Grundlagen der CAPTCHA-Technologie: Arten und Funktionsweise von CAPTCHAs!
Ob verzerrte Buchstaben und Zahlenkombinationen, nicht lösbare Fotorätsel oder das Drücken auf Ampeln, Fußgängerüberwege oder lachende Hunde: CAPTCHAs sind ein weit verbreiteter Sicherheitsmechanismus im Netz, um multimediale Webseiten sowie Webdienste vor bösartigen Internet-Bots zu beschützen. Im nachfolgenden Blogbeitrag zeigen wir Dir einen Überblick über die Anwendungsbereiche der CAPTCHA-Technologie. Dabei stellen wir Dir die unterschiedlichen CAPTCHA-Typen vor und zeigen auf, welche alternativen Sicherheitsmechanismen es zur Spam-Prävention gibt.
Das Internet ist voller Bots – insbesondere bösartiger Bots, deren Ziel es ist, ganz gezielt interaktive Internetseiten und Webdienste anzugreifen, um beispielsweise Daten oder Dokumente von Webseiten-Besuchern abzugreifen sowie diese für schädliche Tätigkeiten zu verwenden, etwa Fake-Accounts und Fake-Profile zu nutzen und ganz gezielt Spam wie auch rufschädigende und politische Parolen zu verbreiten. Es verstreicht inzwischen kein Kalendertag, an welchem Internetnutzer nicht mit automatisiert generierten Spam-Nachrichten kontaktiert werden: sei es in Internetforen, Chat-Portalen, in Blogs, im E-Mail-Postfach oder in Online-Formularen oder aber Kommentarfeldern eines Webshops.
Aus dem gegenwärtigen Bot-Report von Imperva geht hervor, dass lediglich 2021 42,2 Prozent des Internetverkehrs von Internet-Bots verursacht wurde. Dabei waren sogenannte „Bad Bots“ für 27,7 Prozent aller globalen Webseitenaufrufe zuständig. Dabei hat jede Branche Imperva zufolge ihre individuellen Problematiken mit Bad Bots. Diese reichen von Account-Takeover (ATO)-Angriffen über Credential Stuffing bis hin zu Content- und Price-Scraping.
Eine bewährte und weitverbreitete Vorkehrung gegen Internet-Bots, ungewollte Nachrichten und das automatische Herausfiltern von Daten auf Webseiten stellt nach wie vor die CAPTCHA-Technologie dar.
Was ist CAPTCHA und wie funktioniert es?
Die Bezeichnung CAPTCHA wurde von Forschern der Carnegie Mellon University in Pittsburgh geprägt und steht für „Completely Automated Public Turing test to tell Computers and Humans Apart”. Dabei dreht es sich meist um eine leichte, automatisierte Sicherheitsabfrage, mit welcher verifiziert werden soll, dass ein Mensch auf der Website oder dem Webdienst handelt und nicht ein Bot. Das erste Ziel des Verifizierungsverfahren ist es, der unerwünschten Benutzung durch automatisierte Bots ein Schloss vorzuschieben sowie Menschen deutlich von Bots zu differenzieren.
CAPTCHAS findet man heutzutage nahezu in allen Gebieten, in welchen es menschliche Internetnutzer von Bots zu differenzieren gilt. Dies betrifft unter anderem Online-Umfragen, Suchmaschinen-Dienste oder Registrierungsformulare für soziale Plattformen, E-Mail-Dienste, Blogs und Newsletter. Auch Banken oder Online-Bezahldienste wie Paypal sowie die Webseiten von Kreditkartenunternehmen verwenden CAPTCHAs, um den Zugriff zu Kundenkonten zu schützen.
CAPTCHA: Funktionsweise!
Um herauszufinden, ob es sich bei dem Internetseiten-Besucher um eine Person oder einen Internet-Bot dreht, werden für gewöhnlich sogenannte Challenge-Response-Tests eingesetzt, bei welchen die Webseitenbesucher eine Fragestellung lösen müssen, um Zugang zu einem entsprechenden Web-Dienst zu bekommen. Die Aufgaben sind dabei so entworfen, dass sie für einen menschlichen Webseiten-Nutzer in der Regel einfach zu bewältigen sind, währenddessen sie automatisierte Internet-Bots im besten Fall vor eine nahezu nicht lösbare Aufgabe stellen. In den meisten Fällen sollen Webseiten-Nutzer durch Zufall generierte, verzogene Zahlenreihen oder Buchstabenreihen wiedergeben oder aber Bilderrätsel oder Rechenaufgaben lösen. Es gibt aber ebenso Aufgaben, welche Audio- oder Videoaufzeichnungen enthalten.
Welche Arten von Captchas gibt es heutzutage?
Im Allgemeinen lassen sich CAPTCHAs in textbasierte oder bildbasierte Captchas, Logik- und Frage-Captchas sowie Audio Captchas und Gamification Captchas unterteilen.
