CAPTCHA-Lösungen einfach erklärt 

CAPTCHA

CAPTCHA - Was tun?

CAPTCHAs gehören heute oft ganz verständlich zu Webseiten. Denn es gilt illegale bzw. schädliche Angriffe abzuwehren. Jedoch verfügen viele Webseitenverantwortliche nicht wirklich über Erfahrungen mit dem verschiedenen CAPTCHA-Dienstleistern. Nicht selten wird dann auf die einfachste zu findende und zu implementierende CAPTCHA-Lösung zurückgegriffen. 

Wir stellen auf dieser Seite wichtige Grundinformationen zu CAPTCHAs inkl. Tipps, Vor- und Nachteile bereit.  Lesen Sie weiter, um mehr zu erfahren, und rufen Sie uns noch heute unter +43 1 9971466 an, um mit einem Experten zu sprechen.

Was ist ein CAPTCHA? 

Ein CAPTCHA ist eine Anti-Bot-Massnahme bzw. auch Anti-Roboter-Überprüfung. Hierbei wird einem Benutzer eine Aufgabe gestellt, die er lösen muss, um auf diese Art zu überprüfen, ob er ein Mensch ist. In diesem Sinne ist der Hauptzweck von CAPTCHA-Lösungen sicherzustellen, dass echte Menschen Internetformularen wie ein Kontakt-Formular, eine Web-Registrierung oder eine Login-Maske ausfüllen und keine Bots oder andere illegalen, schädliche automatisierte Anwendungen. In anderen Worten CAPTCHA-Anwendungen zielen darauf ab böswillige Attacken auf Webseiten, Applikationen und APIs abzuwehren bzw. zu erschweren. 

CAPTCHA

CAPTCHA ist die Abkürzung  für "Completely Automated Public Turing Test to tell Computers and Humans Apart"  zu Deutsch „Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“ 

Wie funktioniert ein CAPTCHA? 

Im Zug einer Anti-Roboter-Verifizierung wird bei den meist genutzten CAPTCHAs der Nutzer aufgefordert, eine Aufgabe zu lösen bevor eine Webregistrierung oder eine Kontaktnachricht abgesendet werden kann. Hierbei kommen Validierungsverfahren zum Einsatz, die den Erfolg oder Misserfolg des Benutzers bei der Bewältigung der Aufgabe anzeigen. 

Am Beispiel von einem bilderbasierten CAPTCHA wird von einem Server ein Bildbeschriftung und mehrere Bilder bereitgestellt. Der User markiert alle Bilder, die der Bildbeschriftung entsprechen. Die ID der Bilder werden an den Server zurückgemeldet und der Prüfzyklus bestimmt, ob die CAPTCHA-Aufgabe gelöst worden ist. Bei einer positiven Prüfung erhält der User beispielsweise eine Meldung „Ich bin kein Roboter“ und die Daten der Kontaktnachricht werden an den Server geschickt. 

In einem anderen Bespiel werden statt einem Bild  Schriftzeichen in einer verzerrten Form oder sich teilweise überdeckend erzeugt, die so gestaltet sind, dass diese für Menschen leicht zu lesen, für Maschinen aber schwer zu entziffern sind. Die Verfremdung der Schriftzeichen kann hierbei sehr weit gehen.  Von unterschiedlicher Skalierung, Drehung, Verzerrung bis hin zur Überlagerung  mit grafischen Elementen wie Farbe, Hintergrundrauschen, Linien, Bögen oder Punkten sind viele Möglichkeiten gegeben. Beim Lösen der Aufgabe wird sich die menschliche Fähigkeit zu Nutze gemacht, dass Menschen aufgrund von früheren Erfahrungen in der Lage sind, neue Muster ohne weiters zu verallgemeinern und zu erkennen. Bots müssen dafür erst programmiert werden. 

Eingabefeld für Schriftzeichenerkennung

Welche Arten von CAPTCHA gibt es? 

Heute werden vor allem zwei Hauptformen von CAPTCHAs unterschieden: 

Wenn der Benutzer aktiv eine Aufgabe ausführen muss, wird aufgrund der reibungsstarken Verifizierungsmethoden von einem High-Friction CAPTCHA gesprochen.  

Läuft die Überprüfung im Hintergrund und der Nutzer ist nicht angehalten eine Aufgabe zu meistern, um zu beweisen, dass er ein Mensch ist, dann bezeichnet man dies als Low-Friction CAPTCHA.

Der Begriff reibungsstarke Verifizierungsmethoden zielt vor allem auf die Tatsache ab, dass die zu absolvierende Prüfung für den Nutzer direkt keinen Mehrwert darstellt. Sie ist eine Hürde, die vor allem Zeit kostet bis er sein eigentliches Ziel erreichen kann. 

