Captcha

Was ist ein Captcha?

CAPTCHA beschreibt ein Spamschutzverfahren, dessen Ziel es ist, automatisch generierte Eingaben von menschlichen zu unterscheiden und entsprechend herauszufiltern. CAPTCHA ist ein Akronym und steht für „Completely Automated Public Turing test to tell Computers and Humans Apart”. Zu den bekanntesten Varianten gehört das sogenannte reCAPTCHA von dem US-Unternehmen Google, welches im Web weit verbreitet ist.

Ein Beispiel für häufig genutzte Captcha-Dienste: hCaptcha. Hierbei bestätigst Du über einen Klick in das Haken-Feld, dass Du ein Mensch bist.

Verwendungszweck

CAPTCHAs finden meist Verwendung, wenn Formulare oder andere interaktive Elemente eine Nutzereingabe erfordern. Hier wird das CAPTCHA als zusätzliche Verifikation eingebaut, um Nutzer und Bots zu unterscheiden und zu verhindern, dass durch automatisch erstellte Spam-Beiträge schädlicher Inhalt auf der Website verbreitet wird. Mit erfolgreichem Lösen des CAPTCHAs kann sich der Nutzer als Mensch verifizieren und danach die gewünschte Eingabe absenden. Dieses Verfahren findet heute Anwendung in fast allen Bereichen, in denen eine Eingabe von Informationen erforderlich ist. Das ist beispielsweise in Anmeldeformularen für Newsletter, Communitys sowie sozialen Netzwerken der Fall. Inzwischen gibt es viele verschiedene Methoden, um mittels CAPTCHA einen menschlichen Nutzer zu verifizieren. Dennoch gilt es zu beachten, dass keines der etablierten Verfahren einen vollkommenen Schutz vor Spam bietet. Zusätzlich verschlechtern immer komplexere CAPTCHAs die Benutzerfreundlichkeit.

Arten von CAPTCHAS

Textbasierte CAPTCHAs

Das textbasierte CAPTCHA ist das älteste der bekannten Verfahren. Mithilfe von einer Kombination aus Buchstaben und Zahlen wird zufällig ein Code generiert, welcher der Nutzer in ein Prüffeld eingeben muss. Dieser Code wird zusätzlich verfremdet, um eine Erkennung durch Bots weiter zu erschweren. Zuverlässig ist der Schutz durch Text-CAPTCHAs aber nur, wenn der dargestellte Prüfcode so sehr verfremdet ist, dass eine automatische Erkennung unmöglich wird. Ist dies allerdings der Fall, wird auch die Lesbarkeit für Nutzer unter Umständen stark eingeschränkt.

Beispiel für zu starke Verfremdung in Text-Captchas. Der Nutzer muss hierbei den verfremdeten Text in das Feld darunter eingeben, um zu bestätigen, dass er ein Mensch ist.

Akzeptabler Grad an Verfremdung in Text-Captchas führt zu besserer Usability. Der Nutzer muss hierbei den verfremdeten Text in das Feld darunter eingeben, um zu bestätigen, dass er ein Mensch ist. Außerdem gibt es die Möglichkeit ein neues CAPTCHA anzufordern, indem der Nutzer auf das Pfeilsymbol klickt.

Bildbasierte CAPTCHAs

Bildbasierte CAPTCHAs sind heute am häufigsten zu finden. Sie stellen eine Alternative zu den textbasierten CAPTCHAs dar. Anstelle des verfremdeten Codeworts wird dem Nutzer eine Bildoberfläche mit entsprechender Lösungsanweisung gezeigt. Als Bildmaterial werden in der Regel alltägliche Motive, z.B. Fotos aus Google Maps, genutzt, die schnell erkannt werden können. Der Nutzer klickt entsprechend der Anweisung auf bestimmte Motive oder stellt einen Zusammenhang dar. Allgemein wird bildbasierten CAPTCHAs eine höhere Schutzwirkung als textbasierten zugesprochen, denn die Erkennungs- und Interpretationsfähigkeiten von abgebildeten Motiven ist bei Bots heute noch stark eingeschränkt. Im Gegensatz dazu erkennen menschliche Nutzer die Lösung des bildbasierten CAPTCHAs in der Regel in wenigen Sekunden.

Bild-Captcha: Das Captcha mit der größten Verbreitung im Netz. Hierbei wählt der Nutzer bestimmte Bilder aus, die zu einer vorgegebenen Kategorie zählen.

