Was ist ein Captcha?
Ein Captcha wird auf Webseiten eingesetzt, um zu überprüfen, ob die Eingabe durch einen Menschen oder eine Maschine erfolgt ist.
Der Begriff „Captcha“ ist dabei ein Akronym, das für „Completely Automated Public Turing test to tell Computers and Humans Apart“. Ins Deutsche übersetzt heißt das so viel wie: „Vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“
Da Captchas so ausgelegt sind, dass sie nur von Menschen gelesen und interpretiert werden können, werden automatisierte Eingaben durch Maschinen bewusst verhindert. Captchas werden also insbesondere eingesetzt, um maschinell generierten Spam weitestgehend zu reduzieren.
Was ist der Turing Test?
Der Turing Test wurde 1950 von dem Informatiker Alan Turing entwickelt. Bei der Durchführung des Tests chattet ein Mensch gleichzeitig sowohl mit einem anderen Menschen als auch mit einem Computerprogramm. Der Test gilt als bestanden, wenn er nicht herausfinden kann, bei welchem Chat es sich um den Computer handelt. Der Turing Test dient also der Messung künstlicher Intelligenz.
Erst 2014 gelang es dem Supercomputer Eugene Goostman den Turing Test zu bestehen. Er schaffte es, mehr als 30% einer unabhängigen Jury davon zu überzeugen, es handle sich bei ihm um einen realen Menschen.
Hintergrund
Sogenannte Spam-Bots durchforsten das Web immer intelligenter nach möglichen Eingabefeldern, die sie dafür nutzen können, automatisierte Einträge zu erstellen. So werden Spam Bots beispielsweise häufig eingesetzt, um automatisiert Kommentare unter Blogbeiträgen mit einem Backlink auf einer Webseite zu platzieren.
Für den Betreiber der Webseite sind solche Kommentare nutzlos. Die Kommentarfunktion unter Blogartikeln soll Leser dazu anregen, sich mit dem Autor über den Inhalt des Artikels auszutauschen und in einen Dialog zu treten. Spam Bots erstellen automatisierte Einträge ohne direkten Bezug zum Beitrag. Meistens handelt es sich um allgemein anwendbare Aussagen wie: „Toller Artikel, weiter so!“.
Spam Bots werden jedoch immer weiterentwickelt, sodass sie selbst ausgeklügelte Anti-Spam-Verfahren immer besser umgehen können. Daher ist es wichtig, auch immer raffiniertere Captchas als Hindernis zu entwickeln, um auch weiterhin Spam abzuwehren. Das Problem ist jedoch, dass komplizierte Captchas auch für den Menschen selbst immer schwieriger zu lösen sind.
Eine Studie ergab sogar, dass Spam Bots teilweise eine geringere Fehlerquote beim Lösen eines Captchas aufwiesen, als menschliche Nutzer (mehr dazu gibt es in diesem PDF). Die Herausforderung bei der Entwicklung noch besserer Captchas ist es also, sie für den Menschen so einfach wie möglich zu machen, während sie für Spam Bots unlösbar sind.
Arten von Captchas
Mittlerweile gibt es diverse Varianten für die Darstellung eines Captchas. Sie lassen sich grob in text- und bildbasierte Captchas, Logik- und Frage-Captchas, Audio Captchas und Gamification Captchas unterteilen.
Textbasierte Captchas
Textbasierte Captchas gelten als älteste Form der menschlichen Verifizierung. Hierbei werden Zahlen und Buchstaben innerhalb einer Captcha-Box so verzerrt dargestellt, dass sie nur von Menschen gelesen und entziffert werden können (und selbst hier scheitert so mancher ? ).
Die Lösung muss anschließend in das dafür vorgesehene Eingabefeld eingetragen werden. Klassische Verfahren, die bei textbasierten Captchas zum Einsatz kommen sind Gimpy, ez-Gimpy, Gimpy-r und Simard’s HIP.
Das Problem bei textbasierten Captchas ist jedoch, dass die einzelnen Zeichen immer stärker verfremdet werden müssen, um ausgeklügelte Spam Bots auch weiterhin vor eine unüberwindbare Hürde zu stellen. Spam Bots werden nämlich mit immer besser funktionierenden Texterkennungs-Technologien ausgestattet. Die immer stärkere Verfremdung führt jedoch zwangsläufig dazu, dass es auch Menschen immer schwerer fällt, die dargestellten Zeichen richtig zu interpretieren.
