar de cada una.
Mientras cambiar de algoritmo de renderizado y agregando variaciones no detendrá cada uno ni todos los ataques de spambots, hará la rotura vía OCR muy cercano a lo imposible. El nivel actual de los mecanismos de inteligencia artificial no pueden lidiar con tanta aleatoridad. Use este enfoque y los atacantes tendrán que a) renunciar b) venir con algo mejor.
Información adicional
(También conocido como: Stay No-Nonsense)Realmente disfrutar todos los beneficios del CAPTCHA, mientas se eviten todos los problemas, no es sencillo. Leer esto y aplicarlo puede ayudarlo a empezar su propio camino, Solo recuerde, que deber seuirlo también.
Versiones Actuales de BotDetect
- BotDetect ASP.NET CAPTCHA v2.0.152009–11–23
- BotDetect ASP CAPTCHA v2.0.92009–02–12
Advertencia
Esta página es una traducción no oficial de la página original: CAPTCHA Best Practices y puede estar incompleta, incorrecta o poco actualizada.
Última traducción del 2009-12-18. Esto se aplica para los productos BotDetect ASP.NET CAPTCHA v2.0.15 y BotDetect ASP CAPTCHA v2.0.9.
