Was ist ein Captcha? | XOVI

XOVI Glossar

XOVI testen

Was ist ein Captcha?

Die langatmige Bezeichnung „Completely Automated Public Turing-Test To Tell Computers and Humans Apart” verwandelten die Erfinder in das leicht zu merkende Wort “Captcha”. Es handelt sich hierbei um einen vollautomatischen Test, ob der Nutzer einer Seite oder eines Programms menschlicher Natur ist oder die Abfrage durch einen Computer stattfindet. Diese Unterscheidung ist in vielen Bereichen wichtig, damit sich Softwares ohne menschlichen Einfluss nicht unbefugt Zugriff verschaffen können. Alan Turing entwickelte die Idee zum Captcha bereits im Jahr 1950. Er wollte feststellen, ob eine Maschine ähnliche Denkprozesse wie der Mensch vollziehen kann.

Hintergrund zum Captcha

Doch den Namen „Captcha“ entwickelte man erst im Jahr 2000, an der Carnegie Mellon University. Hier haben Luis von Ahn, Nicholas Hopper, Manuel Blum und John Langford, die den Zugriff von Mensch und Maschine differenzieren wollten. Deshalb wurde das Captcha-System entwickelt und es zeichnet sich durch Eingabeformulare mit kleinen Aufgaben (bspw. 3 + 4 = ?) aus. Dadurch schützt die Software den Zugriff von Robotern (Bots). An anderer Stelle werden auch kleine Bilder mit Symbolen per Zufall generiert und diese müssen dann von Hand in ein Eingabefeld abgeschrieben werden. Solche Aufgaben sind zu schwer für einen Computer, ein Mensch kann sie dagegen binnen Sekunden lösen und erhält nach dem Captcha den Zugriff auf das System. Das Captcha wechselt immer wieder, damit es nicht all zu häufig zu Duplikaten der Codes kommt.

Die Captcha-Arten

Nachdem das Captcha einige Jahre im Umlauf war, wurden weitere Variationen entwickelt, um es den Bot-Programmierern schwerer zu machen. Auch legten die Erfinder vier Gruppen von Captcha fest, definiert nach ihrem Aufgabentyp und wie sie variiert werden können. In der Fachsprache werden sie Gimpy, Bongo, Sounds und PIX genannt.

Das Gimpy Captcha kombiniert real existierende Wörter mit zufällig angeordneten Buchstaben und generiert damit einzigartige Codes. Diese Form des Captcha wird am meisten verwendet und gilt als ziemlich sicher gegenüber Bots.

Der Nutzer sieht in diesem Fall eine Bilddatei, deren Inhalt von einer Maschine nicht erkannt werden kann. Zur Sicherheit sind die Abbildungen meist etwas verzerrt oder gar fehlerhaft dargestellt, wobei der Mensch diese immer noch leserlich findet. Die Authentifizierung erfolgt über die Tastatur und somit schützen sich CMS-Systeme, Chaträume und andere Seiten vor unerwünschten Zugriffen. Ein Gimpy Captcha kommt auch zum Einsatz wenn neue Email-Accounts generiert werden, damit hier kein Skript einfach beliebig viele anlegt und dann für Spam-Angriffe nutzt.

Mit dem Bongo Captcha muss der Anwender seine visuellen Fähigkeiten einsetzen und ein Muster erkennen bzw. eine kleine Aufgabe lösen. Die Software erstellt zwei Blöcke aus verschiedenen Bildern. Der Nutzer muss nun den einen Unterschied zwischen den beiden Bildern erkennen. Danach sieht er noch ein drittes Bild und muss dessen Merkmale einem der beiden Blöcke zuordnen. Es kann sich dabei um unterschiedlich dicke Striche oder fehlerhafte Figuren wie Kreise handeln.

Bei den Sound Captchas wird dem Anwender eine Audiodatei wiedergegeben. Auch diese wird zuvor zufällig generiert und dann mit verzerrter Stimme wiedergegeben, damit kein Computer sie erkennen kann. Das Sound Captcha nennt dann ein Zufalls-Wort oder eine Zahlenfolge und der Nutzer tippt dies in das vorgesehene Feld ein. Dieses Captcha kann auch von blinden Menschen verwendet werden und ist somit barrierefrei.

Mit der PIX-Methode bedient sich die Software einer großen Bild-Datenbank. Auf diesen sind ganz konkrete Objekte (Tiere, Blumen etc.) zu erkennen. Von den Bildern werden nun vier oder mehr angezeigt und der Nutzer bekommt eine Aufgabe bzw. Frage gestellt. Wenn er diese richtig beantwortet, erhält er die Freigabe. Hier kann das System durch mehr Bilder oder eine Verzerrung für mehr Sicherheit gegenüber Maschinen sorgen.

Captchas frustrieren

Es gab eine Zeit, da kamen diese Captcha-Gruppen sehr oft zum Einsatz und irgendwann waren die Anwender frustriert, weil die Verzerrung zu stark eingestellt war oder es zu Fehlern beim Abgleichen der Eingabedaten kam. Deshalb wurden neue Captchas mit Hilfe von HTML programmiert, die sich leichter lösen lassen. Diese kommen ohne die verzerrten Zeichen aus, der Anwender muss dagegen kleine Spiele, sogenannte PlayThrus, bewältigen. Hierbei werden Objekte mit der Maus verschoben und in einem Zielbereich platziert o. Ä.

Zusammenfassung

Dank der Captchas lassen sich Webseiten und Programme recht einfach gegen den automatisierten Gebrauch durch Bots schützen. Einen absoluten Schutz können sie aber nie bieten und gleichzeitig müssen die Aufgaben lösbar bleiben, damit der Nutzer nicht vorzeitig abspringt. Auch die Spammer lassen sich neue Dinge einfallen. Durch Tools und den Einsatz von billig bezahlten Arbeitskräften aus gewissen Ländern, können gute Captchas immer noch umgangen werden. Alternativ kann der Nutzer auch dazu aufgefordert werden eine Mobilfunknummer zu hinterlegen, auf die er dann eine Kurznachricht mit Sicherheitscode geschickt bekommt. Doch mit diesem Eingriff in die Privatsphäre sind nicht alle Nutzer einverstanden. Webmaster und Programmierer müssen sich daher für eine geeignete Sicherheitsmethode entscheiden, da sie ansonsten gegenüber Spam-Angriffen weitestgehend machtlos sind.