Beispiele für High-Friction CAPTCHA

Art des CAPTCHABeispiel für die AufgabeAnbieter
Textbasierte CAPTCHA SchriftzeichenerkennungCaptcha.guru, CaptChair, Text Disguise, RainCaptcha, MTCaptcha 
Bilderbasierte CAPTCHABildbeschriftungsaufgabeConfident CAPTCHA, PhotoCaptcha, 2Captcha API, WebAppz, hCaptcha, ReCaptcha 
Audiobasierte CAPTCHAEingabe von gehörten Buchstaben Datadome, Seznam Captcha
Mathematische oder Wort-basiert CAPTCHALösen von Rechenaufgaben, Beantworten von Fragen, Vervollständigen von SätzenVersCaptcha API
Spielbasierte CAPTCHAZusammensetzen eines Puzzleteils zu einem Apfelbild, bei dem das Teil fehlt, Rotieren eines BildesKeyCaptcha API, VouchSafe API, GeeTest CAPTCHA, Rotate Captcha
Social Media-basierte CAPTCHASign-in via Google, LinkedIn, Facebook usw, Single-Sign-On-Funktionalität (SSO) Google
Bezahlbasierte CAPTCHABezahlung mittels CryptowährungCaptcha Coin API
Telefonbasierte CAPTCHAZusendung eines CodesRingcaptcha
Werbebasierte CAPTCHAEingabe eines TextesSolve Media, Ericsson Captcha

In welchen Bereichen bzw. für welche Zwecke werden CAPTCHAs eingesetzt? 

CAPTCHAs kommen in verschiedenen Bereichen zum Einsatz und dienen vor allem zur Erhöhung der Cybersecurity und des Datenschutzes. Die bekannteste Anwendung von CAPTCHAs ist die Blockade von automatisierten Formulareingaben durch Bots. Unter anderem werden CAPTCHAs beispielsweise in folgenden Anwendungsgebieten genutzt, um diese vor schädlichen Angriffen bzw. Missbrauch zu schützen. 

  • Filterung von Email-Spams bei Kontaktformularen
  • Verhinderung von Bot-basierter Manipulation von Online-Umfragen bzw. Aufrechterhaltung der Umfragegenauigkeit
  • Schutz vertraulicher Informationen auf Webseiten
  • Verhindern von Sammeln von Nutzerdaten (Phishing)
  • Unterbinden von Verbreitung von Links zu Phishing-Websites, um Endgeräte mit bösartigen Viren und Bot-Würmer zu infizieren
  • Verhindern von automatisierten Fake-Registrierungen (Web-Registrierung) bzw. Beschränkung der Registrierung für Dienstleistungen
  • Reduktion von Kommentar-Spams
  • Verhinderung von gefälschten Klickzahlen
  • Verhinderung von automatisierten Blog-Einträge
  • Entschärfung von Wörterbuchangriffen
  • Verhinderung von Sybil-Attacken
  • Verhinderung von Ticket Scalping - illegale Sammlung von Tickets für den profitablen Weiterverkauf

Hinweis: Bad Bot, Good Bot

Nicht alle Bots sind im Einsatz um Schaden anzurichten. Zahlreiche Bots sind dazu da, um nützliche Aufgaben automatisiert auszuführen. Diese wohlwollende Bots sind darauf ausgerichtet, das Leben für Menschen leichter zu machen. 

Welche Nachteile kann der Einsatz von CAPTCHAs haben?

CAPTCHAs können sich negativ auf die Nutzererfahrung auf Ihrer Website auswirken. Mehr und mehr kommt es zur Kritik, dass Nutzer sinnlose, sich wiederholende Arbeiten verrichten oder Daten offenlegen müssen, um beispielsweise als Konsument eine Nachricht an eine Organisation abzusenden können. So werden auch folgende Nachteile im Zuge von Erhebungen angeführt: 

  • Nutzer erleben CAPTCHAs als störend und frustrierend
  • CAPTCHAs können für manche User schwer zu verstehen oder zu verwenden sein
  • CAPTCHAs sind mit manchen Browsern nicht kompatible
  • CAPTCHAs sind mit auf Mobilgeräten teilweise noch weniger bedienungsfreundlich

Das führt zu Verschlechterung des Benutzererlebnisses, womit wieder niedrige Conversion, geringe Online-Transaktionen, höhere Abbrüche etc. verbunden sind. Es wird davon ausgegangen, dass die erhöhten Reibungsverluste Kundeninteraktionen um durchschnittlich 10 Sekunden verzögern. Auch gelten reibungsstarke Verifizierungsmethoden als wenig zugänglich für Menschen mit Behinderungen, z. B. sehbehinderte Nutzer. 

