Jede Entwicklung, die der Sicherheit im Internet dient, ruft immer schnell die Gegenentwickler auf den Plan. So geschehen auch bei den Captchas. Ihr Einsatz sorgte nur solange für Sicherheit vor automatisierten Crawler-Programmen der Spammer und Hacker, bis die erste Bildlese-Software entwickelt wurde. Mit dieser können die Spam-Crawler die Bilder interpretieren bzw. die abgebildete Zeichenfolge entschlüsseln und damit wieder automatisiert Formulare ausfüllen und abschicken. Doch warum geben sich die Spammer solche Mühe, um an E-Mail-Adressen zu gelangen oder Formularfelder auszufüllen? Das Spam-Phänomen der jüngsten Zeit geht einher mit der Professionalisierung der Suchmaschinen-Optimierung (SEO). Durch viele Einträge in Blogs, Kommentarfelder und in Foren steigern die Spam-Crawler die Anzahl der Links auf bestimmte Seiten. Damit wird wiederum die Linkpopularität gesteigert und in der Folge das PageRanking erhöht. Und dies führt im Endergebnis zu einem Top-Listing bei Google & Co. Mit den Captchas können zudem aber auch die Hacker-Gefahren gebannt werden, die meist lahmgelegte Server, überlaufende E-Mail-Briefkästen und die Datenspionage zum Ziel haben.

Wie funktionieren Captchas?

Ein Captcha ist ein Test, mit dem vollautomatisch unterschieden werden kann, ob der Internet-User ein Mensch oder eine Maschine ist. Das Script greift auf einen Zeichenpool zu, wählt eine bestimmte Anzahl an Zeichen aus und erzeugt daraus ein Bild. Ein Grafik-Tool bearbeitet dieses Bild automatisch und verzerrt die Zeichen so, dass sie von Maschinen nur schwer interpretiert werden können. Die korrekte Zeichenfolge wird codiert als Prüfsumme im Code abgelegt und nach der Eingabe durch den User als Referenz verwendet, um zu prüfen, ob die Eingabe korrekt ist.

Wie funktioniert das Hacking?

Der Hacker programmiert einen Crawler, der die Websites automatisch durchforstet und den Code nach Formularen durchsucht. Die Formularfelder werden geprüft und automatisch ausgefüllt. Mit Hilfe einer Bildlese-Software werden die Captchas entschlüsselt, wodurch das Formular korrekt abgeschickt werden kann.

Die negativen Auswirkungen von Captchas

Um weiterhin einen Schutz vor Spammern und Hackern zu gewähren, erfinden die Entwickler immer skurrilere Captchas, die jedoch auch für den menschlichen User nur schwer zu entziffern sind. Die komplexere Gestaltung der Captchas hat damit auch negative Auswirkungen auf die Usability durch

• viele Fehlermeldungen,
• zahlreiche Nutzungsabbrüche,
• große Unzufriedenheit,
• Ausgrenzung von gehandicapten Usern,
• enormen Zeitaufwand.

Einer Berechnung der Carnegie Mellon University zufolge, verbringen die Internet-User zusammengerechnet mehr als 150.000 Stunden am Tag damit, rund 60 Millionen Captchas zu lösen. Hinzu kommt der Fakt, dass viele Nutzer den Sinn und die Notwendigkeit dieses Sicherheitstools gar nicht verstehen oder nachvollziehen können.

Captchas der neuen Generation

Die oben genannten Probleme und Folgen, die durch die heute verwendeten Captchas auftreten, stellen aber auch die Herausforderung dar, Captchas weiterzuentwickeln und wieder zu einem Instrument der Sicherheit von Formularen, Foren und Umfragen zu machen. Gleichzeitig wird das Ziel verfolgt, die Usability der entsprechenden Websites nicht zu stören. Neue Lösungen stellen unter anderem Objekt-Captchas und Transfer-Captchas dar.

Objekt-Captchas verwenden anstelle von Zeichen und Zahlen Objekte, die durch den Menschen interpretiert werden müssen. Maschinen können solche Objekte nur sehr schlecht erkennen. Beispielsweise kann hinter jedem Buchstaben eines Sicherheitsbegriffes oder einer Zahlenkombination eine Grafik stehen – ein Hund oder eine Katze beispielsweise. In das Eingabefeld sind dann nur die Buchstaben oder Zahlen einzutragen, hinter denen eine Katze zu sehen ist. Der Vorteil: Diese Variante funktioniert ziemlich gut und kann kreativ für die Werbung genutzt werden, beispielsweise unter Verwendung des Firmenlogos als Lösungsansatz. Der Nachteil: Oft wird die Interpretation schwerer und zeitaufwändiger, da die Objekte nicht klar zu erkennen sind.

