Ob deformierte Buchstaben und Zahlenkombinationen, unlösbare Bilderrätsel oder das Drücken auf Ampeln, Fußgängerüberwege oder lachende Hunde: CAPTCHAs sind ein weitaus verbreiteter Sicherheitsmechanismus im Internet, um interaktive Webseiten sowie Webdienste vor bösartigen Internet-Bots zu schützen. Im nachfolgenden Blogbeitrag liefern wir Ihnen einen Gesamtüberblick über die Einsatzbereiche der CAPTCHA-Technologie. Dabei stellen wir Ihnen die verschiedenen CAPTCHA-Typen vor und zeigen auf, welche alternativen Sicherheitsmechanismen es zur Spam-Prävention gibt. Das Internet ist voll mit Bots – insbesondere bösartiger Bots, deren Absicht es ist, gezielt interaktive Internetseiten und Webdienste anzugreifen, um etwa Daten und Informationen von Webseiten-Besuchern abzugreifen sowie diese für schädliche Tätigkeiten zu nutzen, etwa Fake-Accounts und Fake-Profile zu betreiben und gezielt Spam sowie rufschädigende und politische Parolen zu verbreiten. Es vergeht inzwischen kein Tag, an welchem Internetnutzer nicht mit automatisch generierten Spam-Nachrichten konfrontiert werden: sei es in Foren, Chat-Portalen, in Blogs, im E-Mail-Postfach oder in Online-Formularen oder Kommentarfeldern eines Webshops. Aus dem gegenwärtigen Bot-Report von Imperva geht hervor, dass lediglich im Jahr 2021 42,2 Prozent des Internet Traffics von Internet-Bots verursacht wurde. Dabei waren allgemein so benannte „Bad Bots“ für 27,7 % aller weltweiten Webseitenaufrufe zuständig. Im Zuge dessen hat jede Sparte Imperva entsprechend ihre jeweiligen Problematiken mit Bad Bots. Diese reichen von Account-Takeover (ATO)-Angriffen über Credential Stuffing bis hin zu Content- und Price-Scraping. Eine ausgereifte und weitverbreitete Schutzmaßnahme gegen Internet-Bots, unerwünschte Nachrichten und das automatisierte Herausfiltern von Daten auf Webseiten stellt immer noch die CAPTCHA-Technologie dar.
Was ist CAPTCHA und wie funktioniert es?
Die Bezeichnung CAPTCHA wurde von Forschern der Carnegie Mellon University in Pittsburgh geprägt und steht für „Completely Automated Public Turing test to tell Computers and Humans Apart”. Dabei handelt es sich in aller Regel um eine einfache, automatisierte Sicherheitsfrage, mit dieser verifiziert werden soll, dass eine Person auf der Internetseite oder dem Webdienst handelt und nicht ein Bot. Das erste Ziel dieses Verifizierungsverfahren ist es, einer ungewollten Benutzung durch automatisierte Bots ein Schloss vorzuschieben und Menschen deutlich von Bots zu differenzieren. CAPTCHAS findet man inzwischen fast in allen Gebieten, in welchen es menschliche Internetnutzer von Bots zu unterscheiden gilt. Das betrifft unter anderem Online-Studien, Suchmaschinen-Dienste oder Registrierungsformulare für soziale Netzwerke, E-Mail-Dienste, Blogs und Newsletter. Auch Banken oder Online-Bezahldienste wie Paypal und die Webseiten von Kreditkartenunternehmen nutzen CAPTCHAs, um den Zugang zu Kundenkonten zu schützen.
Wie funktioniert die CAPTCHA-Technologie?
Um herauszufinden, ob es sich bei dem Internetseiten-Nutzer um einen Menschen oder einen Internet-Bot dreht, werden häufig sogenannte Challenge-Response-Tests verwendet, bei welchen die Webseitenbesucher eine Fragestellung lösen müssen, um Zugang zu einem gewissen Web-Dienst zu erhalten. Die Aufgaben sind dabei so entworfen, dass sie für einen menschlichen Webseiten-Besucher in der Regel einfach zu bewältigen sind, währenddessen sie automatisierte Internet-Bots im Idealfall vor eine beinahe unlösbare Aufgabe stellen. In den meisten Fällen sollen Webseiten-Besucher durch Zufall generierte, verzerrte Ziffernreihen oder Buchstabenreihen darstellen oder aber Bilderrätsel oder Rechenaufgaben lösen. Es gibt jedoch auch Aufgaben, die Audio- oder Videoaufzeichnungen enthalten.
Welche Arten von Captchas gibt es heutzutage?
Im Allgemeinen lassen sich CAPTCHAs in textbasierte und bildbasierte Captchas, Logik- oder Frage-Captchas sowie Audio Captchas und Gamification Captchas unterteilen.