Im Laufe der Zeit wurden daher zahlreiche Alternativen zum textbasierten Captcha entwickelt. Das von Google vorgestellte reCAPTCHA beispielsweise setzt nicht mehr auf zufällig generierte und unkenntlich gemachte Zeichen. Stattdessen werden Projekte wie Google Books oder Google Street View dafür genutzt, um Nutzern Straßennamen, Hausnummern und Ortsschilder innerhalb der Captcha-Box anzuzeigen. Da es sich hierbei um Bilder handelt, kann der dargestellte Text von Spam-Bots auch mit ausgereifter Texterkennung nicht interpretiert werden.
reCAPTCHA funktioniert dabei auf Basis statistischer Auswertungen. So werden beispielsweise dieselben Straßenschilder mehreren Nutzern präsentiert. Die von diesen am Häufigsten eingetragene Antwort gilt dann als richtig. reCAPTCHA zeigt dem User deswegen immer zwei Elemente an – ein von anderen Nutzern bereits bestätigtes und eines, über welches noch keine ausreichenden Statistiken vorliegen. Um den Test zu bestehen, muss der Nutzer im Grunde nur eines der dargestellten Bilder korrekt lösen. Löst er auch das zweite, hilft die Eingabe Google bei der Auswertung der Statistiken zu dem noch unbestätigten Element.
Hierzu ein Video von Google zur Einführung des reCAPTCHA:
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Bildbasierte Captchas
Bei bildbasierten Captchas erhalten Nutzer meistens eine Reihe von kleinen Bildern angezeigt, von welchen sie diejenigen auswählen müssen, welche zur darüber beschriebenen Anforderung passen:
Für die meisten Nutzer ist die Auswahl der richtigen Motive schnell zu bewerkstelligen. Computerprogramme sind jedoch nicht in der Lage zu erkennen, was sich auf einem Bild befindet, geschweige denn, eine semantische Zuordnung zu bewerkstelligen. Bildbasierte Captchas werden im Vergleich zu textbasierten Captchas daher als sicherer eingestuft.
“Ich bin kein Roboter” – No Captcha reCAPTCHA
Diese Form von Captcha gehört ebenfalls zum vom Google entwickelten reCAPTCHA.
Nutzer müssen mit einem Mausklick ein Häkchen in den dafür vorgesehenen Kasten setzen, um sich als Menschen zu verifizieren. Zur Kontrolle zieht Google dabei auch die Bewegung des Mauszeigers für die Bewertung, ob es sich tatsächlich um einen Menschen handelt, heran. Sollten Zweifel daran bestehen, wird ein zusätzliches Captcha in Form eines Bilderrätsels nachgeschaltet.
Logik- und Frage-Captchas
Eine weitere oft verwendete Form von Captchas sind Fragen wie zum Beispiel: „Welche Farbe hat das Gras?“ oder mathematische Rätsel wie: „Was ergibt Fünf plus Fünf?“.
Der große Vorteil bei dieser Art der Captcha-Abfrage ist vor allem der, dass auch Screenreader in der Lage sind, diese vorzulesen. Die Aufgabe lässt sich also auch von sehbehinderten Menschen relativ einfach bewerkstelligen.
Allerdings sind einfache Rechenaufgaben auch von Computern leicht zu lösen, zumal Computer Menschen, was Rechenaufgaben betrifft, weit überlegen sind. Deutlich schwerer wird es für Computer jedoch, wenn die Lösung als ausgeschriebene Zahl eingetragen werden muss (also „Fünf“ statt „5“). Oder wenn nur die erste Ziffer des Ergebnisses in das Textfeld eingegeben werden soll (zum Beispiel: Rechne 20 + 20 und trage nur die erste Ziffer des Ergebnisses als Lösung ein. Das Rechenergebnis wäre 40, die Lösung des Captchas hingegen 4.).
Neben Rechenaufgaben werden auch Fragen verwendet, die meistens auf dem Allgemeinwissen des Nutzers beruhen oder in welchen dieser logische Zusammenhänge erkennen muss. Während solche Fragen für Nutzer trivial erscheinen, sind Spam-Bots nicht in der Lage, die Logik hinter der Frage richtig zu erfassen.
Beispielfragen können sein:
„Bei welchem der folgenden Begriffe handelt es sich um eine Farbe: Auto, Pferd, Grün, Tomate, Flasche“ (Antwort: Grün)
„Geben Sie das dritte Wort dieses Satzes ein.“ (Antwort: „das“)
„Welche Farbe hat der Himmel?“ (Antwort: blau)
Audio Captchas
Audio Captchas wurden hauptsächlich deswegen entwickelt, um auch sehbehinderten Menschen einen Zugang zu captcha-geschützten Bereichen einer Webseite zu ermöglichen. Audio Captchas werden dabei in der Regel immer mit text- oder bildbasierten Captchas kombiniert.
