Captchas – Gratwanderung zwischen Sicherheit und Usability (updated)

Die Abkürzung Captcha steht für Completely Automated Public Turing-Test to Tell Computers and Humans Apart und erklärt sich dadurch im Grunde selbst: Captchas dienen der Unterscheidung von Menschen und Maschinen.

In ihrer gängigsten Form bestehen Captchas aus Grafiken, in die Zeichenfolgen eingebettet sind. Durch die Eingabe der Zeichenfolge in ein Formularfeld identifiziert sich der User so die Theorie als reale Person, da diese dynamisch generierten Grafiken vom Menschen in der Regel problemlos, von Programmen durch Verzerrung von Zeichen, Integration zusätzlicher Zeichen in den Hintergrund, Vermeidung horizontaler Anordnungen und ähnliche Methoden allerdings nur äußerst schwer auszulesen sind. Weitere verbreitete Formen von Captchas sind solche, die Allgemeinwissen oder die Lösungen einfacher Rechen- und Logikaufgaben abfragen.

Beispiel: Captcha mit Ziffernfolge Beispiel: Captcha mit Zeichenfolge Beispiel: Captcha mit Rechenaufgabe

Vorteil: Gefahrenabwehr

Die Gefahr, die durch Captchas abgewendet werden soll, ist die Einflussnahme durch Bots. Nahezu sämtliche Online-Aktivitäten eines Menschen sind heute von solchen automatisierten Programmen ausführbar. Eingesetzt werden Bots oftmals mit schädlichen Absichten, etwa um

Captchas stellen Bots vor möglichst hohe Hürden, verhindern die Einflussnahme dieser Programme im Idealfall wirkungsvoll und effektiv und tragen dazu bei, sensible Inhalte vor unberechtigten maschinellen Zugriffen zu schützen. Heute sind Computer jedoch fähig, Texte in Bildern über die Optical Character Recognition zu identifizieren. Das nahe liegende Lösung: Captchas müssen für Maschinen noch schwerer zu knacken werden. Das daraus resultierende Problem: Auch für Menschen wird das Extrahieren von Zeichen aus immer wirrer werdenden Grafiken zunehmend frustrierend.

Nachteil: Eingeschränkte Usability

Captchas haben den Nachteil, dass sie die Usability massiv einschränken. Sie bilden zudem für Menschen mit einer Sehschwäche oft unüberwindbare Hindernisse. Das ist in der Tat ein schwerwiegendes Problem, da ja auch die Anzahl der Menschen im Rentenalter, die das Internet nutzen, stetig ansteigt. Außerdem überfordern Logik- und Rechenaufgaben nicht nur viele Bots, sondern mitunter auch reale Personen.

Darüber hinaus tragen Captchas in gestalterischer Hinsicht der steigenden Leistungsfähigkeit von Bots zunehmend Rechnung und hinterlassen selbst User, deren Sehvermögen nicht beeinträchtigt ist, nicht selten ratlos:

Beispiel: kaum leserliches Captcha

Wer diese oder ähnliche Zeichenfolgen mehrfach erfolglos auszulesen versucht hat, bis ein zeitaufwändig ausgefülltes Formular schließlich zurückgesetzt wird, verzichtet am Ende gar auf weitere Versuche.

Rezept: Erklärungen liefern und Barrieren vermeiden

Längst nicht jeder User weiß, wozu Captchas dienen. Deshalb birgt die kommentarlose Aufforderung, scheinbar sinnlose Zeichenfolgen in ein Formularfeld einzugeben, ein nicht geringes Irritationspotenzial. Wird dem Benutzer dagegen auf Wunsch (beispielsweise per Fußnote) der Sinn und die Notwendigkeit der Hürde erklärt, steigt die Wahrscheinlichkeit einer verständnisvollen Reaktion. Und natürlich müssen bei aller Vorsicht die verwendeten Zeichen auch in der Tat les- und erkennbarbar sein. Ein Mittelweg liegt in der Verwendung intelligenter Captcha-Verfahren, die zum Beispiel aus dem Lösen einfacher Tests bestehen. Werden dabei auch die W3C-Nutzungsbeschränkungen berücksichtigt, erhöhen Sicherheit und Komfort sich maßgeblich. Um Accessibility für sehschwache Personen zu gewährleisten, gibt es inzwischen auch akustische Captchas.

Letztendlich ist die Verwendung von Captchas jedoch immer eine Gratwanderung zwischen Sicherheit und Usability. Von zentraler Bedeutung ist es genau abzuwägen, ob Captchas tatsächlich nötig sind oder dem Nutzer lediglich überflüssige Hürden in den Weg stellen.

In jedem Fall sollte auf Captchas solcher Art nach Möglichkeit verzichtet werden:

Beispiel: Captcha für Fortgeschrittene ;-)

Weitere Informationen:

Bild-Captchas sind nicht der Weisheit letzter Schluss

Gestaffelte Abwehr

Den //SEIBERT/MEDIA-Podcast abonnieren

Hinterlassen Sie eine Antwort

Kommentare