Was ist ein Low-Friction CAPTCHA? 

In Anbetracht der steigenden Kritik an herkömmlichen CAPTCHAs werden zunehmend für Nutzer freundlichere CAPTCHA-Lösungen entwickelt und bereitgestellt. Zum Teil handelt es sich hierbei auch um Methoden, die schon länger bekannt sind, jedoch in Kombination zum Schutz gegen Bots beitragen. 

Beispiele für Low-Friction CAPTCHA - reibungslose Verifizierung

Reibungslose Verifizierungsverfahren sind im besten Fall für echte Menschen unsichtbar bzw. nicht wahrnehmbar, während es für Bots schwierig ist, diese Überprüfung zu bestehen.

  • Nutzeraktivitäten
  • Proof of Work
  • Spam Honeypots
  • Lockout Time / Zeitsperren
  • IP White List / Blacklisting IPs
Finger mit Klickzeichen

Nutzeraktivitäten

Hierbei wird die Bewegungen des Nutzers auf der Webseite verfolgt und analysiert. Dabei wird versucht zu erkennen, ob die Klicks und andere Nutzeraktivitäten auf der Webseite einen menschlichen Verhalten entsprechen oder man dies eher einem Bot zuordnen würde. 

Balken mit Linie

Proof of Work 

Proof of Work sind eine oder mehrere Rechenaufgabe, die vom Client-Browser im Hintergrund gelöst werden müssen, sodass die CAPTCHA-Prüfung positiv absolviert wird. Meist wird diese Prüfung vom Nutzer nicht wahrgenommen, da er zur gleichen Zeit mit seiner eigentlichen Aufgabe wie beispielsweise, das Ausfüllen eines Registrierungsformulars, das Verfassen eine Nachricht etc. beschäftigt ist. Dieser Arbeitsnachweis kostet Rechenleistung und Zeit und macht dadurch den auf Effizienz getrimmten Botaktivitäten einen Strich durch die Rechnung.

Honeypot

Spam Honeypots 

Hierbei handelt sich um eine Fall für einfache Bots. Es werden für den Webbenutzer unsichtbare Formfelder eingebaut, wodurch diese von echten Menschen nicht ausgefüllt werden. Im Gegensatz dazu lockt man Bots, die darauf programmiert sind alle Felder eines Formulars auszufüllen, auch diese unsichtbaren Eingabefelder auszufüllen. Damit verraten sich die Bots und das Absenden der Daten wird verhindert. 

Uhr mit drei Zeigern

Lockout Time / Zeitsperren

Bots können x-fach schneller Formulare ausfüllen als Menschen. Um möglichst viele Spamnachrichten abzusetzen zu können, werden diese Bots auch dementsprechend optimiert. Um diesem Wirken zu behindern, können Zeitsperrren eingesetzt werden. Sollte ein Bot schneller als die festgelegte Zeitblockade eine oder mehrer Anfragen an den Webserver bzw. Applikation schicken, wird der Bot erkannt und die Datenannahme wird abgelehnt. Menschliche Nutzer der Webseite bekommen diese Zeitsperren meist nicht mit, da sie ohnehin länger für die Eingabe benötigen. Die Nutzung eines Timers für Komplettierung eines Formulare kann eine nützliche Zusatzmaßnahme neben anderen Anti-Bot-Abwehrmethoden sein. 

Liste

IP White List / Blacklisting IPs 

Bei IP White List ist das Captcha für Benutzer, die von Internet-IP-Adressen kommen, die einer definierten IP-Whitelist entsprechen, völlig unsichtbar.  Die gegensätzliche Form - Blacklisting IPs -  ist das Erstellen von schwarzen Listen für IPs. Hierbei werden IPs aus bestimmten geographischen Regionen ausgeschlossen oder Anfragen aus diesen Regionen werden stark gedrosselt bzw. limitiert.

Wie werden CAPTCHAs heute ausgehebelt? 

Zum einen gibt es eine ganze Reihe von Anwendungen um CAPTCHAs zu lösen bzw. zu umgehen. Hierbei müssen nicht immer bösartige Interesse dahinter stehen. Manche Nutzer wollen so ihr eigenen Privatsphäre schützen, da sie mit VPN agieren oder Trackingversuche unterbinden. Auch gibt es Repositories, die die Schwächen von CAPTCHAs aufzeigen wollen. 