- Textbasierte CAPTCHA-Verfahren: Textbasierte CAPTCHAs sind die traditionsreichsten sowie am meisten verbreiteten Klassiker der menschlichen Verifizierung. Bei diesem Verifizierungsverfahren werden dem Webseiten-Besucher etliche zufällig generierte Wörter, Buchstaben und Zahlen in enorm verzerrter Gestalt sowie extra grafischen Elementen wie Linien, Bögen, Punkten oder Farbverläufen angezeigt. Der Webseiten-Besucher muss jene enträtseln und ins Eingabefeld eintragen, um Zugang zum gewollten Webdienst zu erhalten. Eine prominente Ausführung des gewöhnlichen Text-Captchas ist reCAPTCHA.
- reCAPTCHA: Bei der von Google entworfenen CAPTCHA-Technik werden dem Webseiten-Nutzer anstatt von durch Zufall generierten Buchstaben-Zahlen-Kombinationen, Straßennamen, Hausnummern, Verkehrs- und Ortsschilder sowie Fragmente eingescannter Textabschnitte aus Google Books oder Google Street View angezeigt, die sie entziffern und über die Tastatur in ein Textfeld eintippen müssen.
- Bildbasierte CAPTCHA-Verfahren: Neben textbasierten CAPTCHAs stoßen Webseiten-Besucher immer öfter auf bildbasierte Sicherheitsabfragen. Dabei werden die Webseiten-Besucher aufgefordert, auf der Bildoberfläche mit in aller Regel neun beliebig generierten Bildern, ähnliche Motive zu identifizieren oder einen semantischen Zusammenhang darzustellen, um damit „menschliche Intelligenz“ zu beweisen.
- Rechenbasierte CAPTCHA-Verfahren: Bei einer rechenbasierten Verifizierung sollen Webseiten-Nutzer simple Mathematik-Aufgaben bewältigen wie auch das Ergebnis eingeben, um deren menschliche Denkfähigkeit zu demonstrieren.
- Logikbasierte CAPTCHA-Verfahren: Bei dem logikbasierten CAPTCHA bekommen die Webseiten-Besucher vier durch Zufall generierte Symbole präsentiert. An dieser Stelle besteht die Fragestellung darin, das gefragte Sinnbild beispielsweise “Haus” anzuklicken.
- Audiobasierte CAPTCHA-Verfahren: Audiobasierte CAPTCHA-Authentifizierungen wurden erschaffen, um auch sehbehinderten Personen einen Eintritt zu captcha-geschützten Segmenten einer Internetseite zu geben. Meist werden textbasierte oder bildbasierte Prüfverfahren mit so bezeichneten Audio-Captchas kombiniert. Oft wird dazu eine Schaltfläche integriert, mit welcher der Webseiten-Besucher bei Bedarf ersatzweise eine Audio-Datei abfragen kann.
- Spielbasierte CAPTCHAS: Bei spielbasierten CAPTCHAs handelt es sich für gewöhnlich um amüsante Minispiele, etwa Puzzle, bei welchen die Puzzleteile an die richtige Fläche gerückt werden müssen.
Gibt es alternative Lösungen zu CAPTCHAsS?
Die Gefährdung durch böswillige Internet-Bots steigt kontinuierlich. Auch wenn der Gebrauch von CAPTCHA-Verfahren einen bestimmten Grundschutz liefert, stellen diese für Internetkriminelle sowie deren Bot-Armeen keinerlei unüberwindbare Barriere dar. Auf diese Weise können diese mithilfe von modernen Machine-Learning Algorithmen oder künstlicher Intelligenz selbst komplexe Sicherheitsabfragen solide lösen. Zudem werden inzwischen sogenannte „Captcha Solving Services“ zu Spottpreisen und Schnittpunkten für die weitere Verarbeitung der erbeuteten Daten angeboten. Da sich Internet-Bots stetig weiterentwickeln und andauernd intelligenter werden, sind auch die Programmierer bisheriger CAPTCHA-Lösungen gezwungen, mit dieser Reifung Schritt zu halten, um auch in Zukunft einen ordentlichen Webseiten-Schutz zu bieten. Da das allerdings mit Einbußen in der Benutzerfreundlichkeit einhergeht und insbesondere Menschen mit Behinderungen oder Einschränkungen eine erweiterte Hürde darstellt, gibt es immer mehr Provider von weiteren Sicherheitslösungen wie Bots-Management, Content-Filter, Honeypots, serverseitige Filterung und Whitelisting. CAPTCHAS brauchen ergänzenden Schutz!
Zusammenfassend lässt sich vermerken, dass CAPTCHA-Lösungen nach wie vor effektiv vor böswilligen Internet-Bots, Spam-Nachrichten und anderen Sorten von Webseiten-Missbrauch absichern können. Allerdings bieten sie ausschließlich einen Grundschutz und sollten im Optimalfall mit anderen Sicherheitsmaßnahmen zum Bot-Schutz verbunden werden.
Möchten auch Sie Ihre Internetseiten, Webanwendungen und Webdienste vor ausgeklügelten und zunehmend smarter werdenden Internet-Bots schützen? Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an!