Captcha

Was ist ein Captcha?

Captcha steht als Abkürzung für Completely Automated Public Turing test to tell Computers and Humans Apart (zu Deutsch: vollständig automatisierter öffentlicher ,,Turing-Test” für die Unterscheidung von Mensch und Computer) und wird als Feststellung verwendet, ob die Eingabe von einem Menschen oder einem Computer erfolgt ist. Captchas werden in der Regel dafür verwendet, um zu überprüfen, wer die Eingabe bei Internetformularen vorgenommen hat, da in solch einem Fall oft ein missbräuchlicher Einsatz von Robotern bzw. Computersystemen erfolgen kann. Ein Captcha ist somit eine Sicherheitsvorrichtung bei einer Homepage. Der Begriff wurde erstmals im Jahr 2000 von Manuel Blum, Nicholas J. Hopper sowie Luis von Ahn verwendet. Zusätzlich gibt es noch eine Sonderart, das Google Captcha.

Ausführliche Erklärung

Ein Captcha ist in der Regel ein sogenannter Challenge-Response-Test. Hierbei müssen die Befragten (in diesem Fall die Internetnutzer) eine bestimmte Art Aufgabe erledigen, wie das Ablesen von Buchstaben oder die Erkennung unterschiedlicher Symbole. Für den Menschen sind diese Aufgaben meist einfach und für Computer besonders schwer zu lösen. Ein Beispiel für solch einen Test ist beispielsweise das Erkennen von Wörtern hinter einem verzerrten Bild. Damit ein Computer in der Lage ist, solch ein Wort zu erkennen, benötigt man sogenannte Mustererkennungs-Algorithmen. Diese Algorithmen wiederum sind sehr aufwendig zu programmieren. Auch Audio-Captchas sowie Video-Captchas finden mittlerweile eine Anwendung.

Die Eigenschaften

• Ein Zufallsgenerator wählt die Fragen und Antworten bei jeder Anfrage aus.
• Weder die Arten der Captchas noch die Antworten werden in vorgetragen Katalogen verwendet.
• Der dabei verwendete Algorithmus ist öffentlich einsehbar, damit eine Sicherheitsbeurteilung von Fachleuten erfolgen kann.
• Ein Captcha folgt zudem dem Kerckhoffs’ Prinzip, ein Grundsatz der Kryptographie.

Die Vor- und Nachteile

Auch wenn Captchas nachweislich für eine erhöhte Sicherheit sorgen, zeigt sich bei vielen der verwendeten Bildrätsel, dass sehbehinderten Menschen diese nicht lösen können. Zudem verwenden nur wenige Anbieter zusätzliche Audio-Captchas. Taubblinde Personen würden zudem hier ebenfalls ausgeschlossen werden. Gleiches gilt für Nutzer, die nur textbasierte Browser verwenden. Für diese Personengruppe werden jedoch immer häufiger nur simple Fragen als Captcha gestellt, dessen Antwort dann eingegeben werden muss. Ein weiterer Kritikpunkt bei Captchas ist, dass sie bei den Nutzern für einen oft unnötigen Mehraufwand führen. So gibt es eine Vielzahl an Internetseiten, bei denen generell keine zusätzlichen Sicherheitsfunktionen benötigt werden.

Wo werden Captchas angewendet?

Generell kann man Captchas auf jede Art Internetseite verwenden. Man wendet sie jedoch grundsätzlich dort an, mögliche Bots für eine Manipulation des Dienstes sorgen oder den Dienst missbrauchen könnten. So sind Captchas oft ein Bestandteil von Online-Umfragen oder Gästebüchern. Zudem verwenden sie mittlerweile nahezu alle E-Mail-Dienste, um die Versendung von Spam-Mails zu verhindern bzw. die Wahrscheinlichkeit zu verringern. Auch bei indizierten TAN-Listen werden sie mittlerweile eingesetzt.

Google Captcha

Ein Google Captcha, auch als reCaptcha bezeichnet, hat Google anfangs für das Projekt ,,Google Bücher” verwendet. Mit einem Google Captcha wird beim Lösen der Verschlüsselungen oder der Rätsel ein weiterer Nutzen gezogen. Textstellen, die bei dem Google-Bücher-Scan-Projekt nicht erkannt werden, werden den Internetnutzern als einzelne Wörter in den Captchas zusammen mit echten Captchas angezeigt. Während zweites als Sicherheitsabfrage dient, wird die Erkennung des gescannten Worts, das Google Captcha, lediglich gespeichert und verwendet. Wird ein Google Captcha bei unterschiedlichen Vorgängen gleich buchstabiert, wird das Wort als richtig erkannt und in das Scan-Projekt übernommen. Auch wenn die Nutzer das Wort somit theoretisch falsch buchstabieren könnten, ist nicht zu erkennen, welches der Wörter als Sicherheitsabfrage dient und welches nicht.