Transfer-Captchas ersetzen die Zahlen und Zeichen durch eine Rechenaufgabe oder eine Textaufgabe. Der User muss diese Aufgabe verstehen und lösen. Vom User wird also eine Transferleistung verlangt. Der Nachteil: Einige User können und wollen diese Aufgaben nicht lösen. In der Folge werden die Seite und das Angebot für den User uninteressant.

Durch die zum Teil enormen Denk- und Identifikationsleistungen der User sinkt die Usabilty mit den beiden oben genannten Captcha-Lösungen weiter. Aufwand und Nutzen der Captchas sind für den User nicht mehr verhältnismäßig, schließlich will der User oft nur einen kurzen Kommentar oder eine schnelle Anfrage abschicken.

Neue Lösungen anstelle von Captchas

Andere Ansätze für den Schutz vor Spams und Hackern nutzen die Mechanismen dieser Programme, um sie zu „überlisten“. Zwei Beispiele für Alternativen zu den herkömmlichen Captchas sind der „Honeypot“ sowie die Zeitmessung.

Der Honeypot ist ein verstecktes, auf der Oberfläche nicht sichtbares Eingabefeld, das über CSS ausgeblendet oder außerhalb des Bildschirms platziert wird. Die Crawler der Hacker erkennen dieses Objekt wie üblich als Eingabefeld und füllen es aus. Die Website weiß somit, dass es sich um einen Crawler handeln muss, da der normale menschliche User das Feld ja gar nicht sieht und deshalb auch nicht ausfüllen kann. Der Name Honeypot steht für die Bildanalogie des Honigtopfs, der aufgestellt wird, um Bären anzulocken. Wirksam ist dieses Mittel, wenn der Titel des Honeypot-Feldes als für den Crawler interessant bezeichnet wird, beispielsweise als Feld für eine E-Mail-Adresse. Dann füllen die Crawler dieses Feld mit hoher Wahrscheinlichkeit auch aus. Einen 100-prozentigen Schutz vor Crawlern bietet aber selbst diese Lösung nicht, da es "natürlich" auch Crawler-Programme gibt, die Eingabefelder systematisch überspringen.

Eine andere alternative Lösung ist die Zeitmessung beim Ausfüllen von Formularen, wodurch sich Menschen und Maschinen eigentlich sehr gut als User voneinander unterscheiden lassen: Denn grundsätzlich sind menschliche User langsamer als automatisierte Programme. Allerdings gibt es hier als Nachteil die Gefahr der Ausgrenzung von Anwendern, die sehr schnell Formulare ausfüllen und dann fälschlicherweise als Maschinen erkannt werden, beispielsweise beim Test von Formularen.

Fazit:

Trotz aller auftretenden Probleme und neuer Lösungsansätze sind Captchas zur Zeit die einzige Möglichkeit, um Fomulare halbwegs vor programmierten Bots zu sichern. Viel hängt jedoch davon ab, ob wirklich sichere Captchas verwenden werden, da fast alle gängigen aktuellen Varianten bereits "gehackt" werden können. Unternehmen sollten deshalb unbedingt die von ihnen verwendeten Captchas regelmäßig überprüfen und sich über neue Entwicklungen informieren sowie diese für die eigene Sicherheit nutzen. Damit können sie zum einen ihre Interaktionsmedien weiterhin vor "falschen Nutzern" schützen und zum anderen auch neue Wege in der Werbung gehen. //SEIBERT/MEDIA/CONSULTING informiert und berät Unternehmen zum Thema Captcha und realisiert entsprechende Lösungen für Unternehmens-Homepages.

Weitere Informationen zum Thema Captcha:

Captcha - Gratwanderung zwischen Sicherheit und Usability

Captchas sind Blödsinn - Alternativen gegen Spam

Captcha als Schutz vor Spam in den Kommentaren

Mehr über die Creative-Commons-Lizenz erfahren