Lösung eines typischen Bild-Captchas Schritt für Schritt

Audiobasiert

Während Text- und bildbasierte CAPTCHAs zu den grafischen Identifikationsverfahren zählen, bietet das audiobasierte CAPTCHA einen neuen Ansatz. Begründet wird dies dadurch, dass ein Mensch nur dann ein Text oder Bild-CAPTCHA lösen kann, wenn er über entsprechende Sehfähigkeit verfügt. Menschen mit Einschränkungen haben hier keine Möglichkeit, das CAPTCHA zu lösen. Deshalb sollten Websitebetreiber, die CAPTCHA Technologie nutzen, im Zuge besserer Usability für ihre Nutzer nach Möglichkeit mehrere Wahrnehmungssinne miteinbeziehen. So wird die Barrierefreiheit für Nutzer, die darauf angewiesen sind, garantiert. Deshalb werden Text- und Bild-CAPTCHAs meist in Kombination mit Audio-CAPTCHAs genutzt. Hier bekommt der Nutzer z.B. eine Audioaufnahme einer Zahlenfolge vorgespielt, welche in das entsprechende Lösungsfeld eingibt.

Mathematische & Logik CAPTCHAs

Eine weitere Form der nicht-visuellen CAPTCHAS sind mathematische und Logik-CAPTCHAs. Diese können auch von Menschen mit eingeschränkter Sehfähigkeit genutzt werden, indem die Aufgabenstellung z.B. über einen Screenreader ausgegeben wird. Dem Nutzer wird in der Regel eine einfache mathematische Aufgabe oder Logikfrage gestellt. Da diese auch von Spambots ausgelesen werden kann, wird die Aufgabe meist zusätzlich verfremdet, z.B. durch Abfrage als Zahlwort oder durch zusätzliche Eingabeanweisungen für das Rechenergebnis. Logik-CAPTCHAS folgen demselben Muster. Die Aufgabe an sich beruht meist auf Allgemeinwissen oder hat Bezug zur Thematik der jeweiligen Website.

Animation zur beispielhaften Funktionsweise von Math-Captchas

Gamification-CAPTCHAS

Eine neuere Entwicklung im Bereich der CAPTCHAs sind sogenannte Gamification-CAPTCHAs. Hintergrund ist, den Nutzer durch den Einsatz von simplen und unterhaltsamen Minispielen zu verifizieren. So verhinderst Du einen Absprung des Nutzers wegen nicht lesbarer oder zu komplexer CAPTCHAs. Hier werden meist kleine Puzzles oder Zuordnungsaufgaben genutzt, die die Assoziationsfähigkeit des Users fordern.

Praxisbeispiel aus der Umsetzung von Gaminfication-Captchas. Hierbei ist eine Interaktion von Mensch und Captcha nötig, indem hier beispielsweise ein Messer durch den Käse gezogen werden muss.

Vor- und Nachteile

Vorteile

Durch den Einsatz guter CAPTCHAs kann der Administrationsaufwand der betreuten Website massiv sinken, sowohl in der Spam-Vermeidung als auch in simplen Server Traffic.

Nachteile

Dennoch solltest Du wissen, dass sich die Forschung im Bereich der automatischen Erkennung von Texten, logischen Aufgaben und Bildern stetig verbessert. Gleichzeitig belegen neue Studien, dass das Lösen von CAPTCHAs sogar für menschliche Nutzer schwierig sein kann.

Deshalb solltest Du auch immer der Bereich der Website Usability mit dem direkten Nutzen des CAPTCHA als Spamfilter abgleichen:

Ist der User in der Lage, die genutzte CAPTCHA-Technologie problemlos zu lösen?
Ist die etwaige Einbuße von Nutzern wegen schlechterer Usability wichtiger als das Filtern von Spam?

CAPTCHA Alternativen

Auch wenn CAPTCHAs heutzutage sehr weit verbreitet sind und in der Regel der Standard zu sein scheinen, gibt es mehrere nennenswerte Alternativen. Diese können gegebenenfalls sogar ein besserer Lösungsansatz sein.

