slider

Captcha - Prof. Dr. Norbert Pohlmann

Captcha

Captcha - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Was ist eine Captcha?


Captcha
Captchas werden verwendet, um zu prüfen, ob zum Beispiel ein Formular im Internet von einem Menschen oder einem IT-System (Bots) ausgefüllt wurde. Oft werden von Bots Eingaben missbräuchlich automatisch umgesetzt, um die entsprechende Webseite oder Anwendungen zu schädigen.

CAPTCHA bedeutet: “Completely Automated Public Turing test to tell Computers and Humans Apart” und meint damit einen Test zur Unterscheidung, ob ein Mensch oder eine Maschine (IT-Systeme) auf einer Webseite Aktivitäten durchführt. Der Test soll helfen, die Bots (Maschinen) von unsinnigen Aktivitäten auf der Webseite abzuhalten und damit sicherstellen, dass die Eingaben nur von menschlichen Nutzern stammen.

Captchas dienen dem Schutz der Webseiten und stellen für den Nutzer immer einen zusätzlichen Aufwand dar, sind aber für den Schutz einer Website oder eines IT-Dienstes sehr hilfreich.

Captchas sind meist Challenge-Response-Tests, bei denen der Nutzer eine Aufgabe (Challenge) lösen und das Ergebnis (Response) präsentieren muss. In Captchas sind die gestellten Aufgaben so konstruiert, dass ein Mensch die Challenge einfach lösen kann, aber für IT-Systeme die Aufgabenstellung meist unmöglich zu lösen ist.

Challenge und Response werden bei einem Captcha-System jedem Zugangsversuch vollautomatisch per Zufallsgenerator generiert. Dies ist wichtig, damit ein Angreifer nicht durch die Speicherung der Werte einen Angriff einfacher durchführen kann.

Die genutzten Verfahren werden in der Regel veröffentlicht, damit die Sicherheit des Captchas-Systems von Fachleuten beurteilt werden kann.

Um ein Captcha mithilfe von IT-Systemen zu überwinden, benötigen die Angreifer zum Beispiel Mustererkennungs-Algorithmen, um die Challenge automatisiert erkennen und bearbeiten zu können. Diese ist sehr aufwendig umzusetzen und bedarf eine hohe Leistungsfähigkeit des Angreifers.


Beispiele von Realisierungsmöglichkeiten von Captchas

Textbasierte Captcha
Klassische oder textbasierte Captchas bestehen aus zufällig angeordneten Zahlen, Buchstaben und Worten, die dem Nutzer verfremdet angezeigt werden. Der Nutzer muss die Anzeige entziffern und in ein Eingabefeld eingeben, damit das Formular weitergegeben und bearbeitet wird. Die Verfremdung der Zeichen kann auf verschiedenen Weisen umgesetzt werden. Die einzelnen Zeichen werden zum Beispiel verzerrt, skaliert, rotiert oder gekrümmt dargestellt und erschwerend mit zusätzlichen grafischen Elementen wie Linien, Punkten, Bögen, Farbverläufe oder Hintergrundrauschen dargestellt, um das automatische Lesen für IT-Systeme zu erschweren.

Bildbasierte Captcha
Eine Alternative zu klassischen textbasierten Captchas sind bildbasierte Captchas. Statt Nutzern ein verfremdetes Lösungswort aus Ziffern, Buchstaben und Worten zu präsentieren, arbeiten bildbasierte Captchas auf schnell erfassbare grafische Elemente. Es werden zum Beispiel mehrere Fotos alltäglicher Motive nebeneinander dargestellt. Der Nutzer hat die Aufgabe, ein bestimmtes Motiv anzuklicken, ähnliche Motive zu identifizieren oder einen semantischen Zusammenhang darzustellen, um damit “menschliche Intelligenz” zu beweisen.

Audio-Captcha
Um auch sehbehinderten Menschen einen Zugang zu captcha-geschützten Bereichen einer Webanwendung zu ermöglichen, können klassische- oder bildbasierte Captchas mit sogenannten Audio-Captchas erweitert werden. Dadurch kann ein Nutzer bei Bedarf ersatzweise eine Audio-Aufnahme abrufen, die zum Beispiel eine kurze Zahlenfolge vorliest, die er dann in ein Eingabefeld eingetippt, um den Vorgang als identifizierter Mensch umzusetzen.

Rechenaufgaben-Captcha
Es gibt aber auch Captchas, bei denen der Nutzer aufgefordert wird, eine Rechenaufgabe zu lösen und das Ergebnis eintragen muss, um seine menschliche Fähigkeit zu beweisen.


Captchas sind für den Nutzer aufwendig und oft nervig, da die Aufgaben eine hohe Konzentration und Sorgfalt bedarf.

Captchas sind aber für den Schutz einer Website oder eines Dienstes sehr hilfreich und wirkungsvoll.


Weitere Informationen zum Begriff “Captcha”:


Vorlesungen: „Lehrbuches Cyber-Sicherheit“

Artikel:
Kontextsensitive CAPTCHAS im Online-Banking

Riddle me this! Context Sensitive CAPTCHAs

Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“

IT-Sicherheit im Lauf der Zeit

Das Manifest zur IT-Sicherheit – Erklärung von Zielen und Absichten zur Erreichung einer angemessenen Risikolage in der IT“

Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen

Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen

Risikobasierte und adaptive Authentifizierung

Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie

Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

Vertrauen – ein elementarer Aspekt der digitalen Zukunft

Eine Diskussion über Trusted Computing – Sicherheitsgewinn durch vertrauenswürdige IT-Systeme“

Ideales Internet-Frühwarnsystem

Bedrohungen und Herausforderungen des E-Mail-Dienstes – Die Sicherheitsrisiken des E-Mail-Dienstes im Internet“

Bücher:

Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)


Zurück zur Übersicht
Captcha - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
Captcha Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten