Captchas – Gratwanderung zwischen Sicherheit und Usability (updated)

26. November 2007 von Matthias Rauer

Die Abkürzung Captcha steht für Completely Automated Public Turing-Test to Tell Computers and Humans Apart und erklärt sich dadurch im Grunde selbst: Captchas dienen der Unterscheidung von Menschen und Maschinen.

In ihrer gängigsten Form bestehen Captchas aus Grafiken, in die Zeichenfolgen eingebettet sind. Durch die Eingabe der Zeichenfolge in ein Formularfeld identifiziert sich der User so die Theorie als reale Person, da diese dynamisch generierten Grafiken vom Menschen in der Regel problemlos, von Programmen durch Verzerrung von Zeichen, Integration zusätzlicher Zeichen in den Hintergrund, Vermeidung horizontaler Anordnungen und ähnliche Methoden allerdings nur äußerst schwer auszulesen sind. Weitere verbreitete Formen von Captchas sind solche, die Allgemeinwissen oder die Lösungen einfacher Rechen- und Logikaufgaben abfragen.

Beispiel: Captcha mit Ziffernfolge Beispiel: Captcha mit Zeichenfolge Beispiel: Captcha mit Rechenaufgabe

Vorteil: Gefahrenabwehr

Die Gefahr, die durch Captchas abgewendet werden soll, ist die Einflussnahme durch Bots. Nahezu sämtliche Online-Aktivitäten eines Menschen sind heute von solchen automatisierten Programmen ausführbar. Eingesetzt werden Bots oftmals mit schädlichen Absichten, etwa um

Captchas stellen Bots vor möglichst hohe Hürden, verhindern die Einflussnahme dieser Programme im Idealfall wirkungsvoll und effektiv und tragen dazu bei, sensible Inhalte vor unberechtigten maschinellen Zugriffen zu schützen. Heute sind Computer jedoch fähig, Texte in Bildern über die Optical Character Recognition zu identifizieren. Das nahe liegende Lösung: Captchas müssen für Maschinen noch schwerer zu knacken werden. Das daraus resultierende Problem: Auch für Menschen wird das Extrahieren von Zeichen aus immer wirrer werdenden Grafiken zunehmend frustrierend.

Nachteil: Eingeschränkte Usability

Captchas haben den Nachteil, dass sie die Usability massiv einschränken. Sie bilden zudem für Menschen mit einer Sehschwäche oft unüberwindbare Hindernisse. Das ist in der Tat ein schwerwiegendes Problem, da ja auch die Anzahl der Menschen im Rentenalter, die das Internet nutzen, stetig ansteigt. Außerdem überfordern Logik- und Rechenaufgaben nicht nur viele Bots, sondern mitunter auch reale Personen.

Darüber hinaus tragen Captchas in gestalterischer Hinsicht der steigenden Leistungsfähigkeit von Bots zunehmend Rechnung und hinterlassen selbst User, deren Sehvermögen nicht beeinträchtigt ist, nicht selten ratlos:

Beispiel: kaum leserliches Captcha

Wer diese oder ähnliche Zeichenfolgen mehrfach erfolglos auszulesen versucht hat, bis ein zeitaufwändig ausgefülltes Formular schließlich zurückgesetzt wird, verzichtet am Ende gar auf weitere Versuche.

Rezept: Erklärungen liefern und Barrieren vermeiden

Längst nicht jeder User weiß, wozu Captchas dienen. Deshalb birgt die kommentarlose Aufforderung, scheinbar sinnlose Zeichenfolgen in ein Formularfeld einzugeben, ein nicht geringes Irritationspotenzial. Wird dem Benutzer dagegen auf Wunsch (beispielsweise per Fußnote) der Sinn und die Notwendigkeit der Hürde erklärt, steigt die Wahrscheinlichkeit einer verständnisvollen Reaktion. Und natürlich müssen bei aller Vorsicht die verwendeten Zeichen auch in der Tat les- und erkennbarbar sein. Ein Mittelweg liegt in der Verwendung intelligenter Captcha-Verfahren, die zum Beispiel aus dem Lösen einfacher Tests bestehen. Werden dabei auch die W3C-Nutzungsbeschränkungen berücksichtigt, erhöhen Sicherheit und Komfort sich maßgeblich. Um Accessibility für sehschwache Personen zu gewährleisten, gibt es inzwischen auch akustische Captchas.

Letztendlich ist die Verwendung von Captchas jedoch immer eine Gratwanderung zwischen Sicherheit und Usability. Von zentraler Bedeutung ist es genau abzuwägen, ob Captchas tatsächlich nötig sind oder dem Nutzer lediglich überflüssige Hürden in den Weg stellen.

In jedem Fall sollte auf Captchas solcher Art nach Möglichkeit verzichtet werden:

Beispiel: Captcha für Fortgeschrittene ;-)

Weitere Informationen:

Bild-Captchas sind nicht der Weisheit letzter Schluss

Gestaffelte Abwehr

Den //SEIBERT/MEDIA-Podcast abonnieren


2 Reaktionen zu diesem Beitrag

  1. Broker

    9 × 10 + 7 = ?

    Auch hier muss man viel nachdenken :D aber klasse beitrag!


  2. Captchas – Probleme, Lösungen und Trends | //SEIBERT/MEDIA Weblog

    [...] im Internet dient, ruft immer schnell die Gegenentwickler auf den Plan. So geschehen auch bei den Captchas . Ihr Einsatz sorgte nur solange für Sicherheit vor automatisierten Crawler-Programmen der Spammer [...]


Eine Antwort hinterlassen





//SEIBERT/MEDIA besteht aus den vier Kompetenzfeldern Consulting, Design, Technologies und Systems und gehört zu den erfahrenen und professionellen Multimedia-Agenturen in Deutschland. Wir entwickeln seit 1996 mit heute über 65 Mitarbeitern Intranets, Extranet-Systeme, Web-Portale aber auch klassische Internet-Seiten. Seit 2005 konzipiert unsere Designabteilung hochwertige Unternehmensauftritte und kommunikative Konzepte. Beratungen im Bereich Online-Marketing und Usability runden das Leistungsportfolio ab.

Zu unseren teils weltweit agierenden Kunden gehören u.a. Accor, Allianz, Atlas MTT, BAD, Deutsche Klinik für Diagnostik, Deutsche Post, Hitachi, Honda Motor, Hotel InterContinental, Institut Fresenius, Kabel Deutschland, Lufthansa, SAP, SGS AG, STA Travel, StepStone sowie viele andere große und kleine interessante Unternehmen.