Zu anderem existieren CAPTCHA-Lösungsdienste, die ihre Service sehr gezielt anbieten. Hierbei werden zwei Hauptformen dieser auch CAPTCHA farms genannten Anbieter unterschieden: 

  • Menschenbasierte CAPTCHA-Lösungsdienste - Hierbei lösen Menschen im Auftrag von Unternehmen die CAPTCHAs und senden die Lösung an den Auftraggeber zurück.
  • Systembasierte CAPTCHA-Lösungsdienste  -  Bei dieser Methode wird das CAPTCHA automatisch mithilfe verschiedenen Technologien wie OCR (Optical Character Recognition) gelöst.

Mehr und mehr kommt Kritik auf, dass die populärsten CAPTCHAs-Lösungen, die vor allem silomäßig als erste Verteidigungslinie operieren, keinen ausreichenden Schutz gegen CAPTCHA-Farmen, gegenfortgeschrittene Bots bzw. Automatisierung vor bösartigen Akteuren bieten. Angesichts der Preistabellen der Captcha-Lösungsdienste ist anzunehmen, dass diese Kritik berechtigt ist. 

Wie niedrigschwellig bereits das Angebot ist, zeigen Browser-Erweiterung wie Buster. Diese Chrome-Extension unterstützt  mit Hilfe von Spracherkennung reCAPTCHA-Aufgaben zu lösen. Als Motivation für die Bereitstellung der Browser-Erweiterung geben die Entwickler folgendes an: 

reCAPTCHA-Herausforderungen stellen nach wie vor eine erhebliche Belastung für das Internet dar, da sie den Zugang zu Diensten und Informationen je nach unseren physischen und kognitiven Fähigkeiten, unserem sozialen und kulturellen Hintergrund und den Geräten oder Netzen, von denen aus wir eine Verbindung herstellen, verzögern und häufig blockieren.

Die Schwierigkeit von Captchas kann so unausgewogen sein, dass sie manchmal für Bots freundlicher erscheinen als für Menschen.

Das Ziel dieses Projekts ist es, unsere Erfahrungen mit Captchas zu verbessern, indem wir einfachen Zugang zu Lösungen erhalten, die bereits von automatisierten Systemen verwendet werden.

Armin Sebastian, Entwickler von Buster

Warum suchen Organisation Alternativen zu populären Captcha wie reCaptcha von Google? 

Aufgrund der DSGVO (GDPR) und der darauffolgenden Rechtsprechung sind immer mehr Organisation bemüht, Alternativen zu den gängigsten CAPTCHA-Anbietern zu finden.  ReCaptcha von Google und auch anderen Anbieter werden nicht als GDPR-Compliant betrachtet. Beispielsweise nutzt reCaptcha von Google bereits vorhandenes Wissen über die Identität des Nutzers, was nicht immer leicht in den Datenschutzinformationen abbildbar ist, da Google nicht alle Mechanismen vollständig offenlegt. Auch ist der Trend zu erkennen, dass die Suche nach Anbieter steigt, die nicht nur GDPR-konforme CAPTCHA-Dienstleistungen anbieten sondern auch ihren Sitz innerhalb der EU haben.  

FAQs

Auf was sollte man bei kostenlosen CAPTCHA-Lösungen Acht geben? 

Es existieren heute eine Vielzahl an CAPTCHA-Lösungen. Einige davon werden auch kostenlos zur Verfügung gestellt. Manche sind Open-Source oder werden durch Spenden finanziert. Jedoch ein guter Teil von kostenlosen CAPTCHA-Lösungen finanziert sich über Werbung,  den Verkauf von Userdaten oder die Erstellung von Website-Profilen. Folglich kommen Trackingmechanismen zum Einsatz, da die Verfolgung und Nutzbarmachung der Online-Aktivitäten der Nutzer ein wesentlicher Bestandteil für die Lukrierung von Werbeeinnahmen  sind. Allzuoft werden Nutzer jedoch davon nicht ausdrückliche in Kenntnis gesetzt und der Nachweis der expliziten und bewussten Zustimmungseinholung bleibt immer wieder rechtlich problematisch.  

Warum werden Low-Friction CAPTCHAs trotzdem „herkömmliches“ CAPTCHA angezeigt? 

Bei Low-Friction CAPTCHAs kommt es auch vor, dass ein „herkömmliches“  CAPTCHA mit einer User-Aufgabe  nur angezeigt, wenn nach einer ersten Prüfung ein Risiko für eine Bot-Aktivität erkannt wird. Hierbei kann es vorkommen, dass ein Benutzer nur auf ein Kontrollkästchen klicken muss, um die finale Validierungsprüfung zu bestehen. Dadurch reduziert man die falsch positive Rate und gleichzeitig wird der Aufwand für echte Menschen gesenkt, was schlussendlich zu besseren Transaktionsraten führt.