Nutzer mit einer eingeschränkten Sehkraft können sich alternativ den dargestellten Text also auch als Audio vorspielen lassen. Hierfür findet sich innerhalb der Captcha Box meist eine Schaltfläche mit einem Lautsprecher als Symbol:
Gamification Captchas
Einige Seitenbetreiber befürchten, dass kryptische Captchas abschreckend auf Besucher der Webseite wirken könnten. Tatsächlich kann die Verwendung von Captchas dazu führen, dass die Conversion Rate einer Seite darunter leidet (dies belegt auch folgender Test). Ist ein Nutzer nicht in der Lage, das Captcha auf Anhieb zu lösen, steigt die Wahrscheinlichkeit, dass er schlichtweg irgendwann die Geduld verliert.
Aus diesem Grund entwickelten diverse Anbieter alternative Technologien, die eher an „unterhaltsame“ Minispiele erinnern sollen. Hierbei wird die Assoziationsfähigkeit des Menschen genutzt, um gewisse Zuordnungsaufgaben zu lösen.
Eine weitere Gamification-Variante sind sogenannte Puzzle-Captchas, bei denen das fehlende Puzzleteil auf das Bild geschoben werden muss, um es zu vervollständigen.
Wo werden Captchas eingesetzt?
Captchas kommen dann zum Einsatz, wenn auf einer Webseite Nutzerdaten abgefragt werden sollen. Meistens begegnen sie uns daher unter Kommentarfeldern, Kontaktformularen oder Foren, um automatisierte Einträge zu verhindern.
Auch wenn sie für den Nutzer ziemlich nervig sind, helfen sie dabei, das Internet wenigstens ein stückweit von Spam sauber zu halten. Seitenbetreiber haben außerdem weniger Arbeit, da sie Spam mithilfe von Captchas schon von vornherein bekämpfen können.
Nachteile von Captchas
Captchas stellen vor allem für sehbehinderte Menschen, die auf Screenreader angewiesen sind, ein Problem dar. Denn da auch Screenreader Captchas nicht interpretieren und beantworten können, haben blinde Menschen keine Möglichkeit, das Captcha zu lösen. Damit verknüpfte Funktionen sind für diese also nicht erreichbar.
Seitenbetreiber, die ihr Internetangebot barrierefrei zur Verfügung stellen möchten, sollten also darauf achten, ausschließlich Captcha-Technologien einzusetzen, die auch von assistiven Hilfsmitteln wie Screenreadern problemlos verarbeitet werden können.
In den Web Content Accessibility Guidelines (WCAG) der Web Accessbility Initiative (WAI) des World Wide Web Consortiums (W3C) finden sich folgende Anforderungen, damit ein Captcha als barrierearm eingestuft wird:
◾ Wird ein bildbasiertes Captcha verwendet, sollte stets auch eine Alternative des Captchas als Text vorliegen, die den Zweck der bildbasierten Variante erläutert
◾ Bei jeder verwendeten Captcha-Technologie sollten ausreichende alternative Lösungsmöglichkeiten zur Verfügung stehen, die verschiedene gesundheitliche Beeinträchtigungen der Nutzer berücksichtigen
Zudem muss bedacht werden, dass Nutzer vor allem auf mobilen Geräten ein Captcha nicht immer problemlos lösen können. Bei bildbasierten Captchas kann beispielsweise die kleine Bildschirmgröße ein Hindernis darstellen, während Audio-Captchas problematisch sein können, wenn der Anwender sich in einem lauten Umfeld befindet.
Wie integriere ich ein Captcha auf meiner Webseite?
Für die Integration von Captchas gibt es reihenweise kostenlose Tools. Für WordPress Nutzer empfehlen wir folgendes Plugin, um ihre Webseite um ein Captcha zu ergänzen:
Google Captcha (reCAPTCHA) by BestWebSoft
Update: DSGVO
Seit Einführung der DSGVO 2018 sind viele Captcha Plugins leider nicht mehr DSGVO-konform, u.a. das beliebte reCAPTCHA von Google.
DSGVO-konforme Alternative sind (ohne Gewähr):
Friendly Captcha mit Sitz in Deutschland.
Honeypots bei Formularen liefern einen guten Schutz vor Bots. Hierbei handelt es sich um Felder in Formularen, die nicht ausgefüllt werden sollen, dem Bot aber vorgaukeln, es sei ein auszufüllendes Pflichtfeld.
