slider

Captcha - Prof. Dr. Norbert Pohlmann

Captcha

Captcha als Test zur Unterscheidung zwischen Mensch oder Maschine

Was ist eine Captcha?


Captcha
Captchas werden verwendet, um zu prüfen, ob zum Beispiel ein Formular im Internet von einem Menschen oder einem IT-System (Bots) ausgefüllt wurde. Oft werden von Bots Eingaben missbräuchlich automatisch umgesetzt, um die entsprechende Webseite oder Anwendungen zu schädigen.

CAPTCHA bedeutet: “Completely Automated Public Turing test to tell Computers and Humans Apart” und meint damit einen Test zur Unterscheidung, ob ein Mensch oder eine Maschine (IT-Systeme) auf einer Webseite Aktivitäten durchführt. Der Test soll helfen, die Bots (Maschinen) von unsinnigen Aktivitäten auf der Webseite abzuhalten und damit sicherstellen, dass die Eingaben nur von menschlichen Nutzern stammen.

Captchas dienen dem Schutz der Webseiten und stellen für den Nutzer immer einen zusätzlichen Aufwand dar, sind aber für den Schutz einer Website oder eines IT-Dienstes sehr hilfreich.

Captcha als Test zur Unterscheidung zwischen Mensch oder Maschine
Abbildung: Captcha – © Copyright-Vermerk

Captchas sind meist Challenge-Response-Tests, bei denen der Nutzer eine Aufgabe (Challenge) lösen und das Ergebnis (Response) präsentieren muss. In Captchas sind die gestellten Aufgaben so konstruiert, dass ein Mensch die Challenge einfach lösen kann, aber für IT-Systeme die Aufgabenstellung meist unmöglich zu lösen ist.

Challenge und Response werden bei einem Captcha-System jedem Zugangsversuch vollautomatisch per Zufallsgenerator generiert. Dies ist wichtig, damit ein Angreifer nicht durch die Speicherung der Werte einen Angriff einfacher durchführen kann.

Die genutzten Verfahren werden in der Regel veröffentlicht, damit die Sicherheit des Captchas-Systems von Fachleuten beurteilt werden kann.

Um ein Captcha mithilfe von IT-Systemen zu überwinden, benötigen die Angreifer zum Beispiel Mustererkennungs-Algorithmen, um die Challenge automatisiert erkennen und bearbeiten zu können. Diese ist sehr aufwendig umzusetzen und bedarf eine hohe Leistungsfähigkeit des Angreifers.


Beispiele von Realisierungsmöglichkeiten von Captchas

Textbasierte Captcha
Klassische oder textbasierte Captchas bestehen aus zufällig angeordneten Zahlen, Buchstaben und Worten, die dem Nutzer verfremdet angezeigt werden. Der Nutzer muss die Anzeige entziffern und in ein Eingabefeld eingeben, damit das Formular weitergegeben und bearbeitet wird. Die Verfremdung der Zeichen kann auf verschiedenen Weisen umgesetzt werden. Die einzelnen Zeichen werden zum Beispiel verzerrt, skaliert, rotiert oder gekrümmt dargestellt und erschwerend mit zusätzlichen grafischen Elementen wie Linien, Punkten, Bögen, Farbverläufe oder Hintergrundrauschen dargestellt, um das automatische Lesen für IT-Systeme zu erschweren.

Bildbasierte Captcha
Eine Alternative zu klassischen textbasierten Captchas sind bildbasierte Captchas. Statt Nutzern ein verfremdetes Lösungswort aus Ziffern, Buchstaben und Worten zu präsentieren, arbeiten bildbasierte Captchas auf schnell erfassbare grafische Elemente. Es werden zum Beispiel mehrere Fotos alltäglicher Motive nebeneinander dargestellt. Der Nutzer hat die Aufgabe, ein bestimmtes Motiv anzuklicken, ähnliche Motive zu identifizieren oder einen semantischen Zusammenhang darzustellen, um damit “menschliche Intelligenz” zu beweisen.

Audio-Captcha
Um auch sehbehinderten Menschen einen Zugang zu captcha-geschützten Bereichen einer Webanwendung zu ermöglichen, können klassische- oder bildbasierte Captchas mit sogenannten Audio-Captchas erweitert werden. Dadurch kann ein Nutzer bei Bedarf ersatzweise eine Audio-Aufnahme abrufen, die zum Beispiel eine kurze Zahlenfolge vorliest, die er dann in ein Eingabefeld eingetippt, um den Vorgang als identifizierter Mensch umzusetzen.

Rechenaufgaben-Captcha
Es gibt aber auch Captchas, bei denen der Nutzer aufgefordert wird, eine Rechenaufgabe zu lösen und das Ergebnis eintragen muss, um seine menschliche Fähigkeit zu beweisen.


Captchas sind für den Nutzer aufwendig und oft nervig, da die Aufgaben eine hohe Konzentration und Sorgfalt bedarf.

Captchas sind aber für den Schutz einer Website oder eines Dienstes sehr hilfreich und wirkungsvoll.


Weitere Informationen zum Begriff “Captcha”:



Kontextsensitive CAPTCHAS im Online-Banking

Riddle me this! Context Sensitive CAPTCHAs

Detecting Gray in Black and White

Statistical anomaly detection in ETHEREUM transaction graphs

Wertschöpfung der Digitalisierung sichern

IT-Sicherheit im Lauf der Zeit



Lehrbuch Cyber-Sicherheit

Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download



Vorlesungen zum Lehrbuch Cyber-Sicherheit


Zurück zur Übersicht




Summary
Captcha
Article Name
Captcha
Description
Captchas werden verwendet, um zu prüfen, ob zum Beispiel ein Formular im Internet von einem Menschen oder einem IT-System (Bots) ausgefüllt wurde. Oft werden von Bots Eingaben missbräuchlich automatisch umgesetzt, um die entsprechende Webseite oder Anwendungen zu schädigen.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Captcha als Test zur Unterscheidung zwischen Mensch oder Maschine
Captcha Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten