Was ist CAPTCHA? Woher weiß es, dass Sie kein Roboter sind?

Warum verwenden Websites CAPTCHA? Woher kommt dieser Schutz überhaupt? Und warum kommt es so häufig vor?

Jede Website kann Ziel von Cyberangriffen, digitalem Missbrauch und Bots sein, die persönliche Daten der Besucher für böswillige Zwecke sammeln. CAPTCHA wurde entwickelt, um vor solchen Missbräuchen und Bot-Angriffen zu schützen.

Schon in der Redaktion prüft der Computer bei der Anmeldung, ob wir ein Roboter oder ein Mensch sind. Manchmal müssen wir nur das Kästchen ankreuzen, und manchmal müssen wir mit einem Hydranten oder etwas Ähnlichem alle Fotos auf dem Bildschirm finden. Warum es zu diesem Unterschied kommt, erfahren Sie weiter unten.

Was ist überhaupt ein CAPTCHA?

CAPTCHA ist ein Akronym für „Completely Automated Public Turing Test to Tell Computers and Humans Apart“. Vereinfacht gesagt handelt es sich um einen Zufallstest mit einer Herausforderung und einer konkreten Lösung, den Websites nutzen, um sich gegen Angriffe zu verteidigen. 40 % des gesamten weltweiten Online-Verkehrs werden von „Bots“ verursacht, Sie können sich also leicht vorstellen, welchen Schaden sie anrichten können. Wer sie von Anfang an erkennt und nur Personen auf die Website lässt, kann sich viel Ärger ersparen.

Wie hat sich die CAPTCHA-Technologie entwickelt?

Die ersten CAPTCHA-Tests erschienen Ende der 1990er Jahre und bestanden aus verzerrten Bildern mit einer Kombination aus Buchstaben und Zahlen. Die Technologie wurde von mehreren verschiedenen Gruppen mit dem Ziel entwickelt, die Bekämpfung von Bots und Hackern zu erleichtern. Erinnern Sie sich an die AltaVista-Suchmaschine? Ihre Entwickler wollten verhindern, dass Bots schädliche Webadressen zur Datenbank hinzufügen.

Der Begriff CAPTCHA selbst wurde erstmals 2003 von einer Gruppe von Informatikforschern an der Carnegie Mellon University verwendet. Den Anstoß für die Entwicklung gab die Rede des Direktors des damaligen Giganten Yahoo, der über die Probleme mit Spidern sprach, die Millionen gefälschter E-Mail-Adressen erzeugten.

Eine Gruppe von Forschern erstellte ein Computerprogramm, das zunächst zufälligen Text generierte, dann ein verzerrtes Bild dieses Textes generierte (das als CAPTCHA bezeichnet wurde) und schließlich den Benutzer aufforderte, das Problem zu lösen und auf „Ich bin kein Roboter“ zu klicken. Kasten. Damals konnte die Technologie zur optischen Zeichenerkennung (OCR) dieses einfache Rätsel nicht entschlüsseln, sodass die Bots den CAPTCHA-Test nicht bestanden haben. Bald darauf verlangte Yahoo von seinen Benutzern, einen CAPTCHA-Test zu bestehen, bevor sie sich bei einer E-Mail-Adresse anmelden konnten. Der Rückgang der Bot-Zahlen hat auch andere Unternehmen dazu veranlasst, einen CAPTCHA-Schutz einzuführen.

Zwangsläufig entwickelten Hacker jedoch Algorithmen, die den neuen Schutz zuverlässig umgehen konnten. Dieser Kampf dauert bis heute an.

reCAPTCHA v1 – ein Upgrade, das die Bots nicht stoppen konnte

Im Jahr 2007 stellte Luis von Ahn, Mitglied des ursprünglichen Teams, das das CAPTCHA-System entwickelte, reCAPTCHA v1 vor, mit dem er es Hackern schwerer machen und die Genauigkeit der optischen Zeichenerkennung zur Digitalisierung gedruckter Texte verbessern wollte. Hacker stießen auf noch mehr verzerrte Bilder und bald waren auch die Wörter durchgestrichen.

Es verbesserte die OCR, indem es ein Bild von zufällig generiertem, verstümmeltem Text durch zwei verstümmelte Bilder von Wörtern ersetzte, die von zwei verschiedenen OCR-Programmen aus tatsächlichen Texten gescannt wurden. Das erste Wort oder Kontrollwort war ein Wort, das von beiden OCR-Programmen korrekt erkannt wurde; Das zweite Wort war ein Wort, das vom OCR-Programm nicht erkannt wurde. Wenn der Benutzer das Kontrollwort korrekt identifizierte, ging das reCAPTCHA-Programm davon aus, dass es sich bei dem Benutzer um einen Menschen handelte.

Zwei Jahre später intervenierte Google, kaufte neue Technologie, digitalisierte damit Texte für Google Books und lizenzierte sie an andere Unternehmen. Gleichzeitig war die Entwicklung der OCR-Technologie Wasser auf die Mühlen für Hacker, die sie fleißig nutzten, um fortschrittliche Algorithmen zu entwickeln, die damit begannen, neue reCAPTCHA-Herausforderungen erfolgreich zu lösen. Im Jahr 2012 tauchten reCAPTCHA-Bildherausforderungen auf, die OCR austricksen und gleichzeitig mobilfreundlicher sein konnten.

reCAPTCHA v2 – besser, aber invasiv für Benutzer

Die zweite Version (reCAPTCHA v2 oder kein CAPTCHA reCAPTCHA) eliminierte die Text- und Bildherausforderungen vollständig. Stattdessen wurde ein einfaches Kontrollkästchen „Ich bin kein Roboter“ verwendet, und hinter den Kulissen analysiert reCAPTCHA v2 die Interaktionen des Benutzers mit Webseiten, wie schnell der Benutzer tippt und analysiert außerdem Cookies, den Geräteverlauf und die IP-Adresse . Es verfolgt auch Mausbewegungen. Benutzer, die das System verdächtig finden, werden mit einer CAPTCHA-Abfrage konfrontiert, während andere weitersurfen können.

Dieser neuere Schutz hat mehrere Nachteile. Da es stark auf Cookies basiert, ist es für Benutzer des Chrome-Browsers und diejenigen, die mit einem Google-Konto angemeldet sind, benutzerfreundlicher. Beispiel: Firefox-Benutzer (oder Brave, Opera...), die Cookies von Drittanbietern deaktiviert haben, haben eine höhere Chance, eine CAPTCHA-Herausforderung zu erhalten.

Mit der Weiterentwicklung der künstlichen Intelligenz können Bots jedoch selbst die komplexesten reCAPTCHA-Herausforderungen lösen. Böswillige Personen können sich auch mit diesen CAPTCHA-Farmen selbst helfen. Dabei handelt es sich um einen automatisierten Dienst, bei dem Bot-Entwickler billige menschliche Arbeitskräfte einsetzen, um CAPTCHA-Herausforderungen zu lösen.

Es war mehr als offensichtlich, dass der bestehende Schutz nicht ausreichte.

reCAPTCHA v3 – noch stärkerer Einsatz von KI

Das dritte Upgrade entfernt das Kontrollkästchen „Ich bin kein Roboter“ vollständig und setzt noch stärker auf künstliche Intelligenz und deren Fähigkeit, Alarmfaktoren zu analysieren. reCAPTCHA v3 integriert sich über eine JavaScript-API in die Website und arbeitet im Hintergrund. Es bewertet Benutzer auf einer Skala von 0 (Bot) bis 1 (Mensch) basierend auf ihren Online-Aktionen. Websitebesitzer oder Administratoren können automatische Aktionen festlegen, die ausgelöst werden, wenn reCAPTCHA einen potenziellen Bot erkennt. Beispielsweise kann eine Multi-Faktor-Authentifizierung erforderlich sein, bevor man sich bei einem Profil anmeldet, ein Kommentar in einem Forum muss zunächst von einem Moderator genehmigt werden und so weiter.

Die Methode ist benutzerfreundlicher für Benutzer, die nicht einmal wissen, dass diese Art von Schutz im Hintergrund implementiert wird. Dennoch ist das Thema Datenschutz hier immer präsent, und gleichzeitig haben Webadministratoren mit der neuen Generation mehr Arbeit zu erledigen, die entscheiden müssen, wo die Schwelle für eine bestimmte Reaktion liegt.

Wofür wird CAPTCHA verwendet?

• Verhinderung gefälschter Registrierungen, bei denen Bots das System zum Versenden von Spam, Schadcode und anderen Cyberaktivitäten ausnutzen.
• CAPTCHA wird mancherorts zum Schutz vor verdächtigen Transaktionen eingesetzt. Vor Jahren hatten wir eine Chip-Krise, die Bots ausnutzten, um beispielsweise größere Bestände an Grafikkarten zu kaufen, die sie dann zu höheren Preisen verkauften.
• Online-Umfragen, Wahllokale, Meinungsumfragen sind oft das Ziel von Bots, die die Ergebnisse verfälschen wollen.
• Betrüger und Cyberkriminelle nutzen Kommentare und Produktbewertungen häufig, um Betrug und Malware zu verbreiten oder das Ranking eines bestimmten Produkts in einem Online-Shop (Amazon, eBay...) künstlich zu erhöhen.

Es gibt viele Anwendungsfälle, aber eines haben sie gemeinsam: Der Kampf gegen Bots, die von Betrügern eingesetzt werden, weil sie auf Kosten der Online-Besucher profitieren wollen. CAPTCHA ist kein absoluter Schutz, aber es ist zweifellos wichtig für die Integrität des Webs und seiner Besucher.