• Textbasierte CAPTCHA-Verfahren: Textbasierte CAPTCHAs sind die ältesten und am meisten verbreiteten Hits der menschlichen Verifizierung. Bei diesem Verifizierungsverfahren werden dem Webseiten-Nutzer mehrere durch Zufall generierte Wörter, Buchstaben und Zahlen in enorm verzerrter Gestalt sowie zusätzlichen grafischen Elementen wie Linien, Bögen, Punkten oder auch Farbverläufen angezeigt. Der Webseiten-Besucher muss jene enträtseln und ins Eingabefeld eingeben, um Zugang zum gewünschten Webdienst zu bekommen. Eine prominente Ausführung des klassischen Text-Captchas ist reCAPTCHA.
• reCAPTCHA: Bei der von Google entwickelten CAPTCHA-Technik werden dem Internetseiten-Nutzer anstelle von durch Zufall generierten Buchstaben-Zahlen-Kombinationen, Straßennamen, Hausnummern, Verkehrs- oder Ortsschilder wie auch Fragmente eingescannter Textabschnitte aus Google Books oder Google Street View angezeigt, die sie entschlüsseln und über die Tastatur in ein Textfeld eingeben müssen.
• Bildbasierte CAPTCHA-Verfahren: Neben textbasierten CAPTCHAs treffen Internetseiten-Besucher immer häufiger auf bildbasierte Sicherheitsabfragen. Dabei werden die Internetseiten-Besucher gebeten, auf einer Bildoberfläche, mit größtenteils neun zufällig generierten Fotos, gleiche Motive zu erkennen oder einen semantischen Kontext darzustellen, um damit „menschliche Intelligenz“ zu beweisen.
• Rechen basierte CAPTCHA-Verfahren: Bei der rechen basierten Verifizierung müssen Webseiten-Nutzer leichte Mathematik-Aufgaben bewältigen und das Resultat eintragen, um deren menschliche Denkfähigkeit zu demonstrieren.
• Logikbasierte CAPTCHA-Verfahren: Bei einem logikbasierten CAPTCHA erhalten die Webseiten-Nutzer vier durch Zufall generierte Symbole gezeigt. Hier besteht die Aufgabe darin, das gefragte Sinnbild beispielsweise “Haus” anzuklicken.
• Audio basierte CAPTCHA-Verfahren: Audio basierte CAPTCHA-Authentifizierungen wurden entwickelt, um auch sehbehinderten Personen einen Zugang zu Captcha-geschützten Segmenten einer Internetseite zu geben. Meist werden textbasierte oder bildbasierte Prüfverfahren mit sogenannten Audio-Captchas verbunden. Oft wird hierbei eine Schaltfläche integriert, mit jener der Webseiten-Besucher bei Bedarf ersatzweise eine Audio-Datei abrufen kann.
• Spiel basierte CAPTCHAS: Beispiel basierten CAPTCHAs handelt es sich für gewöhnlich um amüsante Minispiele, etwa Puzzle, bei welchen die Puzzleteile an die richtige Fläche gerückt werden sollen.
Effiziente Alternativen auf einen Blick!
Die Gefahr durch böswillige Netzwerk-Bots steigt konstant. Auch wenn der Gebrauch von CAPTCHA-Verfahren einen gewissen Grundschutz liefert, stellen diese für Internetkriminelle und deren Bot-Armeen keinerlei unüberwindbare Hürde dar. Auf diese Weise können jene mithilfe von neuartigen Machine-Learning Algorithmen oder künstlicher Intelligenz selbst schwierige Sicherheitsabfragen solide lösen. Zudem werden heutzutage sogenannte „Captcha Solving Services“ zu Spottpreisen und Schnittpunkten für die weitere Verwendung der erbeuteten Daten angeboten.
Weil sich Internet-Bots konstant entwickeln und andauernd intelligenter werden, sind genauso die Entwickler bisheriger CAPTCHA-Lösungen gezwungen, mit deren Entwicklung Schritt zu halten, um auch in der nahen Zukunft einen effektiven Webseiten-Schutz zu bieten. Da das allerdings mit Einbußen in der Benutzerfreundlichkeit einhergeht und hauptsächlich Menschen mit Behinderungen oder Einschränkungen eine erweiterte Hürde präsentiert, gibt es zunehmend mehr Provider von weiteren Sicherheitslösungen wie Bots-Management, Content-Filter, Honeypots, serverseitige Filterung und Whitelisting.
CAPTCHAS brauchen ergänzende IT-Sicherheitsmaßnahmen!
Zusammenfassend lässt sich sagen, dass CAPTCHA-Lösungen nach wie vor wirksam vor böswilligen Internet-Bots, Spam-Nachrichten oder anderen Arten von Webseiten-Missbrauch schützen können. Dennoch bieten sie ausschließlich einen Grundschutz und sollten im Optimalfall mit weiteren Sicherheitsmaßnahmen zum Bot-Schutz kombiniert werden.
Willst auch Du deine Internetseiten, Webanwendungen oder Webdienste vor ausgeklügelten und zunehmend intelligenter werdenden Internet-Bots absichern? Oder hast Du noch Fragen zum Thema? Kontaktiere uns gerne!