Black-Lists:
Ermöglichen die komplette Sperrung von Interaktionen einer bestimmten Quelle. Mittels einer Liste werden alle ungewünschten IP-Adressen oder Server gesperrt. Falls die Black-List automatisch gepflegt werden soll, kann auf Dienste gängiger Anti-Spam-Netzwerke zurückgegriffen werden, die die Listen auf dem neuesten Stand halten und einen Großteil des schädlichen Traffic filtern.
Content-Filter:
Funktionieren ähnlich wie Black-Lists, allerdings auf Wortebene. Der Betreiber der Webseite legt in einer Liste „Hot Words“ an. Das sind Keywords, die in der Regel von Spambots genutzt werden. Nachteil hierbei ist jedoch, dass potentiell auch User-Content, der diese Keywords enthält, gesperrt werden kann.
Honeypots:
Diese entsprechen Spam-Fallen für Bots. Mittels CSS können in Online Formularen Eingabefelder angelegt werden, welche vom menschlichen Nutzer nicht gesehen werden können. Da Spambots meist nur den HTML-Code auslesen und entsprechende Formularfelder automatisch füllen, kann so klar unterschieden werden, welcher Website-Nutzer menschlich sind und welcher nicht.
Serverseitige Filterung:
Mittels technischer Daten der User Agents können auffällige Nutzermerkmale und Verhaltensmuster innerhalb der Website identifiziert werden. Vor allem durch Analyse des Umfangs der abgefragten Daten sowie Eingabegeschwindigkeit kann zwischen einem normalen Nutzer und einem Bot unterschieden werden.

No CAPTCHA reCaptcha

Alternativ zum verbreiteten reCaptcha von Google hat der Konzern eine weitere CAPTCHA-Variante auf den Markt gebracht. „No CAPTCHA reCaptcha“ besteht nur aus einer Check-Box und kommt meist ohne Ausfüllen seitens des Users aus. Denn anstelle dessen führt Google im Hintergrund eine fortgeschrittene Risikoanalyse des Nutzers aus, und entscheidet schließlich auf Grund des Ergebnisses, ob es sich um einen echten Nutzer handelt. Ist dies der Fall, ist kein weiteres CAPTCHA notwendig. Mithilfe dieser vorgelagerten Überprüfung können CAPTCHAs vermieden und so die Usability verbessert werden.
Wie bei allen Services von Google sollten dennoch vor Benutzung die Rahmenbedingungen in Bezug auf Datenschutz erörtert werden.

Animation des No CAPTCHA reCaptca von Google

FAQs

Was ist ein Captcha-Feld?

Ein CAPTCHA Feld ist ein Element einer Website mit dem Menschen von Maschinen unterschieden und verifiziert werden können. Meist findet man dies bei Kontaktformularen oder anderen Informationseingaben auf einer Website.

Was bedeutet Captcha auf Deutsch?

CAPTCHA ist ein Akronym und steht für „Completely Automated Public Turing test to tell Computers and Humans Apart” – „Komplett automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“.

Was ist ein Google reCaptcha?

Google reCAPTCHA ist ein Spamfilter-Dienst des Unternehmens Google LLC, und dient der Unterscheidung von Menschen und Maschinen im Internet. Ziel des Dienstes ist es, möglichst effektiv automatisierte Spam-Beiträge auf Webseiten zu vermeiden.

Wieso muss ich bestätigen, dass ich kein Roboter bin?

Websites nutzen CAPTCHA-Dienste um sicher zu gehen, dass nur echte Nutzer auf ihren Seiten interagieren. CAPTCHAs unterscheiden aufgrund verschiedener Daten zwischen Mensch und Maschine, dazu muss meist ein CAPTCHA gelöst werden. Neuere Dienste ermöglichen dies sogar durch einfaches bestätigen von „Ich bin kein Roboter“.

Was ist eine Captcha Abfrage?

Eine CAPTCHA Abfrage ist ein Spamfilter-Element auf Webseiten auf denen Informationen eingegeben werden. Um sicherzustellen, dass diese Informationen von Menschen stammen und keine automatisch generierten Spam-Inhalte beinhalten, muss sich der Autor vorab als Mensch verifizieren.

Was ist Math Captcha?

Math CAPTCHA ist eine Variante der CAPTCHA-Spamfilter-Dienste, die dazu dienen, Mensch von Maschine zu unterscheiden. Bei Math CAPTCHAs wird dem Nutzer beispielsweise eine Rechenaufgabe vorgelegt, welche er lösen muss, bevor er Zum Beispiel Inhalte posten kann.

Was bedeutet geschützt durch reCAPTCHA?

Geschützt durch reCAPTCHA verweist darauf, dass die Website Spamfilter-Dienste nutzt, die Menschen von Maschinen unterscheiden und damit automatisch generierte Spam-Inhalte vermieden werden.