Captcha Captchas werden verwendet, um zu prüfen, ob zum Beispiel ein Formular im Internet von einem Menschen oder einem IT-System (Bots) ausgefüllt wurde. Oft werden von Bots Eingaben missbräuchlich automatisch umgesetzt, um die entsprechende Webseite oder Anwendungen zu schädigen.
CAPTCHA bedeutet: “Completely Automated Public Turing test to tell Computers and Humans Apart” und meint damit einen Test zur Unterscheidung, ob ein Mensch oder eine Maschine (IT-Systeme) auf einer Webseite Aktivitäten durchführt. Der Test soll helfen, die Bots (Maschinen) von unsinnigen Aktivitäten auf der Webseite abzuhalten und damit sicherstellen, dass die Eingaben nur von menschlichen Nutzern stammen.
Captchas dienen dem Schutz der Webseiten und stellen für den Nutzer immer einen zusätzlichen Aufwand dar, sind aber für den Schutz einer Website oder eines IT-Dienstes sehr hilfreich.
Captchas sind meist Challenge-Response-Tests, bei denen der Nutzer eine Aufgabe (Challenge) lösen und das Ergebnis (Response) präsentieren muss. In Captchas sind die gestellten Aufgaben so konstruiert, dass ein Mensch die Challenge einfach lösen kann, aber für IT-Systeme die Aufgabenstellung meist unmöglich zu lösen ist.
Challenge und Response werden bei einem Captcha-System jedem Zugangsversuch vollautomatisch per Zufallsgenerator generiert. Dies ist wichtig, damit ein Angreifer nicht durch die Speicherung der Werte einen Angriff einfacher durchführen kann.
Die genutzten Verfahren werden in der Regel veröffentlicht, damit die Sicherheit des Captchas-Systems von Fachleuten beurteilt werden kann.
Um ein Captcha mithilfe von IT-Systemen zu überwinden, benötigen die Angreifer zum Beispiel Mustererkennungs-Algorithmen, um die Challenge automatisiert erkennen und bearbeiten zu können. Diese ist sehr aufwendig umzusetzen und bedarf eine hohe Leistungsfähigkeit des Angreifers.
Beispiele von Realisierungsmöglichkeiten von Captchas
Textbasierte Captcha Klassische oder textbasierte Captchas bestehen aus zufällig angeordneten Zahlen, Buchstaben und Worten, die dem Nutzer verfremdet angezeigt werden. Der Nutzer muss die Anzeige entziffern und in ein Eingabefeld eingeben, damit das Formular weitergegeben und bearbeitet wird. Die Verfremdung der Zeichen kann auf verschiedenen Weisen umgesetzt werden. Die einzelnen Zeichen werden zum Beispiel verzerrt, skaliert, rotiert oder gekrümmt dargestellt und erschwerend mit zusätzlichen grafischen Elementen wie Linien, Punkten, Bögen, Farbverläufe oder Hintergrundrauschen dargestellt, um das automatische Lesen für IT-Systeme zu erschweren.
Bildbasierte Captcha Eine Alternative zu klassischen textbasierten Captchas sind bildbasierte Captchas. Statt Nutzern ein verfremdetes Lösungswort aus Ziffern, Buchstaben und Worten zu präsentieren, arbeiten bildbasierte Captchas auf schnell erfassbare grafische Elemente. Es werden zum Beispiel mehrere Fotos alltäglicher Motive nebeneinander dargestellt. Der Nutzer hat die Aufgabe, ein bestimmtes Motiv anzuklicken, ähnliche Motive zu identifizieren oder einen semantischen Zusammenhang darzustellen, um damit “menschliche Intelligenz” zu beweisen.
Audio-Captcha Um auch sehbehinderten Menschen einen Zugang zu captcha-geschützten Bereichen einer Webanwendung zu ermöglichen, können klassische- oder bildbasierte Captchas mit sogenannten Audio-Captchas erweitert werden. Dadurch kann ein Nutzer bei Bedarf ersatzweise eine Audio-Aufnahme abrufen, die zum Beispiel eine kurze Zahlenfolge vorliest, die er dann in ein Eingabefeld eingetippt, um den Vorgang als identifizierter Mensch umzusetzen.
Rechenaufgaben-Captcha Es gibt aber auch Captchas, bei denen der Nutzer aufgefordert wird, eine Rechenaufgabe zu lösen und das Ergebnis eintragen muss, um seine menschliche Fähigkeit zu beweisen.
Captchas sind für den Nutzer aufwendig und oft nervig, da die Aufgaben eine hohe Konzentration und Sorgfalt bedarf.
Captchas sind aber für den Schutz einer Website oder eines Dienstes sehr hilfreich und wirkungsvoll.
Captchas werden verwendet, um zu prüfen, ob zum Beispiel ein Formular im Internet von einem Menschen oder einem IT-System (Bots) ausgefüllt wurde. Oft werden von Bots Eingaben missbräuchlich automatisch umgesetzt, um die entsprechende Webseite oder Anwendungen zu schädigen.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Captcha Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
